Scénario d’une organisation multi-locataire et fonctionnalités de Microsoft Entra
Cet article fournit une vue d’ensemble du scénario d’une organisation multi-locataire et des fonctionnalités associées dans Microsoft Entra ID.
Qu’est-ce qu’un locataire ?
Un locataire est une instance de Microsoft Entra ID où se trouvent des informations sur une seule organisation, y compris des objets organisationnels, comme des utilisateurs, des groupes et des appareils, ainsi que des inscriptions d’applications, comme Microsoft 365 et des applications de tiers. Un locataire contient également des stratégies d’accès et de conformité pour les ressources, telles que les applications inscrites dans l’annuaire. Les principales fonctions prises en charge par un locataire incluent l’authentification d’identité ainsi que la gestion de l’accès aux ressources.
Du point de vue de Microsoft Entra, un locataire constitue une étendue de gestion des identités et des accès. Par exemple, un administrateur de locataire met une application à la disposition de certains ou de tous les utilisateurs du locataire et applique des stratégies d’accès à cette application pour les utilisateurs de ce locataire. En outre, un locataire contient des données de personnalisation de l’organisation qui pilotent les expériences des utilisateurs finaux, telles que les domaines de messagerie des organisations et les URL SharePoint utilisées par les employés de cette organisation. Du point de vue de Microsoft 365, un locataire forme la limite de collaboration et de licence par défaut. Par exemple, les utilisateurs dans Microsoft Teams ou Microsoft Outlook peuvent facilement trouver et collaborer avec d’autres utilisateurs de leur locataire, mais ils n’ont pas la possibilité de rechercher ou de voir des utilisateurs dans d’autres locataires.
Les locataires contiennent des données organisationnelles privilégiées et sont isolés en toute sécurité des autres locataires. En outre, les locataires peuvent être configurés pour que les données soient conservées et traitées dans une région ou un cloud spécifique, ce qui permet aux organisations d’utiliser les locataires comme mécanisme pour répondre aux exigences de conformité en matière de résidence et de gestion des données.
Qu’est-ce qu’une organisation multi-locataire ?
Une organisation multi-locataire est une organisation qui possède plusieurs instances de Microsoft Entra ID. Voici les principales raisons pour lesquelles une organisation peut avoir plusieurs locataires :
- Conglomérats : les organisations avec plusieurs filiales ou unités commerciales qui fonctionnent indépendamment.
- Fusions et acquisitions : organisations qui fusionnent ou acquièrent des sociétés.
- Activité de cession : dans le cadre d’une cession, une organisation fractionne une partie de ses activités pour former une nouvelle organisation ou la vendre à une organisation existante.
- Plusieurs clouds : les organisations dont la conformité ou la réglementation doivent exister dans plusieurs environnements cloud.
- Plusieurs limites géographiques : organisations qui opèrent dans plusieurs emplacements géographiques avec différentes réglementations de résidence.
- Locataires de test ou intermédiaires : organisations qui ont besoin de plusieurs locataires à des fins de test ou de préproduction avant de procéder à un déploiement plus large sur des locataires principaux.
- Locataires créés par un service ou un employé : organisations où des services ou des employés ont créé des locataires pour le développement, le test ou le contrôle distinct.
Défis du multi-locataire
Votre organisation a peut-être récemment acquis une nouvelle société, fusionné avec une autre entreprise ou été restructurée en fonction de nouvelles unités commerciales. Si vous avez des systèmes de gestion des identités disparates, il peut être difficile pour les utilisateurs de différents locataires d’accéder aux ressources et de collaborer.
Le diagramme suivant montre comment les utilisateurs d’autres locataires peuvent ne pas être en mesure d’accéder aux applications entre les locataires de votre organisation.
À mesure que votre organisation évolue, votre équipe informatique doit s’adapter pour répondre aux besoins changeants. Cela inclut souvent l’intégration à un locataire existant ou la création d’un nouveau locataire. Quelle que soit la façon dont l’infrastructure d’identité est gérée, il est essentiel que les utilisateurs aient une expérience transparente d’accès aux ressources et de collaboration. Aujourd’hui, vous utilisez peut-être des scripts personnalisés ou des solutions locales pour rassembler les locataires afin de fournir une expérience transparente entre les locataires.
Connexion directe B2B
Pour permettre aux utilisateurs des différents locataires de collaborer dans des canaux partagés Teams Connect, vous pouvez utiliser la connexion directe B2B Microsoft Entra. La connexion directe B2B est une fonctionnalité d’External Identities qui vous permet de configurer une relation d’approbation mutuelle avec une autre organisation Microsoft Entra pour collaborer de façon transparente dans Teams. Lorsque la confiance est établie, l’utilisateur de la connexion directe B2B dispose d’un accès d’authentification unique en utilisant les informations d’identification de leur locataire.
Voici la contrainte principale liée à l’utilisation de la connexion directe B2B entre plusieurs locataires :
- Actuellement, la connexion directe B2B fonctionne uniquement avec les canaux partagés Teams Connect.
Pour plus d’informations, consultez Vue d’ensemble de la connexion directe B2B.
B2B Collaboration
Pour permettre aux utilisateurs de différents locataires de collaborer, vous pouvez utiliser B2B Collaboration Microsoft Entra. La collaboration B2B est une fonctionnalité dans External Identities qui vous permet d’inviter des utilisateurs à collaborer avec votre organisation. Une fois que l’utilisateur externe a accepté l’invitation ou terminé l’inscription, il est représenté dans votre locataire sous la forme d’un objet utilisateur. Azure AD B2B Collaboration vous permet de partager de manière sécurisée les applications et services de votre organisation avec des utilisateurs externes, tout en conservant le contrôle sur vos propres données d’entreprise.
Voici les principales contraintes liées à l’utilisation de la collaboration B2B entre plusieurs locataires :
- Les administrateurs doivent inviter des utilisateurs à l’aide du processus d’invitation B2B ou créer une expérience d’intégration à l’aide du gestionnaire d’invitations B2B Collaboration.
- Les administrateurs peuvent avoir à synchroniser les utilisateurs à l’aide de scripts personnalisés.
- Selon les paramètres d’échange automatique, les utilisateurs peuvent avoir besoin d’accepter une invite de consentement et de suivre un processus d’échange dans chaque locataire.
- Par défaut, les utilisateurs sont de type invité externe, qui a des autorisations différentes de celles du membre externe et peut ne pas être l’expérience utilisateur souhaitée.
Pour plus d’informations, consultez Présentation de B2B Collaboration.
Synchronisation entre clients
Si vous souhaitez que les utilisateurs bénéficient d’une expérience de collaboration plus fluide entre les locataires, vous pouvez utiliser la synchronisation interlocataire. La synchronisation entre locataires est un service de synchronisation unidirectionnelle dans Microsoft Entra ID qui automatise la création, la mise à jour et la suppression d’utilisateurs de B2B Collaboration entre les locataires d’une organisation. La synchronisation interlocataire s’appuie sur la fonctionnalité de collaboration B2B et utilise les paramètres d’accès interlocataires B2B existants. Les utilisateurs sont représentés dans le locataire cible sous la forme d’un objet utilisateur de collaboration B2B.
Voici les principaux avantages de l’utilisation de la synchronisation interlocataire :
- Créez automatiquement des utilisateurs B2B Collaboration au sein de votre organisation et fournissez-leur l’accès aux applications dont ils ont besoin, sans créer et gérer des scripts personnalisés.
- Améliorez l’expérience utilisateur et assurez-vous que les utilisateurs peuvent accéder aux ressources, sans recevoir d’e-mail d’invitation et avoir à accepter une invite de consentement dans chaque locataire.
- Mettez à jour automatiquement les utilisateurs et supprimez-les lorsqu’ils quittent l’organisation.
Voici les principales contraintes liées à l’utilisation de la synchronisation interlocataire entre plusieurs locataires :
- N’améliore pas les expériences Teams ou Microsoft 365 actuelles. Les utilisateurs synchronisés auront les mêmes expériences Teams et Microsoft 365 interlocataires disponibles pour tout autre utilisateur B2B Collaboration.
- Ne synchronise pas les groupes, les appareils ou les contacts.
Pour plus d’informations, consultez Qu’est-ce que la synchronisation entre clients ?
Organisation multi-locataire (préversion)
Important
L’organisation multilocataire est actuellement en PRÉVERSION. Consultez les conditions du produit pour les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.
L’organisation multi-locataire est une fonctionnalité de Microsoft Entra ID et de Microsoft 365 qui vous permet de constituer un groupe de locataires au sein de votre organisation. Chaque paire de locataires du groupe est régie par les paramètres d’accès interlocataires que vous pouvez utiliser pour configurer la synchronisation B2B ou interlocataire.
Voici les principaux avantages d’une organisation multi-locataire :
- Différencier les utilisateurs externes in-organization et out-of-organization
- Expérience collaborative améliorée dans le nouveau Microsoft Teams
- Amélioration de l’expérience de recherche de personnes entre locataires
Pour plus d’informations, consultez Qu’est-ce qu’une organisation multi-locataire dans Microsoft Entra ID ?.
Comparer les fonctionnalités multi-locataires
Selon les besoins de votre organisation, vous pouvez utiliser n’importe quelle combinaison de connexion directe B2B, collaboration B2B, synchronisation entre clients et capacités d'organisation multi-locataire. La connexion directe B2B et la collaboration B2B sont des fonctionnalités indépendantes, tandis que les fonctionnalités de synchronisation entre clients et de l’organisation multi-locataire sont indépendantes l’une de l’autre, bien que les deux s’appuient sur la collaboration B2B sous-jacente.
Le tableau suivant compare les capacités de chaque fonctionnalité. Pour plus d’informations sur différents scénarios d’identité externe, consultez Comparaison des ensembles de fonctionnalités d’identités externes.
| Connexion directe B2B (Externe ou interne d’organisation à organisation) |
B2B Collaboration (Externe ou interne d’organisation à organisation) |
Synchronisation entre clients (Interne à l’organisation) |
Organisation multi-locataire (Interne à l’organisation) |
|
|---|---|---|---|---|
| Objectif | Les utilisateurs peuvent accéder aux canaux Teams Connect partagés hébergés dans des locataires externes. | Les utilisateurs peuvent accéder aux applications/ressources hébergées dans des locataires externes, généralement avec des privilèges invités limités. Selon les paramètres d’échange automatique, les utilisateurs peuvent avoir besoin d’accepter une invite de consentement dans chaque locataire. | Les utilisateurs peuvent accéder en toute transparence aux applications/ressources au sein de la même organisation, même s’ils sont hébergés dans des locataires différents. | Les utilisateurs peuvent collaborer de manière plus fluide au sein d'une organisation multi-locataire dans le nouveau Teams et la recherche de personnes. |
| Valeur | Active la collaboration externe au sein des canaux Teams Connect partagés uniquement. Plus pratique pour les administrateurs, car ils n’ont pas besoin de gérer les utilisateurs B2B. | Active la collaboration externe. Plus de contrôle et de surveillance pour les administrateurs en gérant les utilisateurs B2B Collaboration. Les administrateurs peuvent limiter l’accès de ces utilisateurs externes à leurs applications/ressources. | Active la collaboration entre les locataires de l’organisation. Les administrateurs n’ont pas besoin d’inviter et de synchroniser manuellement des utilisateurs entre locataires pour garantir un accès continu aux applications/ressources au sein de l’organisation. | Active la collaboration entre les locataires de l’organisation. Les administrateurs continuent d’avoir une capacité de configuration complète via les paramètres d’accès interlocataire. Les modèles d’accès interlocataire facultatifs autorisent la préconfiguration des paramètres d’accès interlocataire. |
| Flux de travail de l'administrateur | Configurez l’accès interlocataire pour fournir aux utilisateurs externes un accès entrant au locataire les informations d’identification de leur locataire d’origine. | Ajoutez des utilisateurs externes au locataire de ressources à l’aide du processus d’invitation B2B ou créez votre propre expérience d’intégration à l’aide du gestionnaire d’invitations de collaboration B2B. | Configurez le moteur de synchronisation interlocataire pour synchroniser les utilisateurs entre plusieurs locataires en tant qu’utilisateurs B2B Collaboration. | Créez une organisation multi-locataire, ajoutez (invitez) des locataires, rejoignez une organisation multi-locataire. Tirez parti des utilisateurs existants de la collaboration B2B ou utilisez la synchronisation interlocataire pour configurer les utilisateurs de la collaboration B2B. |
| Niveau de confiance | Confiance moyenne. Les utilisateurs de connexion directe B2B sont moins faciles à suivre, ce qui rend obligatoire un certain niveau de confiance avec l’organisation externe. | Confiance faible à moyenne. Les objets utilisateur peuvent être suivis facilement et gérés avec des contrôles granulaires. | Confiance élevée. Tous les locataires font partie de la même organisation et les utilisateurs bénéficient généralement d’un accès membre à toutes les applications/ressources. | Confiance élevée. Tous les locataires font partie de la même organisation et les utilisateurs bénéficient généralement d’un accès membre à toutes les applications/ressources. |
| Effet sur les utilisateurs | Les utilisateurs accèdent au locataire de ressources à l’aide des informations d’identification de leur locataire de base. Les objets utilisateur ne sont pas créés dans le locataire de ressource. | Les utilisateurs externes sont ajoutés à un locataire en tant qu’utilisateurs B2B Collaboration. | Au sein de la même organisation, les utilisateurs sont synchronisés à partir de leur locataire de base avec le locataire de ressources en tant qu’utilisateurs de collaboration B2B. | Au sein d’un même organisation multi-locataire, les utilisateurs de la collaboration B2B, en particulier les utilisateurs membres, bénéficient d'une collaboration améliorée et transparente au sein de Microsoft 365. |
| Type d’utilisateur | Utilisateur de connexion directe B2B - N/A |
Utilisateur B2B Collaboration - Membre externe - Invité externe (par défaut) |
Utilisateur B2B Collaboration - Membre externe (par défaut) - Invité externe |
Utilisateur B2B Collaboration - Membre externe (par défaut) - Invité externe |
Le diagramme suivant montre comment les fonctionnalités de connexion directe B2B, de collaboration B2B et de synchronisation entre locataires pourraient être utilisées ensemble.
Terminologie
Pour mieux comprendre les fonctionnalités liées au scénario d’organisation multi-locataire dans Microsoft Entra, vous pouvez vous reporter à la liste de termes suivante.
| Terme | Définition |
|---|---|
| tenant | Une instance de Microsoft Entra ID. |
| organisation | Niveau supérieur d’une hiérarchie métier. |
| organisation multi-locataire | Une organisation qui a plusieurs instance de Microsoft Entra ID ainsi qu’une fonctionnalité pour regrouper ces instances dans Microsoft Entra ID. |
| locataire créateur | Locataire qui a créé ou rejoint l’organisation multi-locataire. |
| locataire propriétaire | Un locataire avec le rôle propriétaire. Initialement, le locataire créateur. |
| locataire ajouté | Locataire ajouté par un locataire propriétaire. |
| nouveau locataire | Locataire qui rejoint l’organisation multi-locataire. |
| demande de participation | Un locataire nouveau ou ajouté envoie une demande de participation pour rejoindre l’organisation multi-locataire. |
| locataire en attente | Locataire qui a été ajouté par un propriétaire, mais qui n’a pas encore rejoint l’organisation. |
| locataire actif | Locataire qui a créé ou rejoint l’organisation multi-locataire. |
| locataire membre | Un locataire avec le rôle de membre. La plupart des nouveaux locataires commencent en tant que membres. |
| locataire d’organisation multi-locataire | Locataire actif de l’organisation multi-locataire, non en attente. |
| synchronisation entre locataires | Un service de synchronisation unidirectionnelle dans Microsoft Entra ID qui automatise la création, la mise à jour et la suppression d’utilisateurs B2B Collaboration entre les locataires d’une organisation. |
| paramètres d’accès interlocataire | Paramètres pour gérer la collaboration pour des organisations Microsoft Entra spécifiques. |
| modèle de paramètres d’accès interlocataire | Modèle facultatif pour préconfigurer les paramètres d’accès interlocataires qui sont appliqués à tout locataire partenaire qui vient de rejoindre l’organisation multi-locataire. |
| paramètres organisationnels | Paramètres d’accès interlocataires pour des organisations Microsoft Entra spécifiques. |
| configuration | Une application et un principal de service sous-jacent dans Microsoft Entra ID qui comprend les paramètres (comme le locataire cible, l’étendue des utilisateurs et les mappages d’attributs) nécessaires pour la synchronisation entre locataires. |
| approvisionnement | Le processus de création ou de synchronisation automatique d’objets au-delà d’une limite. |
| échange automatique | Un paramètre B2B permettant d’échanger automatiquement les invitations afin que les utilisateurs nouvellement créés ne reçoivent pas d’e-mail d’invitation ou doivent accepter une invite de consentement lorsqu’ils sont ajoutés à un locataire cible. |