跨租用戶共同作業的拓樸
由於合併和收購、法規要求或系統管理邊界,組織通常會管理多個租用戶。 無論您的案例如何,Microsoft Entra 都可提供彈性且隨時可用的解決方案,可在租用戶之間佈建帳戶,並促進順暢的共同作業。 Microsoft Entra 可容納下列三種模型,並可適應您不斷演變的組織需求。
- 中樞與輪幅
- 網狀
- Just-in-time
中樞與輪幅
中樞和支點拓撲提供兩種常見的模式:
選項 1 (應用程式中樞):在此選項中,您可以將常用的應用程式整合到整個組織使用者可以存取的中央中樞租用戶當中。
選項 2 (使用者中樞):或者,選項 2 會將單一租用戶中的所有使用者集中,並將其佈建到資源受控的支點租用戶當中。
讓我們來檢閱一些真實案例,並查看如何對齊這些模式。
合併和收購 (應用程式中樞)
合併和收購期間,快速啟用共同作業的能力至關重要,可讓企業在做出複雜的 IT 決策時保持凝聚力。 例如,當新收購的公司員工需要立即存取內部技術支援中心票證系統,或權益應用程式等應用程式時,跨租用戶同步處理可證明其價值所在。 此同步處理流程可讓被收購公司的使用者,第一天就佈建到應用程式中樞,並授與他們 SaaS 應用程式、內部部署應用程式和其他雲端資源的存取權。 在目標租用戶中,系統管理員可以設定存取套件,以授與限時存取權給其他應用程式,例如包含業務關鍵資料的 Salesforce 和 Amazon Web Services。 下圖顯示最近取得的租用戶,以及其使用者佈建至父公司的租用戶,以授與使用者對必要資源的存取權。
個別共同作業和資源租用戶 (使用者中樞)
當組織調整其 Azure 使用量時,通常會建立專用租用戶來管理重要的 Azure 資源。 同時,他們依賴中央中樞租用戶來佈建使用者。 此模型可讓中樞租用戶中的系統管理員建立集中的安全性和治理原則,同時授與開發團隊更多的自主權和靈活性,以部署所需的 Azure 資源。 跨租用戶同步處理可讓系統管理員將使用者子集佈建到支點租用戶,並管理這些使用者的生命週期,藉此支援此拓撲。
網狀
雖然有些公司將使用者集中到單一租用戶內,但有些公司則具有更分散的結構,且應用程式、HR 系統和 Active Directory 網域會整合到每個租用戶中。 跨租用戶同步處理提供彈性,以選擇要佈建到每個租用戶的使用者。
投資組合公司內共同作業 (部分雲端)
在此案例中,每個租用戶都代表相同父組織內的不同公司。 每個租用戶中的系統管理員都會選擇要佈建到目標租用戶的使用者子集。 此解決方案可讓每個租用戶彈性獨立運作,同時在使用者需要存取重要資源時促進共同作業。
跨租用戶同步處理是一種方式。 內部成員使用者可以作為外部使用者身分同步處理至多個租用戶。 當拓撲顯示雙向同步處理時,每個方向都是一組不同的使用者,而每個箭頭都是個別的設定。
跨業務單位共同作業 (全雲端)
在此案例中,組織已為每個業務單位指定不同的租用戶。 業務單位會密切合作,特別是使用 Microsoft Teams。 因此,每個租用戶都已選擇在組織中四個租用戶之間佈建所有使用者。 當新使用者加入公司或離開時,佈建服務會負責建立和刪除使用者。 組織也已設定包含這四個租用戶的多租用戶組織。 現在,當使用者需要在 Teams 中共同作業時,他們能夠輕鬆地在公司內尋找使用者,並與這些使用者開始聊天和會議。
Just-in-time
雖然到目前為止所討論的案例涵蓋組織內的共同作業,但在某些情況下,跨組織共同作業至關重要。 這可能是在合資公司或獨立法人組織的背景下。 藉由採用連線的組織與權利管理,您可以定義原則來存取已連線至組織的資源,並讓使用者要求存取所需的資源。
合資公司
請考慮 Contoso 和 Litware,參與多年合資公司的獨立組織。 他們彼此需要密切合作。 Contoso 的系統管理員已定義存取套件,其中包含 Litware 使用者所需的資源。 當新的 Litware 員工需要存取 Contoso 的資源時,他們可以要求存取套件。 核准後,會使用必要的資源進行佈建。 存取可能會有時間限制,並受限於定期檢閱,以確保符合 Contoso 的治理需求。
下圖顯示兩個組織如何使用組織連線和權利管理,以實現 Just-In-Time 共同作業。
支援的案例
跨租用戶同步處理支援匯入來源租用戶中的內部使用者,以及在目標租用戶中佈建外部使用者。
| 來源租用戶認證 | 來源租用戶 userType | 目標租用戶認證 | 目標租用戶 userType | 案例是否受支援? |
|---|---|---|---|---|
| 內部 | 成員 | 外部 | member | 是 |
| 內部 | 成員 | 外部 | 來賓 | Yes |
| 內部 | 來賓 | 外部 | member | 是 |
| 內部 | 來賓 | 外部 | 來賓 | Yes |
| 內部 | member | 內部 | member | 否 |
| 內部 | member | 內部 | 來賓 | No |
| 內部 | 來賓 | 內部 | member | 否 |
| 內部 | 來賓 | 內部 | 來賓 | No |
| 外部 | member | 外部 | member | No |
| 外部 | member | 外部 | 來賓 | No |
| 外部 | 來賓 | 外部 | member | No |
| 外部 | 來賓 | 外部 | 來賓 | No |