Több-bérlős felhasználókezelés – bevezetés
Ez a cikk az első olyan cikksorozatban, amely útmutatást nyújt a felhasználói életciklus-kezelés konfigurálásához és biztosításához a Microsoft Entra több-bérlős környezeteiben. A sorozat alábbi cikkei további információkat tartalmaznak a leírtak szerint.
- A több-bérlős felhasználókezelési forgatókönyvek három olyan forgatókönyvet írnak le, amelyekhez több-bérlős felhasználókezelési funkciókat használhat: végfelhasználó által kezdeményezett, szkriptelt és automatizált.
- A több-bérlős felhasználókezelés általános szempontjai útmutatást nyújtanak a következő szempontokhoz: bérlők közötti szinkronizálás, címtárobjektum, Microsoft Entra Feltételes hozzáférés, további hozzáférés-vezérlés és Office 365.
- Gyakori megoldások a több-bérlős felhasználókezeléshez , ha az önálló bérlő nem működik a forgatókönyvben. Ez a cikk útmutatást nyújt a következő kihívásokhoz: automatikus felhasználói életciklus-kezelés és erőforrás-kiosztás a bérlők között, helyszíni alkalmazások megosztása bérlők között.
Az útmutató segít a felhasználói életciklus-kezelés konzisztens állapotának elérésében. Az életciklus-kezelés magában foglalja a felhasználók bérlők közötti kiépítését, kezelését és megszüntetését a rendelkezésre álló Azure-eszközök használatával, beleértve a Microsoft Entra B2B-együttműködést (B2B) és a bérlők közötti szinkronizálást.
A felhasználók egyetlen Microsoft Entra-bérlőbe való üzembe helyezése egységes nézetet biztosít az erőforrásokról, valamint egyetlen szabályzat- és vezérlőkészletről. Ez a megközelítés egységes felhasználói életciklus-kezelést tesz lehetővé.
Ha lehetséges, a Microsoft egyetlen bérlőt javasol. Ha több bérlő van, az egyedi bérlőközi együttműködési és felügyeleti követelményeket eredményezhet. Ha nem lehetséges egyetlen Microsoft Entra-bérlőbe való összevonás, a több-bérlős szervezetek két vagy több Microsoft Entra-bérlőre is kiterjedhetnek az alábbi okok miatt.
- Egyesülések
- Felvásárlások
- Elidegenítések
- Együttműködés nyilvános, szuverén és regionális felhők között
- Olyan politikai vagy szervezeti struktúrák, amelyek tiltják egyetlen Microsoft Entra-bérlő összevonását
Microsoft Entra B2B együttműködés
A Microsoft Entra B2B együttműködés (B2B) lehetővé teszi a vállalat alkalmazásainak és szolgáltatásainak biztonságos megosztását külső felhasználókkal. Ha a felhasználók bármely szervezetből származhatnak, a B2B segít az informatikai környezethez és adatokhoz való hozzáférés szabályozásában.
A B2B-együttműködéssel külső hozzáférést biztosíthat a szervezet felhasználóinak a felügyelt bérlők eléréséhez. A B2B külső felhasználói hozzáférés hagyományosan engedélyezheti a hozzáférést azokhoz a felhasználókhoz, amelyeket a saját szervezete nem kezel. A külső felhasználói hozzáférés azonban több bérlőn is kezelheti a hozzáférést, amelyeket a szervezet felügyel.
A Microsoft Entra B2B-együttműködéssel való keveredés egy B2B vendégfelhasználó tulajdonságait veszi körül. A belső és a külső felhasználói fiókok és a tagok és a vendégfelhasználók típusai közötti különbség hozzájárul a félreértéshez. Kezdetben minden belső felhasználó tagfelhasználó, amelynek UserType attribútuma Tag (tagfelhasználók) értékre van állítva. A belső felhasználó rendelkezik egy fiókkal a Microsoft Entra-azonosítójában, amely mérvadó, és hitelesíti azt a bérlőt, ahol a felhasználó található. A tagfelhasználók licencelt felhasználók, és alapértelmezett tagszintű engedélyekkel rendelkeznek a bérlőben. A tagfelhasználók kezelése a szervezet alkalmazottaiként.
Külső felhasználóként meghívhat egy bérlő belső felhasználóját egy másik bérlőbe. Egy külső felhasználó külső Microsoft Entra-fiókkal, közösségi identitással vagy más külső identitásszolgáltatóval jelentkezik be. A külső felhasználók azon a bérlőn kívül hitelesítik magukat, amelyre meghívja a külső felhasználót. A B2B első kiadásában minden külső felhasználó a UserType Guest (vendégfelhasználók) tagja volt. A vendégfelhasználók korlátozott engedélyekkel rendelkeznek a bérlőben. A vendégfelhasználók például nem sorolhatják fel a bérlői címtárban lévő összes felhasználó és csoport listáját.
A felhasználók UserType tulajdonsága esetében a B2B támogatja a bit belsőről külsőre történő tükrözést, és fordítva, ami hozzájárul a keveredéshez.
A belső felhasználót tagfelhasználóról vendégfelhasználóra módosíthatja. Előfordulhat például, hogy egy nem licencelt belső vendégfelhasználó vendégszintű engedélyekkel rendelkezik a bérlőben, ami akkor hasznos, ha felhasználói fiókot és hitelesítő adatokat ad meg egy olyan személynek, aki nem a szervezet alkalmazottja.
A külső felhasználót a vendégfelhasználóról tagfelhasználóra módosíthatja, és tagszintű engedélyeket adhat a külső felhasználónak. Ez a módosítás akkor hasznos, ha több bérlőt kezel a szervezetében, és tagszintű engedélyeket kell adnia egy felhasználónak az összes bérlőre vonatkozóan. Ez az igény attól függetlenül előfordulhat, hogy a felhasználó belső vagy külső egy adott bérlőben. Előfordulhat, hogy a tagfelhasználóknak több licencre van szükségük.
A B2B legtöbb dokumentációja vendégfelhasználóként hivatkozik egy külső felhasználóra. A UserType tulajdonságot úgy konferálta, hogy feltételezi, hogy az összes vendégfelhasználó külső. Amikor a dokumentáció meghív egy vendégfelhasználót, azt feltételezi, hogy az egy külső vendégfelhasználó. Ez a cikk kifejezetten és szándékosan külső és belső és tagfelhasználóra és vendégfelhasználóra hivatkozik.
Bérlők közötti szinkronizálás
A bérlők közötti szinkronizálás lehetővé teszi a több-bérlős szervezetek számára, hogy zökkenőmentes hozzáférést és együttműködési élményt nyújtsanak a végfelhasználók számára a meglévő B2B külső együttműködési képességek használatával. A funkció nem teszi lehetővé a bérlők közötti szinkronizálást a Microsoft szuverén felhőiben (például a Microsoft 365 US Government GCC High, a DOD vagy az Office 365 Kínában). A bérlők közötti automatikus és egyéni szinkronizálási forgatókönyvekkel kapcsolatos segítségért tekintse meg a több-bérlős felhasználók felügyeletének gyakori szempontjait.
Tekintse meg Arvind Harindert a Microsoft Entra ID bérlők közötti szinkronizálási funkciójáról (beágyazott alább).
Az alábbi elméleti és útmutató cikkek a Microsoft Entra B2B együttműködésével és a bérlők közötti szinkronizálással kapcsolatos információkat tartalmaznak.
Elméleti cikkek
- A B2B ajánlott eljárásai javaslatokat nyújtanak a felhasználók és rendszergazdák számára a leggördülékenyebb élmény biztosításához.
- A B2B és az Office 365 külső megosztása a B2B, az Office 365 és a SharePoint/OneDrive használatával ismerteti az erőforrások megosztásának hasonlóságait és különbségeit.
- A Microsoft Entra B2B együttműködési felhasználó tulajdonságai a Külső felhasználói objektum tulajdonságait és állapotát írják le a Microsoft Entra-azonosítóban. A leírás a meghívó beváltása előtt és után tartalmaz részleteket.
- A B2B felhasználói jogkivonatok példákat nyújtanak a B2B tulajdonosi jogkivonatára egy külső felhasználó számára.
- A B2B feltételes hozzáférése azt ismerteti, hogyan működik a feltételes hozzáférés és a többtényezős hitelesítés a külső felhasználók számára.
- A bérlők közötti hozzáférési beállítások részletesen szabályozhatják, hogy a külső Microsoft Entra-szervezetek hogyan működnek együtt Önnel (bejövő hozzáférés), és hogy a felhasználók hogyan működnek együtt külső Microsoft Entra-szervezetekkel (kimenő hozzáférés).
- A bérlők közötti szinkronizálás áttekintése azt ismerteti, hogyan automatizálhatja a Microsoft Entra B2B együttműködési felhasználók létrehozását, frissítését és törlését a szervezet bérlői között.
Útmutatók
- A PowerShell használatával tömegesen meghívhatja a Microsoft Entra B2B együttműködési felhasználóit , és ismerteti, hogyan küldhet tömeges meghívókat külső felhasználóknak a PowerShell használatával.
- A többtényezős hitelesítés kényszerítése a B2B-vendégfelhasználók számára elmagyarázza, hogyan használhat feltételes hozzáférési és többtényezős hitelesítési házirendeket a bérlői, alkalmazás- vagy egyéni külső felhasználói hitelesítési szintek kényszerítéséhez.
- Az egyszeri pin-kód hitelesítése leírja, hogyan hitelesíti az egyszeri e-mail pin-kód funkciót a külső felhasználók, ha nem tudnak hitelesítést végezni más eszközökkel, például Microsoft Entra-azonosítóval, Microsoft-fiókkal vagy Google-összevonással.
Terminológia
A Microsoft-tartalomban az alábbi kifejezések a Microsoft Entra ID-ban való több-bérlős együttműködésre vonatkoznak.
- Erőforrás-bérlő: A Microsoft Entra-bérlő, amely tartalmazza a felhasználók által másokkal megosztani kívánt erőforrásokat.
- Otthoni bérlő: Az erőforrás-bérlő erőforrásaihoz hozzáférést igénylő felhasználókat tartalmazó Microsoft Entra-bérlő.
- Belső felhasználó: A belső felhasználó rendelkezik egy mérvadó fiókkal, és hitelesíti azt a bérlőt, amelyben a felhasználó található.
- Külső felhasználó: Egy külső felhasználó külső Microsoft Entra-fiókkal, közösségi identitással vagy más külső identitásszolgáltatóval rendelkezik a bejelentkezéshez. A külső felhasználó hitelesít valahol azon a bérlőn kívül, amelyre meghívta a külső felhasználót.
- Tagfelhasználó: Egy belső vagy külső tagfelhasználó egy licenccel rendelkező felhasználó, aki alapértelmezett tagszintű engedélyekkel rendelkezik a bérlőben. A tagfelhasználók kezelése a szervezet alkalmazottaiként.
- Vendégfelhasználó: Egy belső vagy külső vendégfelhasználó korlátozott engedélyekkel rendelkezik a bérlőben. A vendégfelhasználók nem a szervezet alkalmazottai (például a partnerek felhasználói). A legtöbb B2B-dokumentáció a B2B-vendégekre vonatkozik, amely elsősorban külső vendégfelhasználói fiókokra vonatkozik.
- Felhasználói életciklus-kezelés: Az erőforrásokhoz való felhasználói hozzáférés kiépítésének, kezelésének és megszüntetésének folyamata.
- Egységesített GAL: Minden bérlő minden felhasználója láthatja az egyes szervezetek felhasználóit a globális címlistájában (GAL).
A követelmények teljesítésének eldöntése
A szervezet egyedi követelményei befolyásolják a felhasználók bérlők közötti kezelésére vonatkozó stratégiáját. A hatékony stratégia létrehozásához vegye figyelembe az alábbi követelményeket.
- Bérlők száma
- A szervezet típusa
- Aktuális topológiák
- Adott felhasználói szinkronizálási igények
Gyakori követelmények
A szervezetek kezdetben az azonnali együttműködéshez szükséges követelményekre összpontosítanak. Az első napnak is nevezett követelmények arra összpontosítanak, hogy a végfelhasználók zökkenőmentesen egyesülhessenek anélkül, hogy megszakítanák az értékteremtő képességüket. Az első nap és a felügyeleti követelmények meghatározásakor vegye figyelembe az alábbi követelményeket és igényeket.
Kommunikációs követelmények
- Egyesített globális címlista: Minden felhasználó láthatja az összes többi felhasználót a GAL-ban az otthoni bérlőjében.
- Foglaltsági adatok: Lehetővé teszi a felhasználók számára, hogy felfedezzék egymás rendelkezésre állását. Ezt az Exchange Online szervezeti kapcsolataival teheti meg.
- Csevegés és jelenlét: Lehetővé teszi, hogy a felhasználók megállapíthassák mások jelenlétét, és csevegőüzeneteket kezdeményezhessenek. Konfigurálás külső hozzáféréssel a Microsoft Teamsben.
- Foglaljon le olyan erőforrásokat, mint például az értekezlettermek: Lehetővé teszi a felhasználók számára, hogy konferenciatermeket vagy más erőforrásokat foglaljanak le a szervezeten belül. A bérlők közötti konferenciaterem-foglalás jelenleg nem érhető el az Exchange Online-ban.
- Egyetlen e-mail-tartomány: Lehetővé teszi, hogy minden felhasználó egyetlen e-mail tartományból küldjön és fogadjon e-maileket (például
users@contoso.com
). A küldéshez egy e-mail-cím újraírására van szükség.
Hozzáférési követelmények
- Dokumentumhozzáférés: Lehetővé teszi a felhasználók számára, hogy dokumentumokat osszanak meg a SharePointból, a OneDrive-ról és a Teamsből.
- Felügyelet: Lehetővé teszi, hogy a rendszergazdák felügyelhessék a több bérlőn üzembe helyezett előfizetések és szolgáltatások konfigurációját.
- Alkalmazáshozzáférés: Lehetővé teszi a végfelhasználók számára az alkalmazások elérését a szervezeten belül.
- Egyszeri bejelentkezés: Engedélyezze a felhasználóknak, hogy több hitelesítő adat megadása nélkül férhessenek hozzá a szervezet erőforrásaihoz.
Fióklétrehozási minták
A külső felhasználói fiókok életciklusának létrehozására és kezelésére szolgáló Microsoft-mechanizmusok három gyakori mintát követnek. Ezekkel a mintákkal definiálhatja és implementálhatja a követelményeket. Válassza ki a forgatókönyvnek leginkább megfelelő mintát, majd összpontosítson a minta részleteire.
Mechanizmus | Leírás | A legjobb, ha |
---|---|---|
Végfelhasználó által kezdeményezett | Az erőforrás-bérlő rendszergazdái delegálhatják, hogy külső felhasználókat hívjanak meg a bérlőbe, alkalmazásba vagy erőforrásba az erőforrás-bérlőn belüli felhasználók számára. Meghívhat felhasználókat az otthoni bérlőből, vagy egyenként is regisztrálhatnak. | Az első napon nem szükséges egységesített globális címlista. |
Megírt | Az erőforrás-bérlő rendszergazdái szkriptelt lekéréses folyamatot helyeznek üzembe a külső felhasználók felderítésének és kiépítésének automatizálásához a megosztási forgatókönyvek támogatásához. | Kis számú bérlő (például kettő). |
Automatizált | Az erőforrás-bérlő rendszergazdái identitáskiépítési rendszert használnak a kiépítési és bontási folyamatok automatizálásához. | Egységes globális címlistára van szükség a bérlők között. |
Következő lépések
- A több-bérlős felhasználókezelési forgatókönyvek három olyan forgatókönyvet írnak le, amelyekhez több-bérlős felhasználókezelési funkciókat használhat: végfelhasználó által kezdeményezett, szkriptelt és automatizált.
- A több-bérlős felhasználókezelés általános szempontjai útmutatást nyújtanak a következő szempontokhoz: bérlők közötti szinkronizálás, címtárobjektum, Microsoft Entra Feltételes hozzáférés, további hozzáférés-vezérlés és Office 365.
- Gyakori megoldások a több-bérlős felhasználókezeléshez , ha az önálló bérlő nem működik a forgatókönyvben. Ez a cikk útmutatást nyújt a következő kihívásokhoz: automatikus felhasználói életciklus-kezelés és erőforrás-kiosztás a bérlők között, helyszíni alkalmazások megosztása bérlők között.
- Az Active Directoryból származó több-bérlős szinkronizálás különböző helyszíni és Microsoft Entra-topológiákat ír le, amelyek a Microsoft Entra Connect Syncet használják kulcsintegrációs megoldásként.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: