Topologias para colaboração entre locatários
As organizações geralmente se encontram gerenciando vários locatários devido a fusões e aquisições, requisitos regulatórios ou limites administrativos. Independentemente do cenário, o Microsoft Entra oferece uma solução flexível e pronta para uso para provisionar contas entre locatários e facilitar a colaboração perfeita. O Microsoft Entra acomoda os três modelos a seguir e pode se adaptar às suas necessidades organizacionais em evolução.
- Hub e spoke
- Mesh
- Just-in-time
Hub e spoke
A topologia hub e spoke apresenta dois padrões comuns:
Opção 1 (hub de aplicativos): nesta opção, você pode integrar aplicativos comumente usados em um locatário do hub central que os usuários de toda a organização podem acessar.
Opção 2 (hub de usuário): como alternativa, a opção 2 centraliza todos os usuários em um único locatário e os provisiona em locatários spoke em que os recursos são gerenciados.
Vamos examinar alguns cenários reais e ver como eles se alinham com cada um desses modelos.
Fusões e aquisições (hub de aplicativos)
Durante fusões e aquisições, a capacidade de habilitar rapidamente a colaboração é crucial, permitindo que as empresas funcionem de forma coesa enquanto decisões complexas de TI estão sendo tomadas. Por exemplo, quando os funcionários de uma empresa recém-adquirida precisam de acesso imediato a aplicativos como o sistema de tíquete de suporte técnico interno ou o aplicativo de benefícios, a sincronização entre locatários se mostra inestimável. Esse processo de sincronização permite que os usuários da empresa adquirida sejam provisionados no hub de aplicativos desde o primeiro dia, concedendo-lhes acesso a aplicativos SaaS, aplicativos locais e outros recursos de nuvem. No locatário de destino, os administradores podem configurar pacotes de acesso para conceder acesso limitado a aplicativos adicionais, como Salesforce e Amazon Web Services, que contêm dados comercialmente críticos. O diagrama a seguir mostra locatários recém-adquiridos à esquerda e seus usuários sendo provisionados no locatário da empresa-mãe, o que concede aos usuários acesso aos recursos necessários.
Colaboração separada e locatários de recursos (hub de usuário)
À medida que as organizações dimensionam o uso do Azure, elas geralmente criam locatários dedicados para gerenciar recursos críticos do Azure. Enquanto isso, eles dependem de um locatário do hub central para provisionamento de usuário. Esse modelo capacita os administradores no locatário do hub a estabelecer políticas centrais de segurança e governança, concedendo às equipes de desenvolvimento maior autonomia e agilidade para implantar os recursos necessários do Azure. A sincronização entre locatários dá suporte a essa topologia, permitindo que os administradores provisionem um subconjunto de usuários nos locatários spoke e gerenciem o ciclo de vida desses usuários.
Mesh
Enquanto algumas empresas centralizam seus usuários em um único locatário, outras têm uma estrutura mais descentralizada com aplicativos, sistemas de RH e domínios do Active Directory integrados a cada locatário. A sincronização entre locatários oferece a flexibilidade para escolher quais usuários são provisionados em cada locatário.
Colaborar em uma empresa de portfólio (malha parcial)
Nesse cenário, cada locatário representa uma empresa diferente dentro da mesma organização pai. Os administradores em cada locatário escolhem um subconjunto de usuários para provisionar no locatário de destino. Essa solução fornece flexibilidade para cada locatário operar de forma independente, facilitando a colaboração quando os usuários precisam de acesso a recursos críticos.
A sincronização entre locatários é unidirecional. Um usuário membro interno pode ser sincronizado em vários locatários como um usuário externo. Quando a topologia mostra uma sincronização indo em ambas as direções, trata-se de um conjunto distinto de usuários em cada direção e cada seta é uma configuração separada.
Colaborar entre unidades de negócios (malha completa)
Nesse cenário, a organização designou locatários diferentes para cada unidade de negócios. As unidades de negócios trabalham em conjunto, especificamente usando o Microsoft Teams. Como resultado, cada locatário optou por provisionar todos os usuários entre os quatro locatários da organização. À medida que novos usuários entram na empresa ou saem, o serviço de provisionamento cuida da criação e exclusão de usuários. A organização também configurou uma organização multilocatário que inclui todos os quatro locatários. Agora, quando os usuários precisam colaborar no Teams, eles podem encontrar facilmente usuários em toda a empresa e iniciar chats e reuniões com esses usuários.
Just-in-time
Embora os cenários discutidos até agora abrangem a colaboração dentro de uma organização, há casos em que a colaboração entre organizações é vital. Isso pode estar no contexto de joint ventures ou organizações de entidades jurídicas independentes. Ao empregar organizações conectadas e gerenciamento de direitos, você pode definir políticas para acessar recursos entre organizações conectadas e permitir que os usuários solicitem acesso aos recursos necessários.
Joint ventures
Considere a Contoso e a Litware, organizações separadas envolvidas em uma joint venture de vários anos. Elas precisam colaborar de perto. Os administradores da Contoso definiram pacotes de acesso que contêm os recursos exigidos pelos usuários do Litware. Quando um novo funcionário do Litware precisa de acesso aos recursos da Contoso, ele pode solicitar acesso ao pacote de acesso. Após a aprovação, eles são provisionados com os recursos necessários. O acesso pode ser limitado por tempo e sujeito à revisão periódica para garantir a conformidade com os requisitos de governança da Contoso.
O diagrama a seguir mostra como duas organizações podem colaborar just-in-time usando organizações conectadas e gerenciamento de direitos.
Cenários com suporte
A sincronização entre locatários dá suporte à importação de usuários internos no locatário de origem e ao provisionamento de usuários externos no locatário de destino.
Credenciais do locatário de origem | UserType do locatário de origem | Credenciais do locatário de destino | UserType do locatário de destino | Cenário com suporte? |
---|---|---|---|---|
Interno | Membro | Externo | Membro | Sim |
Interno | Membro | Externo | Convidado | Sim |
Interno | Convidado | Externo | Membro | Sim |
Interno | Convidado | Externo | Convidado | Sim |
Interno | Membro | Interno | Membro | Não |
Interno | Membro | Interno | Convidado | Não |
Interno | Convidado | Interno | Membro | Não |
Interno | Convidado | Interno | Convidado | Não |
Externo | Membro | Externo | Membro | Não |
Externo | Membro | Externo | Convidado | Não |
Externo | Convidado | Externo | Membro | Não |
Externo | Convidado | Externo | Convidado | Não |