Megosztás a következőn keresztül:

Több-bérlős felhasználókezelés – bevezetés

  • Cikk

Ez a cikk az első olyan cikksorozatban, amely útmutatást nyújt a felhasználói életciklus-kezelés konfigurálásához és biztosításához a Microsoft Entra több-bérlős környezeteiben. A sorozat alábbi cikkei további információkat tartalmaznak a leírtak szerint.

  • A több-bérlős felhasználókezelési forgatókönyvek három olyan forgatókönyvet írnak le, amelyekhez több-bérlős felhasználókezelési funkciókat használhat: végfelhasználó által kezdeményezett, szkriptelt és automatizált.
  • A több-bérlős felhasználókezelés általános szempontjai útmutatást nyújtanak a következő szempontokhoz: bérlők közötti szinkronizálás, címtárobjektum, Microsoft Entra Feltételes hozzáférés, további hozzáférés-vezérlés és Office 365.
  • Gyakori megoldások a több-bérlős felhasználókezeléshez , ha az önálló bérlő nem működik a forgatókönyvben. Ez a cikk útmutatást nyújt a következő kihívásokhoz: automatikus felhasználói életciklus-kezelés és erőforrás-kiosztás a bérlők között, helyszíni alkalmazások megosztása bérlők között.

Az útmutató segít a felhasználói életciklus-kezelés konzisztens állapotának elérésében. Az életciklus-kezelés magában foglalja a felhasználók bérlők közötti kiépítését, kezelését és megszüntetését a rendelkezésre álló Azure-eszközök használatával, beleértve a Microsoft Entra B2B-együttműködést (B2B) és a bérlők közötti szinkronizálást.

A felhasználók egyetlen Microsoft Entra-bérlőbe való üzembe helyezése egységes nézetet biztosít az erőforrásokról, valamint egyetlen szabályzat- és vezérlőkészletről. Ez a megközelítés egységes felhasználói életciklus-kezelést tesz lehetővé.

Ha lehetséges, a Microsoft egyetlen bérlőt javasol. Ha több bérlő van, az egyedi bérlőközi együttműködési és felügyeleti követelményeket eredményezhet. Ha nem lehetséges egyetlen Microsoft Entra-bérlőbe való összevonás, a több-bérlős szervezetek két vagy több Microsoft Entra-bérlőre is kiterjedhetnek az alábbi okok miatt.

  • Egyesülések
  • Felvásárlások
  • Elidegenítések
  • Együttműködés nyilvános, szuverén és regionális felhők között
  • Olyan politikai vagy szervezeti struktúrák, amelyek tiltják egyetlen Microsoft Entra-bérlő összevonását

Microsoft Entra B2B együttműködés

A Microsoft Entra B2B együttműködés (B2B) lehetővé teszi a vállalat alkalmazásainak és szolgáltatásainak biztonságos megosztását külső felhasználókkal. Ha a felhasználók bármely szervezetből származhatnak, a B2B segít az informatikai környezethez és adatokhoz való hozzáférés szabályozásában.

A B2B-együttműködéssel külső hozzáférést biztosíthat a szervezet felhasználóinak a felügyelt bérlők eléréséhez. A B2B külső felhasználói hozzáférés hagyományosan engedélyezheti a hozzáférést azokhoz a felhasználókhoz, amelyeket a saját szervezete nem kezel. A külső felhasználói hozzáférés azonban több bérlőn is kezelheti a hozzáférést, amelyeket a szervezet felügyel.

A Microsoft Entra B2B-együttműködéssel való keveredés egy B2B vendégfelhasználó tulajdonságait veszi körül. A belső és a külső felhasználói fiókok és a tagok és a vendégfelhasználók típusai közötti különbség hozzájárul a félreértéshez. Kezdetben minden belső felhasználó tagfelhasználó, amelynek UserType attribútuma Tag (tagfelhasználók) értékre van állítva. A belső felhasználó rendelkezik egy fiókkal a Microsoft Entra-azonosítójában, amely mérvadó, és hitelesíti azt a bérlőt, ahol a felhasználó található. A tagfelhasználók licencelt felhasználók, és alapértelmezett tagszintű engedélyekkel rendelkeznek a bérlőben. A tagfelhasználók kezelése a szervezet alkalmazottaiként.

Külső felhasználóként meghívhat egy bérlő belső felhasználóját egy másik bérlőbe. Egy külső felhasználó külső Microsoft Entra-fiókkal, közösségi identitással vagy más külső identitásszolgáltatóval jelentkezik be. A külső felhasználók azon a bérlőn kívül hitelesítik magukat, amelyre meghívja a külső felhasználót. A B2B első kiadásában minden külső felhasználó a UserType Guest (vendégfelhasználók) tagja volt. A vendégfelhasználók korlátozott engedélyekkel rendelkeznek a bérlőben. A vendégfelhasználók például nem sorolhatják fel a bérlői címtárban lévő összes felhasználó és csoport listáját.

A felhasználók UserType tulajdonsága esetében a B2B támogatja a bit belsőről külsőre történő tükrözést, és fordítva, ami hozzájárul a keveredéshez.

A belső felhasználót tagfelhasználóról vendégfelhasználóra módosíthatja. Előfordulhat például, hogy egy nem licencelt belső vendégfelhasználó vendégszintű engedélyekkel rendelkezik a bérlőben, ami akkor hasznos, ha felhasználói fiókot és hitelesítő adatokat ad meg egy olyan személynek, aki nem a szervezet alkalmazottja.

A külső felhasználót a vendégfelhasználóról tagfelhasználóra módosíthatja, és tagszintű engedélyeket adhat a külső felhasználónak. Ez a módosítás akkor hasznos, ha több bérlőt kezel a szervezetében, és tagszintű engedélyeket kell adnia egy felhasználónak az összes bérlőre vonatkozóan. Ez az igény attól függetlenül előfordulhat, hogy a felhasználó belső vagy külső egy adott bérlőben. Előfordulhat, hogy a tagfelhasználóknak több licencre van szükségük.

A B2B legtöbb dokumentációja vendégfelhasználóként hivatkozik egy külső felhasználóra. A UserType tulajdonságot úgy konferálta, hogy feltételezi, hogy az összes vendégfelhasználó külső. Amikor a dokumentáció meghív egy vendégfelhasználót, azt feltételezi, hogy az egy külső vendégfelhasználó. Ez a cikk kifejezetten és szándékosan külső és belső és tagfelhasználóra és vendégfelhasználóra hivatkozik.

Bérlők közötti szinkronizálás

A bérlők közötti szinkronizálás lehetővé teszi a több-bérlős szervezetek számára, hogy zökkenőmentes hozzáférést és együttműködési élményt nyújtsanak a végfelhasználók számára a meglévő B2B külső együttműködési képességek használatával. A funkció nem teszi lehetővé a bérlők közötti szinkronizálást a Microsoft szuverén felhőiben (például a Microsoft 365 US Government GCC High, a DOD vagy az Office 365 Kínában). A bérlők közötti automatikus és egyéni szinkronizálási forgatókönyvekkel kapcsolatos segítségért tekintse meg a több-bérlős felhasználók felügyeletének gyakori szempontjait.

Tekintse meg Arvind Harindert a Microsoft Entra ID bérlők közötti szinkronizálási funkciójáról (beágyazott alább).

Az alábbi elméleti és útmutató cikkek a Microsoft Entra B2B együttműködésével és a bérlők közötti szinkronizálással kapcsolatos információkat tartalmaznak.

Elméleti cikkek

  • A B2B ajánlott eljárásai javaslatokat nyújtanak a felhasználók és rendszergazdák számára a leggördülékenyebb élmény biztosításához.
  • A B2B és az Office 365 külső megosztása a B2B, az Office 365 és a SharePoint/OneDrive használatával ismerteti az erőforrások megosztásának hasonlóságait és különbségeit.
  • A Microsoft Entra B2B együttműködési felhasználó tulajdonságai a Külső felhasználói objektum tulajdonságait és állapotát írják le a Microsoft Entra-azonosítóban. A leírás a meghívó beváltása előtt és után tartalmaz részleteket.
  • A B2B felhasználói jogkivonatok példákat nyújtanak a B2B tulajdonosi jogkivonatára egy külső felhasználó számára.
  • A B2B feltételes hozzáférése azt ismerteti, hogyan működik a feltételes hozzáférés és a többtényezős hitelesítés a külső felhasználók számára.
  • A bérlők közötti hozzáférési beállítások részletesen szabályozhatják, hogy a külső Microsoft Entra-szervezetek hogyan működnek együtt Önnel (bejövő hozzáférés), és hogy a felhasználók hogyan működnek együtt külső Microsoft Entra-szervezetekkel (kimenő hozzáférés).
  • A bérlők közötti szinkronizálás áttekintése azt ismerteti, hogyan automatizálhatja a Microsoft Entra B2B együttműködési felhasználók létrehozását, frissítését és törlését a szervezet bérlői között.

Útmutatók

Terminológia

A Microsoft-tartalomban az alábbi kifejezések a Microsoft Entra ID-ban való több-bérlős együttműködésre vonatkoznak.

  • Erőforrás-bérlő: A Microsoft Entra-bérlő, amely tartalmazza a felhasználók által másokkal megosztani kívánt erőforrásokat.
  • Otthoni bérlő: Az erőforrás-bérlő erőforrásaihoz hozzáférést igénylő felhasználókat tartalmazó Microsoft Entra-bérlő.
  • Belső felhasználó: A belső felhasználó rendelkezik egy mérvadó fiókkal, és hitelesíti azt a bérlőt, amelyben a felhasználó található.
  • Külső felhasználó: Egy külső felhasználó külső Microsoft Entra-fiókkal, közösségi identitással vagy más külső identitásszolgáltatóval rendelkezik a bejelentkezéshez. A külső felhasználó hitelesít valahol azon a bérlőn kívül, amelyre meghívta a külső felhasználót.
  • Tagfelhasználó: Egy belső vagy külső tagfelhasználó egy licenccel rendelkező felhasználó, aki alapértelmezett tagszintű engedélyekkel rendelkezik a bérlőben. A tagfelhasználók kezelése a szervezet alkalmazottaiként.
  • Vendégfelhasználó: Egy belső vagy külső vendégfelhasználó korlátozott engedélyekkel rendelkezik a bérlőben. A vendégfelhasználók nem a szervezet alkalmazottai (például a partnerek felhasználói). A legtöbb B2B-dokumentáció a B2B-vendégekre vonatkozik, amely elsősorban külső vendégfelhasználói fiókokra vonatkozik.
  • Felhasználói életciklus-kezelés: Az erőforrásokhoz való felhasználói hozzáférés kiépítésének, kezelésének és megszüntetésének folyamata.
  • Egységesített GAL: Minden bérlő minden felhasználója láthatja az egyes szervezetek felhasználóit a globális címlistájában (GAL).

A követelmények teljesítésének eldöntése

A szervezet egyedi követelményei befolyásolják a felhasználók bérlők közötti kezelésére vonatkozó stratégiáját. A hatékony stratégia létrehozásához vegye figyelembe az alábbi követelményeket.

  • Bérlők száma
  • A szervezet típusa
  • Aktuális topológiák
  • Adott felhasználói szinkronizálási igények

Gyakori követelmények

A szervezetek kezdetben az azonnali együttműködéshez szükséges követelményekre összpontosítanak. Az első napnak is nevezett követelmények arra összpontosítanak, hogy a végfelhasználók zökkenőmentesen egyesülhessenek anélkül, hogy megszakítanák az értékteremtő képességüket. Az első nap és a felügyeleti követelmények meghatározásakor vegye figyelembe az alábbi követelményeket és igényeket.

Kommunikációs követelmények

  • Egyesített globális címlista: Minden felhasználó láthatja az összes többi felhasználót a GAL-ban az otthoni bérlőjében.
  • Foglaltsági adatok: Lehetővé teszi a felhasználók számára, hogy felfedezzék egymás rendelkezésre állását. Ezt az Exchange Online szervezeti kapcsolataival teheti meg.
  • Csevegés és jelenlét: Lehetővé teszi, hogy a felhasználók megállapíthassák mások jelenlétét, és csevegőüzeneteket kezdeményezhessenek. Konfigurálás külső hozzáféréssel a Microsoft Teamsben.
  • Foglaljon le olyan erőforrásokat, mint például az értekezlettermek: Lehetővé teszi a felhasználók számára, hogy konferenciatermeket vagy más erőforrásokat foglaljanak le a szervezeten belül. A bérlők közötti konferenciaterem-foglalás jelenleg nem érhető el az Exchange Online-ban.
  • Egyetlen e-mail-tartomány: Lehetővé teszi, hogy minden felhasználó egyetlen e-mail tartományból küldjön és fogadjon e-maileket (például users@contoso.com). A küldéshez egy e-mail-cím újraírására van szükség.

Hozzáférési követelmények

  • Dokumentumhozzáférés: Lehetővé teszi a felhasználók számára, hogy dokumentumokat osszanak meg a SharePointból, a OneDrive-ról és a Teamsből.
  • Felügyelet: Lehetővé teszi, hogy a rendszergazdák felügyelhessék a több bérlőn üzembe helyezett előfizetések és szolgáltatások konfigurációját.
  • Alkalmazáshozzáférés: Lehetővé teszi a végfelhasználók számára az alkalmazások elérését a szervezeten belül.
  • Egyszeri bejelentkezés: Engedélyezze a felhasználóknak, hogy több hitelesítő adat megadása nélkül férhessenek hozzá a szervezet erőforrásaihoz.

Fióklétrehozási minták

A külső felhasználói fiókok életciklusának létrehozására és kezelésére szolgáló Microsoft-mechanizmusok három gyakori mintát követnek. Ezekkel a mintákkal definiálhatja és implementálhatja a követelményeket. Válassza ki a forgatókönyvnek leginkább megfelelő mintát, majd összpontosítson a minta részleteire.

Mechanizmus Leírás A legjobb, ha
Végfelhasználó által kezdeményezett Az erőforrás-bérlő rendszergazdái delegálhatják, hogy külső felhasználókat hívjanak meg a bérlőbe, alkalmazásba vagy erőforrásba az erőforrás-bérlőn belüli felhasználók számára. Meghívhat felhasználókat az otthoni bérlőből, vagy egyenként is regisztrálhatnak. Az első napon nem szükséges egységesített globális címlista.
Megírt Az erőforrás-bérlő rendszergazdái szkriptelt lekéréses folyamatot helyeznek üzembe a külső felhasználók felderítésének és kiépítésének automatizálásához a megosztási forgatókönyvek támogatásához. Kis számú bérlő (például kettő).
Automatizált Az erőforrás-bérlő rendszergazdái identitáskiépítési rendszert használnak a kiépítési és bontási folyamatok automatizálásához. Egységes globális címlistára van szükség a bérlők között.

Következő lépések

  • A több-bérlős felhasználókezelési forgatókönyvek három olyan forgatókönyvet írnak le, amelyekhez több-bérlős felhasználókezelési funkciókat használhat: végfelhasználó által kezdeményezett, szkriptelt és automatizált.
  • A több-bérlős felhasználókezelés általános szempontjai útmutatást nyújtanak a következő szempontokhoz: bérlők közötti szinkronizálás, címtárobjektum, Microsoft Entra Feltételes hozzáférés, további hozzáférés-vezérlés és Office 365.
  • Gyakori megoldások a több-bérlős felhasználókezeléshez , ha az önálló bérlő nem működik a forgatókönyvben. Ez a cikk útmutatást nyújt a következő kihívásokhoz: automatikus felhasználói életciklus-kezelés és erőforrás-kiosztás a bérlők között, helyszíni alkalmazások megosztása bérlők között.
  • Az Active Directoryból származó több-bérlős szinkronizálás különböző helyszíni és Microsoft Entra-topológiákat ír le, amelyek a Microsoft Entra Connect Syncet használják kulcsintegrációs megoldásként.