Partilhar via


Topologias para colaboração entre locatários

As organizações geralmente se encontram gerenciando vários locatários devido a fusões e aquisições, requisitos regulatórios ou limites administrativos. Independentemente do seu cenário, o Microsoft Entra oferece uma solução flexível e pronta para uso para provisionar contas entre locatários e facilitar a colaboração perfeita. O Microsoft Entra acomoda os três modelos a seguir e pode se adaptar às suas necessidades organizacionais em evolução.

  • Hub and spoke
  • Malha
  • Just-in-time

Hub and spoke

A topologia hub e spoke apresenta dois padrões comuns:

  • Opção 1 (hub de aplicativos): nesta opção, você pode integrar aplicativos comumente usados em um locatário de hub central que os usuários de toda a organização podem acessar.

  • Opção 2 (hub do usuário): Como alternativa, a opção 2 centraliza todos os seus usuários em um único locatário e os provisiona em locatários spoke onde os recursos são gerenciados.

Vamos examinar alguns cenários do mundo real e ver como eles se alinham com cada um desses modelos.

Fusões e aquisições (hub de aplicativos)

Durante fusões e aquisições, a capacidade de permitir rapidamente a colaboração é crucial, permitindo que as empresas funcionem de forma coesa enquanto decisões complexas de TI estão sendo tomadas. Por exemplo, quando os funcionários de uma empresa recém-adquirida precisam de acesso imediato a aplicativos como o sistema interno de tíquetes de help desk ou o aplicativo de benefícios, a sincronização entre locatários se mostra inestimável. Esse processo de sincronização permite que os usuários da empresa adquirida sejam provisionados no hub de aplicativos desde o primeiro dia, concedendo-lhes acesso a aplicativos SaaS, aplicativos locais e outros recursos de nuvem. Dentro do locatário de destino, os administradores podem configurar pacotes de acesso para conceder acesso limitado por tempo a aplicativos adicionais, como Salesforce e Amazon Web Services, que contêm dados críticos para os negócios. O diagrama a seguir mostra locatários recentemente adquiridos à esquerda e seus usuários sendo provisionados no locatário da empresa-mãe, o que concede aos usuários acesso aos recursos necessários.

Diagrama que mostra vários locatários de origem sincronizando com um único locatário de destino.

Colaboração separada e locatários de recursos (hub do usuário)

À medida que as organizações dimensionam seu uso do Azure, elas geralmente criam locatários dedicados para gerenciar recursos críticos do Azure. Enquanto isso, eles dependem de um locatário de hub central para provisionamento de usuários. Esse modelo permite que os administradores no locatário do hub estabeleçam políticas centrais de segurança e governança, ao mesmo tempo em que concede às equipes de desenvolvimento maior autonomia e agilidade para implantar os recursos necessários do Azure. A sincronização entre locatários oferece suporte a essa topologia, permitindo que os administradores provisionem um subconjunto de usuários nos locatários spoke e gerenciem o ciclo de vida desses usuários.

Diagrama que mostra um locatário de origem sincronizando com vários locatários de destino.

Malha

Enquanto algumas empresas centralizam seus usuários em um único locatário, outras têm uma estrutura mais descentralizada com aplicativos, sistemas de RH e domínios do Ative Directory integrados em cada locatário. A sincronização entre locatários oferece a flexibilidade de escolher quais usuários são provisionados em cada locatário.

Colabore dentro de uma empresa de portfólio (malha parcial)

Nesse cenário, cada locatário representa uma empresa diferente dentro da mesma organização pai. Os administradores em cada locatário escolhem um subconjunto de usuários para provisionar no locatário de destino. Essa solução oferece flexibilidade para cada locatário operar de forma independente, facilitando a colaboração quando os usuários precisam acessar recursos críticos.

Diagrama que mostra uma topologia de malha parcial sincronizando com vários locatários.

A sincronização entre locatários é uma maneira. Um usuário membro interno pode ser sincronizado em vários locatários como um usuário externo. Quando a topologia mostra uma sincronização indo em ambas as direções, é um conjunto distinto de usuários em cada direção e cada seta é uma configuração separada.

Colabore entre unidades de negócios (malha completa)

Nesse cenário, a organização designou locatários diferentes para cada unidade de negócios. As unidades de negócio trabalham em estreita colaboração, em particular utilizando o Microsoft Teams. Como resultado, cada locatário optou por provisionar todos os usuários entre os quatro locatários da organização. À medida que novos usuários entram na empresa ou saem, o serviço de provisionamento se encarrega de criar e excluir usuários. A organização também configurou uma organização multilocatária que inclui todos os quatro locatários. Agora, quando os usuários precisam colaborar no Teams, eles podem encontrar facilmente usuários em toda a empresa e iniciar bate-papos e reuniões com esses usuários.

Diagrama que mostra uma topologia ful-mesh sincronizando com vários locatários.

Just-in-time

Embora os cenários discutidos até agora abranjam a colaboração dentro de uma organização, há casos em que a colaboração entre organizações é vital. Tal poderá ocorrer no contexto de empresas comuns ou de organizações de entidades jurídicas independentes. Ao empregar organizações conectadas e gerenciamento de direitos, você pode definir políticas para acessar recursos em organizações conectadas e permitir que os usuários solicitem acesso aos recursos de que precisam.

Empresas comuns

Considere a Contoso e a Litware, organizações separadas envolvidas em uma joint venture de vários anos. Precisam de colaborar estreitamente. Os administradores da Contoso definiram pacotes de acesso contendo os recursos exigidos pelos usuários da Litware. Quando um novo funcionário da Litware precisa de acesso aos recursos da Contoso, ele pode solicitar acesso ao pacote de acesso. Após a aprovação, são provisionados com os recursos necessários. O acesso pode ser limitado no tempo e sujeito a revisões periódicas para garantir a conformidade com os requisitos de governança da Contoso.

O diagrama a seguir mostra como duas organizações podem colaborar just-in-time usando organizações conectadas e gerenciamento de direitos.

Diagrama que mostra a colaboração just-in-time usando organizações conectadas e gerenciamento de direitos.

Cenários suportados

A sincronização entre locatários oferece suporte à importação de usuários internos no locatário de origem e ao provisionamento de usuários externos no locatário de destino.

Credenciais do locatário de origem Tipo de usuário do locatário de origem Credenciais do locatário de destino Tipo de usuário do locatário de destino Cenário suportado?
Interna Membro Externa Membro Sim
Interna Membro Externa Convidado Sim
Interna Convidado Externa Membro Sim
Interna Convidado Externa Convidado Sim
Interna Membro Interna Membro Não
Interna Membro Interna Convidado Não
Interna Convidado Interna Membro Não
Interna Convidado Interna Convidado Não
Externa Membro Externa Membro Não
Externa Membro Externa Convidado Não
Externa Convidado Externa Membro Não
Externa Convidado Externa Convidado Não

Próximos passos