Топологии для совместной работы между клиентами
Организации часто управляют несколькими арендаторами из-за слияний и приобретений, нормативных требований или административных границ. Независимо от вашего сценария, Microsoft Entra предлагает гибкое и готовое решение для подготовки учетных записей между клиентами и упрощение совместной работы. Microsoft Entra поддерживает следующие три модели и может адаптироваться к изменяющимся потребностям организации.
- Модель "Центр и Спицы"
- Сетка
- точно в срок
Система хабов и спиц
Топология концентратора и периферийной структуры представляет два распространенных шаблона:
Вариант 1 (центр приложений). В этом параметре можно интегрировать часто используемые приложения в центральный клиент, к которому пользователи из всей организации могут получить доступ.
Вариант 2 (центр пользователей): В качестве альтернативы, вариант 2 централизует всех ваших пользователей в одном клиенте и размещает их в периферийных клиентах, где управляются ресурсы.
Давайте рассмотрим несколько реальных сценариев и посмотрим, как они соответствуют каждой из этих моделей.
Слияния и приобретения (центр приложений)
Во время слияний и приобретений способность быстро включить совместную работу имеет решающее значение, что позволяет предприятиям работать согласованно, в то время как сложные ИТ-решения принимаются. Например, когда только что приобретенные сотрудники компании нуждаются в немедленном доступе к приложениям, таким как внутренняя система запросов в службу технической поддержки или приложение для получения преимуществ, синхронизация между клиентами оказывается бесценной. Этот процесс синхронизации позволяет пользователям из компании, которую приобрели, с первого дня получать доступ к центру приложений, предоставляя им доступ к приложениям SaaS, локальным приложениям и другим облачным ресурсам. В целевом клиенте администраторы могут настроить пакеты доступа для предоставления ограниченного времени доступа к дополнительным приложениям, таким как Salesforce и Amazon Web Services, которые содержат критически важные для бизнеса данные. На следующей схеме показаны недавно приобретенные арендаторы слева и их пользователи, переведенные в клиента родительской компании, дающего пользователям доступ к необходимым ресурсам.
Отдельные арендаторы сотрудничества и ресурсов (центр пользователей)
Так как организации масштабируют использование Azure, они часто создают выделенные клиенты для управления критически важными ресурсами Azure. Между тем, они полагаются на центрального арендатора хаба для управления пользователями. Эта модель позволяет администраторам в клиенте центра устанавливать централизованные политики безопасности и управления, предоставляя группам разработчиков большую автономию и гибкость для развертывания необходимых ресурсов Azure. Синхронизация между клиентами поддерживает эту топологию, позволяя администраторам подготавливать подмножество пользователей в периферийных клиентах и управлять жизненным циклом этих пользователей.
Сетка
Хотя некоторые компании централизуют своих пользователей в одном клиенте, другие имеют более децентрализованную структуру с приложениями, системами кадров и доменами Active Directory, интегрированными в каждый клиент. Синхронизация между арендаторами позволяет гибко выбирать пользователей, предоставляемых в каждом арендаторе.
Работа в сотрудничестве в портфельной компании (частичной сетевой структуры)
В этом сценарии каждый клиент представляет другую компанию в одной родительской организации. Администраторы в каждой организации выбирают подмножество пользователей для распределения в целевую организацию. Это решение обеспечивает гибкость для работы каждого клиента независимо друг от друга, обеспечивая совместную работу, когда пользователям требуется доступ к критически важным ресурсам.
Синхронизация между клиентами является одним из способов. Внутренний пользователь-член может быть синхронизирован с несколькими клиентами как внешний пользователь. Когда топология показывает синхронизацию в обоих направлениях, это отдельный набор пользователей в каждом направлении, и каждая стрелка является отдельной конфигурацией.
Совместная работа между бизнес-подразделениями (полносвязная сеть)
В этом сценарии организация назначила для каждого подразделения разные клиенты. Бизнес-подразделения тесно работают вместе, в частности с помощью Microsoft Teams. В результате каждый арендатор выбрал предоставление услуг всем пользователям в пределах всех четырех арендаторов в организации. Когда новые пользователи присоединяются к компании или покидают ее, служба подготовки заботится о создании и удалении пользователей. Организация также настроила мультиарендаторскую организацию, содержащую всех четырех арендаторов. Теперь, когда пользователям нужно сотрудничать в Teams, они могут легко находить пользователей в компании и запускать чаты и собрания с этими пользователями.
точно в срок
В то время как сценарии, рассмотренные до сих пор, охватывают совместную работу в организации, существуют случаи, когда совместная работа между организациями жизненно важна. Это может быть в контексте совместных предприятий или организаций независимых юридических лиц. Используя подключенные организации и управление правами, вы можете определить политики доступа к ресурсам в подключенных организациях и разрешить пользователям запрашивать доступ к нужным ресурсам.
Совместные предприятия
Рассмотрим Contoso и Litware, отдельные организации, участвующие в многолетнем совместном предприятии. Они должны тесно сотрудничать. Администраторы компании Contoso определили пакеты доступа, содержащие ресурсы, необходимые пользователям Litware. Когда новому сотруднику Litware требуется доступ к ресурсам Contoso, он может запросить доступ к пакету доступа. После утверждения им предоставляются необходимые ресурсы. Доступ может быть ограничен временем и подлежит периодической проверке, чтобы обеспечить соответствие требованиям к управлению Contoso.
На следующей схеме показано, как две организации могут сотрудничать в режиме реального времени с помощью подключенных организаций и управления привилегиями.
Поддерживаемые сценарии
Синхронизация между арендаторами поддерживает импорт внутренних пользователей в исходном арендаторе и обеспечение внешних пользователей в целевом арендаторе.
| Учетные данные исходного арендатора | Тип пользователя исходного арендатора | Учетные данные целевого клиента | Пользовательский тип целевого клиента | Поддерживаемый сценарий? |
|---|---|---|---|---|
| Внутренний | Член | Внешняя. | Член | Да |
| Внутренний | Член | Внешняя | Гость | Да |
| Внутренний | Гость | Внешняя. | Участник | Да |
| Внутренняя | Гость | Внешняя. | Гость | Да |
| Внутренний | Член | Внутренний | Член | Нет |
| Внутренний | Член | Внутренний | Гость | Нет |
| Внутренний | Гость | Внутренняя | Член | Нет |
| Внутренний | Гость | Внутренний | Гость | Нет |
| Внешний | Член | Внешняя. | Член | Нет |
| Внешний | Член | Внешняя. | Гость | Нет |
| Внешняя. | Гость | Внешняя. | Участник | Нет |
| Внешний. | Гость | Внешняя. | Гость | Нет |