Présentation de la gestion multilocataire des utilisateurs

  • Article

Cet article est le premier d’une série d’articles d’aide à la configuration et la gestion du cycle de vie des utilisateurs dans les environnements multilocataires Microsoft Entra. Pour plus d’informations consultez les articles de la série répertoriés ci-dessous.

Ces conseils vous aident à mettre en place une gestion cohérente du cycle de vie des utilisateurs. La gestion de cycle de vie comprend le provisionnement, la gestion et le déprovisionnement des utilisateurs entre les locataires à l’aide des outils Azure disponibles, par exemple Microsoft Entra B2B Collaboration (B2B) et la synchronisation interlocataire.

L’approvisionnement d’utilisateurs dans un seul locataire Microsoft Entra fournit une vue unifiée des ressources et un seul ensemble de stratégies et de contrôles. Cette approche permet une gestion cohérente du cycle de vie des utilisateurs.

Microsoft recommande un seul locataire dans la mesure du possible. La présence de plusieurs locataires peut entraîner des conditions uniques en matière de gestion et de collaboration entre locataires. Lorsque la centralisation sur un seul locataire Microsoft Entra n’est pas possible, les organisations multilocataires peuvent s’étendre sur au moins deux locataires Microsoft Entra pour les raisons suivantes.

  • Fusions
  • Acquisitions
  • Cessions
  • Collaboration entre les clouds publics, souverains et régionaux
  • Structures politiques ou organisationnelles qui interdisent de tout regrouper sur un seul locataire Microsoft Entra

Collaboration Microsoft Entra B2B

Microsoft Entra B2B Collaboration (B2B) vous permet de partager de façon sécurisée les applications et services de votre entreprise avec des utilisateurs externes. Lorsque les utilisateurs peuvent provenir de n’importe quelle organisation, B2B vous aide à garder le contrôle sur l’accès à votre environnement informatique et à vos données.

Vous pouvez utiliser B2B Collaboration pour fournir un accès externe aux utilisateurs de votre organisation, afin qu’ils accèdent aux différents locataires que vous gérez. En règle générale, l’accès utilisateur externe B2B peut autoriser l’accès aux utilisateurs que votre propre organisation ne gère pas. Toutefois, l’accès des utilisateurs externes peut gérer l’accès sur plusieurs locataires gérés par votre organisation.

Une zone de confusion avec Microsoft Entra B2B Collaboration entoure les propriétés d’un utilisateur invité B2B. La différence entre les comptes d’utilisateurs internes et externes, et les types d’utilisateurs membres et invités contribue à la confusion. Au départ, tous les utilisateurs internes sont des utilisateurs membres dotés de l’attribut UserType défini sur Member (utilisateurs membres). Un utilisateur interne dispose d’un compte dans votre instance Microsoft Entra ID, qui fait autorité et s’authentifie auprès du locataire où réside l’utilisateur. Un utilisateur membre est un utilisateur sous licence disposant d’autorisations de niveau membre par défaut dans le locataire. Traitez les utilisateurs membres comme des employés de votre organisation.

Vous pouvez inviter un utilisateur interne d’un locataire à accéder à un autre locataire en tant qu’utilisateur externe. Un utilisateur externe se connecte avec un compte Microsoft Entra externe, une identité sociale ou un autre fournisseur d’identité externe. Les utilisateurs externes s’authentifient en dehors du locataire dans lequel vous les invitez. Lors de la première version B2B, tous les utilisateurs externes étaient du type UserTypeGuest (des utilisateurs invités). Les utilisateurs invités disposent d’autorisations restreintes dans le locataire. Par exemple, les utilisateurs invités ne peuvent pas énumérer la liste de tous les utilisateurs ni celle des groupes dans l’annuaire du locataire.

Pour la propriété UserType définie sur les utilisateurs, B2B prend en charge le basculement du bit, d’interne à externe, et vice versa, ce qui alimente la confusion.

Vous pouvez faire passer un utilisateur interne d’utilisateur membre à utilisateur invité. Par exemple, vous pouvez avoir un utilisateur invité interne, sans licence, avec des autorisations de niveau invité dans le locataire, ce qui s’avère utile lorsque vous fournissez un compte d’utilisateur et des informations d’identification à une personne qui n’est pas employée par votre organisation.

Vous pouvez faire passer un utilisateur externe d’utilisateur invité à utilisateur membre en accordant des autorisations de niveau membre à cet utilisateur externe. Cette modification est utile lorsque vous gérez plusieurs locataires pour votre organisation, et que vous devez accorder des autorisations de niveau membre à un utilisateur sur tous les locataires. Ce besoin peut survenir, que l’utilisateur soit interne ou externe dans un locataire donné. Les utilisateurs membres peuvent avoir besoin de licences supplémentaires.

La documentation B2B qualifie souvent un utilisateur externe d’utilisateur invité. Elle fait un amalgame de la propriété UserType d’une façon qui suppose que tous les utilisateurs invités sont externes. Quand il est question d’un utilisateur invité dans la documentation, il s’agit supposément d’un utilisateur invité externe. Cet article fait précisément et intentionnellement la distinction entre un utilisateur externe et un utilisateur interne d’un part, et entre un utilisateur membre et un utilisateur invité d’autre part.

Synchronisation entre clients

La synchronisation entre clients permet aux organisations multilocataires de fournir des expériences d’accès et de collaboration fluides aux utilisateurs finaux, en tirant parti des fonctionnalités de collaboration externe B2B existantes. La fonctionnalité n’autorise pas la synchronisation entre locataires dans les clouds souverains Microsoft (par exemple, Microsoft 365 US Government GCC High, DOD ou Office 365 en Chine). Consultez Considérations courantes relatives à la gestion multilocataire des utilisateurs pour obtenir de l’aide concernant les scénarios de synchronisation automatisée et personnalisée entre clients.

Regardez l’intervention d’Arvind Harinder sur la fonctionnalité de synchronisation entre locataires dans Microsoft Entra ID (vidéo incorporée ci-dessous).

Les articles conceptuels et de guide pratique suivants fournissent des informations sur Microsoft Entra B2B Collaboration et la synchronisation entre locataires.

Articles conceptuels

  • Recommandations relatives aux fonctionnalités des Bonnes pratiques B2B pour offrir l’expérience la plus naturelle possible aux utilisateurs et administrateurs.
  • Partage externe B2B et Office 365 explique les similitudes et les différences des partages de ressources via B2B, Office 365 et SharePoint/OneDrive.
  • Propriétés d’un utilisateur Microsoft Entra B2B Collaboration décrit les propriétés et les états de l’objet utilisateur externe dans Microsoft Entra ID. La description fournit des détails avant et après l’utilisation d’invitation.
  • Jetons utilisateur B2B fournit des exemples de jetons de porteur pour B2B, destinés à un utilisateur externe.
  • Accès conditionnel pour B2B explique le fonctionnement de l’accès conditionnel et de l’authentification multifacteur pour les utilisateurs externes.
  • Paramètres d’accès entre locataires fournit un contrôle précis sur la façon dont les organisations Microsoft Entra externes collaborent avec vous (accès entrant) et la façon dont vos utilisateurs collaborent avec des organisations Microsoft Entra externes (accès sortant).
  • Vue d’ensemble de la synchronisation entre locataires explique comment automatiser la création, la mise à jour et la suppression d’utilisateurs Microsoft Entra B2B Collaboration entre les locataires d’une organisation.

Articles pratiques

Terminologie

Les termes suivants dans le contenu Microsoft font référence à la collaboration multilocataire dans Microsoft Entra ID.

  • Locataire de ressources : locataire Microsoft Entra contenant les ressources que les utilisateurs veulent partager avec d’autres personnes.
  • Locataire de base : locataire Microsoft Entra contenant les utilisateurs qui ont besoin d’accéder aux ressources du locataire de ressources.
  • Utilisateur interne : utilisateur interne disposant d’un compte qui fait autorité et s’authentifie auprès du locataire où réside l’utilisateur.
  • Utilisateur externe : utilisateur externe disposant d’un compte Microsoft Entra externe, d’une identité sociale ou d’un autre fournisseur d’identité externe pour se connecter. L’utilisateur externe s’authentifie quelque part, en dehors du locataire dans lequel vous l’avez invité.
  • Utilisateur membre : utilisateur membre interne ou externe, sous licence, et disposant d’autorisations de niveau membre par défaut dans le locataire. Traitez les utilisateurs membres comme des employés de votre organisation.
  • Utilisateur invité : utilisateur invité interne ou externe disposant d’autorisations restreintes dans le locataire. Les utilisateurs invités ne sont pas des employés de votre organisation (par exemple, des utilisateurs de partenaires). La documentation B2B fait très souvent allusion à des invités B2B. Il s’agit essentiellement de comptes d’utilisateurs invités externes.
  • Gestion du cycle de vie des utilisateurs : processus de provisionnement, de gestion et de déprovisionnement de l’accès utilisateur aux ressources.
  • Liste d’adresses globale unifiée : chaque utilisateur de chaque locataire peut voir les utilisateurs de chaque organisation dans sa liste d’adresses globale (GAL, Global Address List).

Décider du moyen de répondre à vos exigences

Les conditions uniques de votre organisation influencent votre stratégie de gestion des utilisateurs dans les locataires. Pour créer une stratégie efficace, tenez compte des conditions suivantes.

  • Le nombre de locataires
  • Le type d’organisation
  • Les topologies actuelles
  • Les besoins spécifiques de synchronisation des utilisateurs

Conditions courantes

Les organisations se concentrent d’abord sur les conditions qu’elles souhaitent voir en place pour une collaboration immédiate. Parfois appelées conditions Au premier jour, elles ont pour but de permettre aux utilisateurs finals de fusionner en douceur, sans que leur capacité à générer de la valeur soit interrompue. Lorsque vous définissez les conditions d’administration et Au premier jour, songez à inclure les conditions et besoins suivants.

Exigences de communication

  • Liste d’adresses globale unifiée : chaque utilisateur peut voir tous les autres utilisateurs de la liste d’adresses globale dans son locataire de base.
  • Informations de disponibilité : possibilité donnée aux utilisateurs de découvrir la disponibilité des uns et des autres. Pour ce faire, utilisez les Relations organisationnelles dans Exchange Online.
  • Conversation et présence : possibilité donnée aux utilisateurs de déterminer qui est là, et de démarrer la messagerie instantanée. Configuration via l’accès externe dans Microsoft Teams.
  • Réserver des ressources telles que des salles de réunion : possibilité donnée aux utilisateurs de réserver des salles de conférence ou d’autres ressources dans l’organisation. La réservation de salles de conférence entre locataires n’est pas disponible actuellement dans Exchange Online.
  • ‎Domaine de courrier unique : possibilité donnée à tous les utilisateurs d’envoyer et de recevoir des e-mails à partir d’un seul domaine de courrier (par exemple users@contoso.com). L’envoi nécessite une solution de réécriture d’adresse e-mail.

Conditions d’accès

  • Accès aux documents : possibilité donnée aux utilisateurs de partager des documents à partir de SharePoint, OneDrive et Teams.
  • Administration : autorisation donnée aux administrateurs de gérer la configuration des abonnements et des services déployés sur plusieurs locataires.
  • Accès aux applications : autorisation donnée aux utilisateurs finals d’accéder aux applications de l’organisation.
  • Authentification unique : possibilité donnée aux utilisateurs d’accéder aux ressources de l’organisation sans avoir à entrer d’autres informations d’identification.

Modèles pour la création de comptes

Les mécanismes Microsoft de création et de gestion du cycle de vie de vos comptes d’utilisateurs externes suivent trois modèles courants. Vous pouvez utiliser ces modèles pour vous aider à définir et à implémenter vos conditions. Choisissez le modèle qui correspond le mieux à votre scénario, puis examinez de près les détails de ce modèle.

Mécanisme Description Mieux quand
À l’initiative de l’utilisateur final Les administrateurs de locataires de ressources délèguent aux utilisateurs d’un locataire de ressources la capacité à inviter des utilisateurs externes dans le locataire, sur une application ou une ressource. Vous pouvez inviter des utilisateurs à partir du locataire de base, ou ils peuvent s’inscrire individuellement. Liste d’adresses globale unifiée non obligatoire pour Au premier jour.
Avec script Les administrateurs des locataires de ressources déploient un processus de tirage par script pour automatiser la détection et le provisionnement des utilisateurs invités, afin de prendre en charge les scénarios de partage. Petit nombre de locataires (par exemple, deux).
Automatisé Les administrateurs de locataires de ressources utilisent un système de provisionnement d’identités pour automatiser les processus de provisionnement et de déprovisionnement. Vous avez besoin d’une liste d’adresses globale unifiée entre locataires.

Étapes suivantes