Több-bérlős szervezeti képességek a Microsoft Entra ID-ban
Ez a cikk áttekintést nyújt a több-bérlős szervezeti forgatókönyvről és a Microsoft Entra ID kapcsolódó képességeiről.
Mi az a bérlő?
A bérlő a Microsoft Entra-azonosító egy példánya, amelyben egyetlen szervezet adatai találhatók, beleértve a szervezeti objektumokat, például a felhasználókat, csoportokat és eszközöket, valamint az alkalmazásregisztrációkat, például a Microsoft 365-öt és a külső alkalmazásokat. A bérlők emellett hozzáférési és megfelelőségi szabályzatokat is tartalmaznak az erőforrásokhoz, például a címtárban regisztrált alkalmazásokhoz. A bérlő által kiszolgált elsődleges függvények közé tartozik az identitáshitelesítés és az erőforrás-hozzáférés kezelése.
A Microsoft Entra szempontjából a bérlő identitás- és hozzáférés-kezelési hatókört alkot. A bérlői rendszergazda például elérhetővé tesz egy alkalmazást a bérlő néhány vagy az összes felhasználója számára, és az adott bérlő felhasználói számára kikényszeríti az adott alkalmazás hozzáférési szabályzatait. A bérlő emellett olyan szervezeti arculati adatokat is tartalmaz, amelyek a végfelhasználói élményt vezérli, például a szervezet e-mail-tartományait és a szervezet alkalmazottai által használt SharePoint-URL-címeket. A Microsoft 365 szempontjából a bérlők alkotják az alapértelmezett együttműködési és licencelési határt. A Microsoft Teams vagy a Microsoft Outlook felhasználói például egyszerűen megtalálhatják és együttműködhetnek más felhasználókkal a bérlőjükben, de nem tudják más bérlők felhasználóit megtalálni vagy megtekinteni.
A bérlők kiemelt szervezeti adatokat tartalmaznak, és biztonságosan el vannak különítve más bérlőktől. Emellett a bérlők úgy is konfigurálhatók, hogy az adatok egy adott régióban vagy felhőben legyenek megőrizve és feldolgozva, ami lehetővé teszi, hogy a szervezetek bérlőket használjanak mechanizmusként az adattárolás és a megfelelőségi követelmények kezelése érdekében.
Mi az a több-bérlős szervezet?
A több-bérlős szervezetek olyan szervezetek , amelyek a Microsoft Entra ID több példányával is rendelkezik. Az alábbiakban bemutatjuk azokat az elsődleges okokat, amelyek miatt egy szervezetnek több bérlője lehet:
- Konglomerátumok: Több leányvállalattal vagy önállóan működő üzleti egységekkel rendelkező szervezetek.
- Egyesülések és felvásárlások: Vállalatok egyesítése vagy felvásárlása.
- Elidegenítési tevékenység: Az elidegenítés során az egyik szervezet felosztja a vállalkozás egy részét, hogy új szervezetet alakítson, vagy egy meglévő szervezetnek értékesítse.
- Több felhő: A megfelelőségtel vagy szabályozással rendelkező szervezeteknek több felhőkörnyezetben kell létezniük.
- Több földrajzi határ: Olyan szervezetek, amelyek több földrajzi helyen, különböző tartózkodási szabályokkal működnek.
- Bérlők tesztelése vagy előkészítése: Azok a szervezetek, amelyeknek több bérlőre van szükségük tesztelési vagy előkészítési célokra, mielőtt szélesebb körben üzembe helyeznénk az elsődleges bérlőket.
- Részleg vagy alkalmazott által létrehozott bérlők: Azok a szervezetek, ahol a részlegek vagy az alkalmazottak bérlőket hoztak létre fejlesztésre, tesztelésre vagy külön vezérlésre.
Több-bérlős kihívások
Előfordulhat, hogy a szervezet nemrég szerzett be egy új vállalatot, egyesült egy másik vállalattal, vagy újonnan létrehozott üzleti egységek alapján átstrukturálta. Ha eltérő identitáskezelési rendszerekkel rendelkezik, a különböző bérlők felhasználói számára kihívást jelenthet az erőforrások elérése és az együttműködés.
Az alábbi ábra azt mutatja be, hogy a többi bérlő felhasználói hogyan nem férnek hozzá az alkalmazásokhoz a szervezet bérlői között.
A szervezet fejlődésével az informatikai csapatnak alkalmazkodnia kell a változó igényekhez. Ez gyakran magában foglalja a meglévő bérlővel való integrálást vagy egy új bérlő kialakítását. Az identitásinfrastruktúra kezelésétől függetlenül kritikus fontosságú, hogy a felhasználók zökkenőmentesen férhessenek hozzá az erőforrásokhoz és együttműködhessenek. Ma előfordulhat, hogy egyéni szkriptekkel vagy helyszíni megoldásokkal hozza össze a bérlőket, hogy zökkenőmentes felhasználói élményt nyújtson a bérlők számára.
B2B közvetlen csatlakozás
Ha lehetővé szeretné tenni, hogy a bérlők közötti felhasználók együttműködjenek Teams Kapcsolat megosztott csatornákon, használhatja a Microsoft Entra B2B közvetlen kapcsolatot. A B2B közvetlen kapcsolódás a külső identitások egyik funkciója, amely lehetővé teszi, hogy kölcsönös megbízhatósági kapcsolatot létesítsen egy másik Microsoft Entra-szervezettel a Teamsben való zökkenőmentes együttműködés érdekében. A megbízhatóság létrehozásakor a közvetlen B2B-felhasználó egyszeri bejelentkezési hozzáféréssel rendelkezik az otthoni bérlő hitelesítő adataival.
Az elsődleges korlátozás a B2B közvetlen kapcsolódás több bérlőn keresztül történő használatával:
- A B2B közvetlen kapcsolódás jelenleg csak Teams Kapcsolat megosztott csatornákkal működik.
További információ: B2B közvetlen csatlakozás áttekintése.
B2B-együttműködés
A bérlők közötti együttműködés engedélyezéséhez használhatja a Microsoft Entra B2B együttműködést. A B2B-együttműködés a külső identitások egyik funkciója, amellyel meghívhatja a vendégfelhasználókat a szervezettel való együttműködésre. Miután a külső felhasználó beváltotta a meghívást, vagy befejezte a regisztrációt, a rendszer felhasználói objektumként jelenik meg a bérlőben. A B2B-együttműködéssel biztonságosan megoszthatja vállalata alkalmazásait és szolgáltatásait külső felhasználókkal, miközben saját vállalati adatai felett is felügyelheti az irányítást.
A B2B-együttműködés több bérlőre kiterjedő használatának elsődleges korlátozásai:
- Rendszergazda istratoroknak meg kell hívniuk a felhasználókat a B2B meghívási folyamatával, vagy létre kell készítenie egy előkészítési felületet a B2B együttműködési meghíváskezelő.
- Rendszergazda istratoroknak egyéni szkriptekkel kell szinkronizálnia a felhasználókat.
- Az automatikus beváltási beállításoktól függően előfordulhat, hogy a felhasználóknak el kell fogadniuk egy hozzájárulási kérést, és követnie kell az egyes bérlők beváltási folyamatát.
- Alapértelmezés szerint a felhasználók külső vendég típusúak, amelyek más engedélyekkel rendelkeznek, mint a külső tag, és nem feltétlenül a kívánt felhasználói élmény.
További információ: B2B együttműködés áttekintése.
Bérlők közötti szinkronizálás
Ha azt szeretné, hogy a felhasználók zökkenőmentesebb együttműködési élményt nyújtsa a bérlők között, használhatja a bérlők közötti szinkronizálást. A bérlők közötti szinkronizálás egy egyirányú szinkronizálási szolgáltatás a Microsoft Entra-azonosítóban, amely automatizálja a B2B együttműködési felhasználók létrehozását, frissítését és törlését a vállalat bérlői között. A bérlők közötti szinkronizálás a B2B együttműködési funkcióra épül, és a meglévő B2B bérlőközi hozzáférési beállításokat használja. A felhasználók B2B együttműködési felhasználói objektumként jelennek meg a célbérlében.
A bérlők közötti szinkronizálás elsődleges előnyei a következők:
- A B2B együttműködési felhasználók automatikus létrehozása a szervezeten belül, és hozzáférés biztosítása számukra a szükséges alkalmazásokhoz egyéni szkriptek létrehozása és karbantartása nélkül.
- Javítsa a felhasználói élményt, és győződjön meg arról, hogy a felhasználók anélkül férhetnek hozzá az erőforrásokhoz, hogy meghívó e-mailt kapnak, és minden bérlőben el kell fogadniuk egy hozzájárulási kérést.
- A felhasználók automatikus frissítése és eltávolítása a szervezetből való kilépéskor.
A bérlők közötti szinkronizálás több bérlőn keresztül történő használatával kapcsolatos elsődleges korlátozások:
- Nem növeli a Teams vagy a Microsoft 365 jelenlegi felhasználói élményét. A szinkronizált felhasználók ugyanazokkal a bérlők közötti Teams- és Microsoft 365-környezetekkel rendelkeznek, amelyek bármely más B2B-együttműködési felhasználó számára is elérhetők.
- Nem szinkronizál csoportokat, eszközöket vagy névjegyeket.
További információ: Mi a bérlőközi szinkronizálás?.
Több-bérlős szervezet
A több-bérlős szervezet a Microsoft Entra ID és a Microsoft 365 egyik funkciója, amellyel bérlőcsoportot hozhat létre a szervezeten belül. A csoport minden bérlőpárját bérlők közötti hozzáférési beállítások szabályozzák, amelyekkel konfigurálhatja a B2B-t vagy a bérlők közötti szinkronizálást.
A több-bérlős szervezetek elsődleges előnyei a következők:
- A szervezeten belüli és a szervezeten kívüli külső felhasználók megkülönböztetése
- Továbbfejlesztett együttműködési élmény az új Microsoft Teamsben
- Továbbfejlesztett keresési élmény a bérlők között
További információ: Mi az a több-bérlős szervezet a Microsoft Entra ID-ban?
Több-bérlős képességek összehasonlítása
A szervezet igényeitől függően használhatja a B2B közvetlen kapcsolódás, a B2B-együttműködés, a bérlők közötti szinkronizálás és a több-bérlős szervezeti képességek bármilyen kombinációját. A B2B közvetlen kapcsolódás és a B2B együttműködés független képességek, míg a bérlők közötti szinkronizálás és a több-bérlős szervezeti képességek függetlenek egymástól, bár mindkettő a mögöttes B2B-együttműködésre támaszkodik.
Az alábbi táblázat az egyes funkciók képességeit hasonlítja össze. A külső identitások különböző forgatókönyveiről további információt a Külső identitások funkciókészletek összehasonlítása című témakörben talál.
B2B közvetlen csatlakozás (Szervezetről szervezetre külső vagy belső) |
B2B-együttműködés (Szervezetről szervezetre külső vagy belső) |
Bérlők közötti szinkronizálás (Szervezeti belső) |
Több-bérlős szervezet (Szervezeti belső) |
|
---|---|---|---|---|
Célja | A felhasználók hozzáférhetnek Teams Kapcsolat külső bérlőkben üzemeltetett megosztott csatornákhoz. | A felhasználók hozzáférhetnek a külső bérlőkben üzemeltetett alkalmazásokhoz/erőforrásokhoz, általában korlátozott vendégjogokkal. Az automatikus beváltási beállításoktól függően előfordulhat, hogy a felhasználóknak minden bérlőben el kell fogadniuk egy hozzájárulási kérést. | A felhasználók zökkenőmentesen elérhetik az alkalmazásokat/erőforrásokat ugyanazon a szervezeten belül, még akkor is, ha különböző bérlőkben vannak üzemeltetve. | A felhasználók zökkenőmentesebben együttműködhetnek egy több-bérlős szervezetben az új Teamsben és a személyek keresésében. |
Érték | Csak Teams Kapcsolat megosztott csatornákon belüli külső együttműködést teszi lehetővé. Kényelmesebb a rendszergazdák számára, mert nem kell B2B-felhasználókat kezelniük. | Engedélyezi a külső együttműködést. A B2B együttműködési felhasználók kezelésével nagyobb felügyeletet és figyelést biztosít a rendszergazdák számára. Rendszergazda istratorok korlátozhatják a külső felhasználók által az alkalmazásokhoz/erőforrásokhoz való hozzáférést. | Lehetővé teszi a szervezet bérlői közötti együttműködést. A rendszergazdáknak nem kell manuálisan meghívniuk és szinkronizálniuk a felhasználókat a bérlők között a szervezeten belüli alkalmazásokhoz/erőforrásokhoz való folyamatos hozzáférés biztosításához. | Lehetővé teszi a szervezet bérlői közötti együttműködést. Rendszergazda istratorok továbbra is teljes konfigurációs képességgel rendelkeznek a bérlők közötti hozzáférési beállításokon keresztül. Az opcionális bérlőközi hozzáférési sablonok lehetővé teszik a bérlők közötti hozzáférési beállítások előzetes konfigurálását. |
Elsődleges rendszergazdai munkafolyamat | Konfigurálja a bérlők közötti hozzáférést, hogy a külső felhasználók bejövő hozzáférést biztosítsanak a bérlőhöz az otthoni bérlőhöz tartozó hitelesítő adatokhoz. | Külső felhasználók hozzáadása az erőforrás-bérlőhöz a B2B meghívási folyamatával, vagy saját előkészítési felület létrehozása a B2B együttműködési meghívókezelővel. | Konfigurálja a bérlők közötti szinkronizálási motort úgy, hogy több bérlő között szinkronizálja a felhasználókat B2B együttműködési felhasználókként. | Több-bérlős szervezet létrehozása, bérlők hozzáadása (meghívása) és több-bérlős szervezethez való csatlakozás. Használja a meglévő B2B együttműködési felhasználókat, vagy használjon bérlőközi szinkronizálást a B2B együttműködési felhasználók kiépítéséhez. |
Megbízhatósági szint | Közepes megbízhatóság. A közvetlen B2B-felhasználókat kevésbé könnyű nyomon követni, és bizonyos szintű megbízhatóságot alakít ki a külső szervezettel. | Alacsony és közepes megbízhatóság. A felhasználói objektumok egyszerűen követhetők és kezelhetők részletes vezérlőkkel. | Nagy megbízhatóság. Minden bérlő ugyanahhoz a szervezethez tartozik, és a felhasználók általában tagi hozzáférést kapnak az összes alkalmazáshoz/erőforráshoz. | Nagy megbízhatóság. Minden bérlő ugyanahhoz a szervezethez tartozik, és a felhasználók általában tagi hozzáférést kapnak az összes alkalmazáshoz/erőforráshoz. |
A felhasználókra gyakorolt hatás | A felhasználók a saját bérlőjük hitelesítő adataival férnek hozzá az erőforrás-bérlőhöz. A felhasználói objektumok nem jönnek létre az erőforrás-bérlőben. | A külső felhasználók B2B együttműködési felhasználókként lesznek hozzáadva egy bérlőhöz. | Ugyanazon a szervezeten belül a rendszer szinkronizálja a felhasználókat az otthoni bérlőről az erőforrás-bérlőre B2B együttműködési felhasználókként. | Ugyanazon a több-bérlős szervezeten belül a B2B együttműködési felhasználók, különösen a tagfelhasználók, a Microsoft 365-ben a továbbfejlesztett, zökkenőmentes együttműködés előnyeit élvezhetik. |
Felhasználó típusa | B2B közvetlen kapcsolódási felhasználó -N/A |
B2B együttműködési felhasználó - Külső tag - Külső vendég (alapértelmezett) |
B2B együttműködési felhasználó - Külső tag (alapértelmezett) - Külső vendég |
B2B együttműködési felhasználó - Külső tag (alapértelmezett) - Külső vendég |
Az alábbi ábra bemutatja, hogyan használható együtt a B2B közvetlen kapcsolódás, a B2B együttműködés és a bérlők közötti szinkronizálási képességek.
Terminológia
A Több-bérlős szervezeti forgatókönyv microsoft Entra-képességeinek jobb megértéséhez tekintse meg a következő kifejezések listáját.
Időszak | Definíció |
---|---|
bérlő | A Microsoft Entra-azonosító egy példánya. |
szervezet | Az üzleti hierarchia legfelső szintje. |
több-bérlős szervezet | Olyan szervezet, amely több Microsoft Entra ID-példánysal rendelkezik, valamint képes a példányok Microsoft Entra ID-ban való csoportosítására. |
létrehozói bérlő | A több-bérlős szervezetet létrehozó bérlő. |
tulajdonosi bérlő | Tulajdonosi szerepkörrel rendelkező bérlő. Kezdetben a létrehozó bérlője. |
hozzáadott bérlő | Egy bérlő, amelyet egy tulajdonosi bérlő adott hozzá. |
joiner tenant | Egy bérlő, amely csatlakozik a több-bérlős szervezethez. |
csatlakozás kérése | Az illesztő vagy a hozzáadott bérlő csatlakozási kérelmet küld a több-bérlős szervezethez való csatlakozáshoz. |
függőben lévő bérlő | Egy bérlő, amelyet egy tulajdonos adott hozzá, de még nem csatlakozott. |
aktív bérlő | Egy bérlő, amely létrehozta vagy csatlakozott a több-bérlős szervezethez. |
tagbérl | Tagi szerepkörrel rendelkező bérlő. A legtöbb illesztőbérlő tagként indul. |
több-bérlős szervezeti bérlő | A több-bérlős szervezet aktív bérlője, nem függőben. |
bérlők közötti szinkronizálás | Egy egyirányú szinkronizálási szolgáltatás a Microsoft Entra ID-ban, amely automatizálja a B2B együttműködési felhasználók létrehozását, frissítését és törlését a szervezet bérlői között. |
bérlők közötti hozzáférési beállítások | Gépház az egyes Microsoft Entra-szervezetek együttműködésének kezeléséhez. |
bérlők közötti hozzáférési beállítások sablonja | Nem kötelező sablon, amely előre konfigurálja a bérlők közötti hozzáférési beállításokat, amelyek a több-bérlős szervezethez újonnan csatlakozó partnerbérlőkre vonatkoznak. |
szervezeti beállítások | Bérlők közötti hozzáférési beállítások adott Microsoft Entra-szervezetekhez. |
konfiguráció | Egy alkalmazás és mögöttes szolgáltatásnév a Microsoft Entra-azonosítóban, amely tartalmazza a bérlők közötti szinkronizáláshoz szükséges beállításokat (például a célbérlelőt, a felhasználói hatókört és az attribútumleképezéseket). |
üzembe helyezés | Objektumok automatikus létrehozásának vagy szinkronizálásának folyamata egy határvonalon. |
automatikus visszaváltás | B2B-beállítás, amely automatikusan beváltja a meghívókat, így az újonnan létrehozott felhasználók nem kapnak meghívó e-mailt, vagy hozzájárulási kérést kell elfogadniuk, amikor hozzáadják őket egy célbérbe. |