Scénář víceklientských organizací a možnosti Microsoft Entra
Tento článek obsahuje přehled scénáře víceklientských organizací a souvisejících funkcí v Microsoft Entra ID.
Co je tenant?
Tenant je instance ID Microsoft Entra, ve kterém se nacházejí informace o jedné organizaci, včetně organizačních objektů, jako jsou uživatelé, skupiny a zařízení, a také registrace aplikací, jako jsou aplikace Microsoft 365 a aplikace třetích stran. Tenant také obsahuje zásady přístupu a dodržování předpisů pro prostředky, jako jsou aplikace zaregistrované v adresáři. Mezi primární funkce obsluhované tenantem patří ověřování identit a správa přístupu k prostředkům.
Z pohledu Microsoft Entra tvoří tenant obor správy identit a přístupu. Správce tenanta například zpřístupní aplikaci některým nebo všem uživatelům v tenantovi a vynucuje zásady přístupu pro tuto aplikaci pro uživatele v daném tenantovi. Tenant navíc obsahuje data brandingu organizace, která řídí prostředí koncových uživatelů, jako jsou e-mailové domény organizací a adresy URL SharePointu používané zaměstnanci v této organizaci. Z pohledu Microsoftu 365 tenant tvoří výchozí hranici spolupráce a licencování. Uživatelé v Microsoft Teams nebo Microsoft Outlooku můžou například snadno najít a spolupracovat s ostatními uživateli ve svém tenantovi, ale nemají možnost najít nebo zobrazit uživatele v jiných tenantech.
Tenanti obsahují privilegovaná data organizace a jsou bezpečně izolovaní od jiných tenantů. Kromě toho je možné tenanty nakonfigurovat tak, aby data trvala a zpracovávala v konkrétní oblasti nebo cloudu, což organizacím umožňuje používat tenanty jako mechanismus pro splnění požadavků na rezidenci dat a zpracování požadavků na dodržování předpisů.
Co je organizace s více tenanty?
Organizace s více tenanty je organizace , která má více instancí Microsoft Entra ID. Tady jsou hlavní důvody, proč může mít organizace více tenantů:
- Conglomeráty: Organizace s více pobočkami nebo obchodními jednotkami, které fungují nezávisle.
- Fúze a akvizice: Organizace, které sloučí nebo získávají společnosti.
- Aktivita divestiture: V podrobné dokumentaci se jedna organizace rozdělí mimo svou firmu a vytvoří novou organizaci nebo ji prodává stávající organizaci.
- Více cloudů: Organizace, které mají dodržování předpisů nebo zákonné požadavky, musí existovat v několika cloudových prostředích.
- Více geografických hranic: Organizace, které pracují v několika geografických lokalitách s různými předpisy o rezidenci.
- Testovací nebo přípravní tenanti: Organizace, které potřebují více tenantů pro účely testování nebo přípravy před nasazením do primárních tenantů.
- Tenanti vytvořená oddělením nebo zaměstnanci: Organizace, ve kterých oddělení nebo zaměstnanci vytvořili tenanty pro vývoj, testování nebo samostatné řízení.
Problémy s více tenanty
Vaše organizace mohla nedávno získat novou společnost, sloučenou s jinou společností nebo restrukturalizovat na základě nově vytvořených organizačních jednotek. Pokud máte různorodé systémy správy identit, může být pro uživatele v různých tenantech obtížné přistupovat k prostředkům a spolupracovat.
Následující diagram ukazuje, jak uživatelé v jiných tenantech nemusí mít přístup k aplikacím napříč tenanty ve vaší organizaci.
Jak se vaše organizace vyvíjí, musí se váš IT tým přizpůsobit měnícím se potřebám. To často zahrnuje integraci s existujícím tenantem nebo vytvoření nového tenanta. Bez ohledu na to, jak je infrastruktura identit spravovaná, je důležité, aby uživatelé měli bezproblémové prostředí pro přístup k prostředkům a spolupráci. V současné chvíli možná používáte vlastní skripty nebo místní řešení k propojení tenantů, abyste zajistili bezproblémové prostředí napříč tenanty.
Přímé připojení B2B
Pokud chcete uživatelům napříč tenanty umožnit spolupráci v Propojení Teams sdílených kanálech, můžete použít přímé připojení Microsoft Entra B2B. Přímé připojení B2B je funkce externích identit, která umožňuje nastavit vzájemný vztah důvěryhodnosti s jinou organizací Microsoft Entra pro bezproblémovou spolupráci v Teams. Po navázání vztahu důvěryhodnosti má uživatel přímého připojení B2B přístup k jednotnému přihlašování pomocí přihlašovacích údajů ze svého domovského tenanta.
Tady je primární omezení s použitím přímého připojení B2B napříč více tenanty:
- Přímé připojení B2B v současné době funguje jenom s Propojení Teams sdílenými kanály.
Další informace najdete v tématu Přehled přímého připojení B2B.
Spolupráce B2B
Pokud chcete uživatelům umožnit spolupráci mezi tenanty, můžete použít spolupráci Microsoft Entra B2B. Spolupráce B2B je funkce v rámci externích identit, která umožňuje pozvat uživatele typu host, aby spolupracovali s vaší organizací. Jakmile externí uživatel uplatní pozvánku nebo dokončí registraci, bude ve vašem tenantovi reprezentován jako objekt uživatele. Díky spolupráci B2B můžete bezpečně sdílet aplikace a služby vaší společnosti s externími uživateli a současně udržovat kontrolu nad vlastními podnikovými daty.
Tady jsou primární omezení při použití spolupráce B2B napříč několika tenanty:
- Správa istrátory musí pozvat uživatele pomocí procesu pozvání B2B nebo vytvořit prostředí pro onboarding pomocí Správce pozvánek na spolupráci B2B.
- Správa istrátory mohou muset synchronizovat uživatele pomocí vlastních skriptů.
- V závislosti na nastavení automatického uplatnění může být potřeba, aby uživatelé přijali výzvu k vyjádření souhlasu a postup uplatnění v každém tenantovi.
- Ve výchozím nastavení mají uživatelé typ externího hosta, který má jiná oprávnění než externí člen a nemusí být požadovaným uživatelským prostředím.
Další informace najdete v tématu Přehled spolupráce B2B.
Synchronizace mezi tenanty
Pokud chcete, aby uživatelé měli prostředí pro bezproblémovou spolupráci napříč tenanty, můžete použít synchronizaci mezi tenanty. Synchronizace mezi tenanty je jednosměrná synchronizační služba v Microsoft Entra ID, která automatizuje vytváření, aktualizaci a odstraňování uživatelů spolupráce B2B napříč tenanty v organizaci. Synchronizace mezi tenanty vychází z funkcí spolupráce B2B a využívá stávající nastavení přístupu mezi tenanty B2B. Uživatelé jsou v cílovém tenantovi reprezentováni jako objekt uživatele spolupráce B2B.
Tady jsou hlavní výhody při použití synchronizace mezi tenanty:
- Automaticky vytvářet uživatele spolupráce B2B ve vaší organizaci a poskytovat jim přístup k potřebným aplikacím bez vytváření a údržby vlastních skriptů.
- Vylepšete uživatelské prostředí a zajistěte, aby uživatelé měli přístup k prostředkům, aniž by dostali e-mail s pozvánkou a museli v každém tenantovi přijmout výzvu k vyjádření souhlasu.
- Automaticky aktualizujte uživatele a odeberte je, když opustí organizaci.
Tady jsou primární omezení s použitím synchronizace mezi tenanty mezi tenanty mezi tenanty:
- Nevylepší aktuální prostředí Teams ani Microsoft 365. Synchronizovaní uživatelé budou mít mezi tenanty k dispozici stejná prostředí Teams a Microsoft 365 jako jakýkoli jiný uživatel spolupráce B2B.
- Nesynchronizuje skupiny, zařízení ani kontakty.
Další informace najdete v tématu Co je synchronizace mezi tenanty?.
Víceklientová organizace (Preview)
Důležité
Víceklientová organizace je aktuálně ve verzi PREVIEW. Podívejte se na podmínky produktu pro právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi Beta, Preview nebo které ještě nejsou vydány v obecné dostupnosti.
Víceklientová organizace je funkce v Microsoft Entra ID a Microsoftu 365, která umožňuje vytvořit skupinu tenantů ve vaší organizaci. Každá dvojice tenantů ve skupině se řídí nastavením přístupu mezi tenanty, které můžete použít ke konfiguraci B2B nebo synchronizace mezi tenanty.
Tady jsou hlavní výhody víceklientských organizací:
- Rozlišení externích uživatelů mimo organizaci a mimo organizaci
- Vylepšené prostředí pro spolupráci v novém Microsoft Teams
- Vylepšené prostředí vyhledávání osob napříč tenanty
Další informace naleznete v tématu Co je víceklientských organizací v Microsoft Entra ID?.
Porovnání víceklientských možností
V závislosti na potřebách vaší organizace můžete použít libovolnou kombinaci přímého připojení B2B, spolupráce B2B, synchronizace mezi tenanty a možností víceklientských organizací. Přímé připojení B2B a spolupráce B2B jsou nezávislé možnosti, zatímco synchronizace mezi tenanty a možnosti víceklientských organizací jsou nezávislé na sobě, i když oba spoléhají na základní spolupráci B2B.
Následující tabulka porovnává možnosti jednotlivých funkcí. Další informace orůznýchch
| Přímé připojení B2B (externí nebo interní organizace) |
Spolupráce B2B (externí nebo interní organizace) |
Synchronizace mezi tenanty (Interní organizace) |
Víceklientová organizace (Interní organizace) |
|
|---|---|---|---|---|
| Účel | Uživatelé mají přístup k Propojení Teams sdíleným kanálům hostovaným v externích tenantech. | Uživatelé mají přístup k aplikacím nebo prostředkům hostovaným v externích tenantech, obvykle s omezenými oprávněními hosta. V závislosti na nastavení automatického uplatnění může být potřeba, aby uživatelé v každém tenantovi přijali výzvu k vyjádření souhlasu. | Uživatelé můžou bezproblémově přistupovat k aplikacím a prostředkům ve stejné organizaci, i když jsou hostovaní v různých tenantech. | Uživatelé můžou bezproblémově spolupracovat v rámci víceklientských organizací v novém vyhledávání v Teams a lidech. |
| Hodnota | Umožňuje externí spolupráci jenom ve sdílených kanálech Propojení Teams. Pohodlnější pro správce, protože nemusí spravovat uživatele B2B. | Umožňuje externí spolupráci. Větší kontrola a monitorování pro správce prostřednictvím správy uživatelů spolupráce B2B. Správa istrátory můžou omezit přístup, který tito externí uživatelé mají ke svým aplikacím nebo prostředkům. | Umožňuje spolupráci mezi tenanty organizace. Správci nemusí ručně zvát uživatele a synchronizovat je mezi tenanty, aby zajistili nepřetržitý přístup k aplikacím nebo prostředkům v rámci organizace. | Umožňuje spolupráci mezi tenanty organizace. Správa istrátory mají i nadále plnou možnost konfigurace prostřednictvím nastavení přístupu mezi tenanty. Volitelné šablony přístupu mezi tenanty umožňují předběžnou konfiguraci nastavení přístupu mezi tenanty. |
| Pracovní postup primárního správce | Nakonfigurujte přístup mezi tenanty tak, aby externím uživatelům poskytoval příchozí přístup k tenantovi přihlašovací údaje pro svého domácího tenanta. | Přidejte externí uživatele do tenanta prostředků pomocí procesu pozvání B2B nebo vytvořte vlastní prostředí pro onboarding pomocí správce pozvánek na spolupráci B2B. | Nakonfigurujte synchronizační modul mezi tenanty tak, aby synchronizoval uživatele mezi více tenanty jako uživatele spolupráce B2B. | Vytvořte víceklientovou organizaci, přidejte (pozvat) tenanty, připojte se k organizaci s více tenanty. Využijte stávající uživatele spolupráce B2B nebo pomocí synchronizace mezi tenanty zřiďte uživatele spolupráce B2B. |
| Úroveň důvěryhodnosti | Střední důvěra. Uživatelé přímého připojení B2B se snadněji sledují a zatěžují určitou úroveň důvěryhodnosti s externí organizací. | Nízká až střední důvěra. Uživatelské objekty je možné snadno sledovat a spravovat pomocí podrobných ovládacích prvků. | Vysoká důvěra. Všichni tenanti jsou součástí stejné organizace a uživatelé mají obvykle udělený přístup ke všem aplikacím a prostředkům. | Vysoká důvěra. Všichni tenanti jsou součástí stejné organizace a uživatelé mají obvykle udělený přístup ke všem aplikacím a prostředkům. |
| Vliv na uživatele | Uživatelé přistupují k tenantovi prostředku pomocí přihlašovacích údajů pro svého domácího tenanta. Objekty uživatele se nevytvořily v tenantovi prostředků. | Externí uživatelé se přidají do tenanta jako uživatelé spolupráce B2B. | Ve stejné organizaci se uživatelé synchronizují ze svého domovského tenanta do tenanta prostředků jako uživatelé spolupráce B2B. | Ve stejné organizaci s více tenanty můžou uživatelé spolupráce B2B, zejména členové, využívat výhod rozšířené a bezproblémové spolupráce v Microsoftu 365. |
| Typ uživatele | Uživatel přímého připojení B2B -N/A |
Uživatel spolupráce B2B – Externí člen – Externí host (výchozí) |
Uživatel spolupráce B2B – Externí člen (výchozí) - Externí host |
Uživatel spolupráce B2B – Externí člen (výchozí) - Externí host |
Následující diagram znázorňuje, jak lze společně používat možnosti přímého připojení B2B, spolupráce B2B a synchronizace mezi tenanty.
Terminologie
Pokud chcete lépe porozumět scénářům víceklientských organizací souvisejících s funkcemi Microsoft Entra, můžete se vrátit k následujícímu seznamu termínů.
| Pojem | definice |
|---|---|
| tenant | An instance of Microsoft Entra ID. |
| organization | Nejvyšší úroveň obchodní hierarchie. |
| víceklientských organizací | Organizace, která má více než jednu instanci MICROSOFT Entra ID, a také schopnost seskupit tyto instance v Microsoft Entra ID. |
| tenant creator | Tenant, který vytvořil víceklientovou organizaci. |
| tenant vlastníka | Tenant s rolí vlastníka. Na začátku tenant tvůrce. |
| přidání tenanta | Tenant přidaný tenantem vlastníka. |
| joiner tenant | Tenant, který se připojuje k organizaci s více tenanty. |
| žádost o připojení | Joiner nebo přidaný tenant odešle žádost o připojení pro připojení k organizaci s více tenanty. |
| čekající tenant | Tenant přidaný vlastníkem, ale ještě se nepřipojil. |
| aktivní tenant | Tenant, který vytvořil nebo se připojil k organizaci s více tenanty. |
| tenant člena | Tenant s rolí člena. Většina tenantů spojování začíná jako členové. |
| tenant víceklientských organizací | Aktivní tenant víceklientských organizací, které nejsou čekající na vyřízení. |
| synchronizace mezi tenanty | Jednosměrná synchronizační služba v Microsoft Entra ID, která automatizuje vytváření, aktualizaci a odstraňování uživatelů spolupráce B2B napříč tenanty v organizaci. |
| Nastavení přístupu mezi tenanty | Nastavení ke správě spolupráce pro konkrétní organizace Microsoft Entra. |
| Šablona nastavení přístupu mezi tenanty | Volitelná šablona pro předkonfigurování nastavení přístupu mezi tenanty, která se použijí pro každého partnerského tenanta, který se nově připojí k víceklientové organizaci. |
| nastavení organizace | Nastavení přístupu mezi tenanty pro konkrétní organizace Microsoft Entra |
| konfigurace | Aplikace a základní instanční objekt v MICROSOFT Entra ID, které zahrnuje nastavení (například cílového tenanta, obor uživatele a mapování atributů) potřebné pro synchronizaci mezi tenanty. |
| Zřizování | Proces automatického vytváření nebo synchronizace objektů přes hranici. |
| automatické uplatnění | Nastavení B2B pro automatické uplatnění pozvánek, aby nově vytvořená uživatelé nedostali e-mail s pozvánkou nebo museli přijmout výzvu k vyjádření souhlasu při přidání do cílového tenanta. |