Soluciones comunes para la administración de usuarios multiinquilino

Este artículo es el cuarto de una serie de artículos que proporcionan una guía para configurar y proporcionar la administración del ciclo de vida de los usuarios en entornos multiinquilino de Microsoft Entra. En los artículos siguientes de la serie se proporciona más información, como se describe.

• El artículo Introducción a la administración de usuarios multiinquilino es el primero de la serie.
• Escenarios de administración de usuarios multiinquilino describe tres escenarios en los que se pueden usar las características de la administración de usuarios multiinquilino: iniciada por el usuario final, con scripts y automatizada.
• En Consideraciones comunes para la administración de usuarios multiinquilino se proporciona una guía sobre estas consideraciones: sincronización entre inquilinos, objeto de directorio, acceso condicional de Microsoft Entra, control de acceso adicional y Office 365.

Las instrucciones le permiten alcanzar un estado coherente de la administración del ciclo de vida de los usuarios. La administración del ciclo de vida comprende el aprovisionamiento, la administración y el desaprovisionamiento de usuarios entre inquilinos mediante las herramientas de Azure disponibles que incluyen la colaboración B2B de Microsoft Entra (B2B) y la sincronización entre inquilinos.

Cuando sea posible, Microsoft recomienda un único inquilino. Si el inquilino único no funciona en su escenario, consulte las siguientes soluciones que los clientes de Microsoft han implementado correctamente para estos desafíos:

• Administración automática del ciclo de vida del usuario y asignación de recursos entre inquilinos
• Uso compartido de aplicaciones locales entre inquilinos

Administración automática del ciclo de vida del usuario y asignación de recursos entre inquilinos

Un cliente adquiere a un competidor con el que anteriormente tenía una relación empresarial cercana. Las organizaciones quieren conservar sus identidades corporativas.

Estado actual

Actualmente, las organizaciones sincronizan los usuarios de cada una de ellas como objetos de correo electrónico de contacto a fin de que se muestren en los directorios de ambas. Cada inquilino de recurso tiene objetos de contacto de correo electrónico habilitados para todos los usuarios del otro inquilino. Entre inquilinos, no es posible obtener acceso a las aplicaciones.

Objetivos

El cliente tiene los siguientes objetivos.

• Cada usuario aparece en la GAL de cada organización.
  • Los cambios del ciclo de vida de las cuentas de usuario en el inquilino principal se reflejan automáticamente en la GAL del inquilino de recurso.
  • Los cambios de atributos en los inquilinos principales (por ejemplo, departamento, nombre y dirección de protocolo simple de transferencia de correo (SMTP)) se reflejan automáticamente en la GAL del inquilino de recurso y en la GAL inicial.
• Los usuarios pueden acceder a aplicaciones y recursos en el inquilino de recurso.
• Los usuarios pueden atender las solicitudes de acceso a los recursos sin ayuda de nadie.

Arquitectura de la solución

Las organizaciones usan una arquitectura punto a punto con un motor de sincronización como Microsoft Identity Manager (MIM). En el diagrama siguiente se muestra un ejemplo de arquitectura punto a punto para esta solución.

Título del diagrama: Solución de arquitectura punto a punto. A la izquierda, aparece un cuadro con la etiqueta La empresa A contiene usuarios internos y usuarios externos. A la derecha, un cuadro con la etiqueta Empresa B contiene usuarios internos y usuarios externos. Entre la empresa A y la empresa B, las interacciones del motor de sincronización van de la empresa A a la empresa B y de la empresa B a la empresa A.

Para crear los objetos de usuario, el administrador de cada inquilino sigue los siguientes pasos.

1. Se asegura de que la base de datos de usuario está actualizada.
2. Implementa y configura MIM.
   1. Direcciona los objetos de contacto existentes.
   2. Crea objetos de usuario de miembro externo para los usuarios miembros internos del otro inquilino.
   3. Sincroniza los atributos de objeto de usuario.
3. Implementa y configura paquetes de acceso de administración de derechos.
   1. Recursos que se van a compartir.
   2. Directivas de revisión de acceso y expiración.

Uso compartido de aplicaciones locales entre inquilinos

Un cliente con varias organizaciones del mismo nivel necesita compartir aplicaciones locales desde uno de los inquilinos.

Estado actual

Las organizaciones del mismo nivel sincronizan usuarios externos en una topología de malla, lo que permite la asignación de recursos a sus aplicaciones en la nube entre inquilinos. El cliente ofrece las siguientes funcionalidades.

• Comparta aplicaciones en Microsoft Entra ID.
• Administración automatizada del ciclo de vida de los usuarios en el inquilino de recursos en el inquilino principal (que refleja la adición, modificación y eliminación).

En el diagrama siguiente se muestra este escenario, donde solo los usuarios internos de la empresa A acceden a las aplicaciones locales de la empresa A.

Título del diagrama: Topología de malla. En la parte superior izquierda, un cuadro con la etiqueta Empresa A contiene usuarios internos y usuarios externos. En la parte superior derecha, un cuadro con la etiqueta Empresa B contiene usuarios internos y usuarios externos. En la parte inferior izquierda, un cuadro con la etiqueta Empresa C contiene usuarios internos y usuarios externos. En la parte inferior derecha, un cuadro con la etiqueta Empresa D contiene usuarios internos y usuarios externos. Entre la empresa A y la empresa B y entre la empresa C y la empresa D, las interacciones del motor de sincronización se producen entre las empresas a la izquierda y las empresas a la derecha.

Objetivos

Junto con la funcionalidad actual, quieren ofrecer lo siguiente.

• Brindar a los usuarios externos acceso a los recursos locales de la empresa A.
• Aplicaciones con autenticación del Lenguaje de Marcado para Confirmaciones de Seguridad (SAML).
• Aplicaciones con Autenticación integrada de Windows y Kerberos.

Arquitectura de la solución

La empresa A proporciona inicio de sesión único (SSO) a aplicaciones locales para sus propios usuarios internos mediante Azure Application Proxy, como se muestra en el diagrama siguiente.

Título del diagrama: Solución de arquitectura de Azure Application Proxy. En la parte superior izquierda, un cuadro con la etiqueta https://sales.constoso.com contiene un icono de globo para representar un sitio web. Debajo, un grupo de iconos representa al usuario y están conectados por una flecha del usuario al sitio web. En la parte superior derecha, una forma de nube llamada Microsoft Entra ID contiene un icono llamado Application Proxy Service. Una flecha conecta el sitio web a la forma de nube. En la parte inferior derecha, un cuadro con la etiqueta DMZ tiene el subtítulo Local. Una flecha conecta la forma de nube al cuadro DMZ y se divide en dos para apuntar a iconos etiquetados como Conector. Debajo del icono Conector de la izquierda, una flecha apunta hacia abajo y se divide en dos para apuntar a iconos etiquetados como Aplicación 1 y Aplicación 2. Debajo del icono Conector de la derecha, una flecha apunta hacia abajo a un icono con la etiqueta Aplicación 3.

Los administradores del inquilino A realizan los pasos siguientes para permitir que sus usuarios externos accedan a las mismas aplicaciones locales.

1. Configurar el acceso a las aplicaciones SAML.
2. Configurar el acceso a otras aplicaciones.
3. Cree usuarios locales a través de MIM o PowerShell.

En los artículos siguientes se proporciona información adicional sobre la colaboración B2B.

• En Concesión a los usuarios B2B de Microsoft Entra ID acceso a los recursos locales se describe cómo puede proporcionar a los usuarios B2B acceso a las aplicaciones locales.
• En Colaboración B2B de Microsoft Entra para organizaciones híbridas se describe cómo puede proporcionar a los asociados externos acceso a las aplicaciones y los recursos de la organización.

Pasos siguientes

• Introducción a la administración de usuarios multiinquilino es el primero de una serie de artículos que proporcionan instrucciones para configurar y proporcionar administración del ciclo de vida de los usuarios en entornos multiinquilino de Microsoft Entra.
• Escenarios de administración de usuarios multiinquilino describe tres escenarios en los que se pueden usar las características de la administración de usuarios multiinquilino: iniciada por el usuario final, con scripts y automatizada.
• En Consideraciones comunes para la administración de usuarios multiinquilino se proporciona una guía sobre estas consideraciones: sincronización entre inquilinos, objeto de directorio, acceso condicional de Microsoft Entra, control de acceso adicional y Office 365.