Gyakori megoldások több-bérlős felhasználókezeléshez

Ez a cikk egy cikksorozat negyedik része, amely útmutatást nyújt a felhasználói életciklus-kezelés konfigurálásához és biztosításához a Microsoft Entra több-bérlős környezeteiben. A sorozat alábbi cikkei további információkat tartalmaznak a leírtak szerint.

• A több-bérlős felhasználókezelés bemutatása az első a sorozatban.
• A több-bérlős felhasználókezelési forgatókönyvek három olyan forgatókönyvet írnak le, amelyekhez több-bérlős felhasználókezelési funkciókat használhat: végfelhasználó által kezdeményezett, szkriptelt és automatizált.
• A több-bérlős felhasználókezelés általános szempontjai útmutatást nyújtanak a következő szempontokhoz: bérlők közötti szinkronizálás, címtárobjektum, Microsoft Entra Feltételes hozzáférés, további hozzáférés-vezérlés és Office 365.

Az útmutató segít a felhasználói életciklus-kezelés konzisztens állapotának elérésében. Az életciklus-kezelés magában foglalja a felhasználók bérlők közötti kiépítését, kezelését és megszüntetését a rendelkezésre álló Azure-eszközök használatával, beleértve a Microsoft Entra B2B-együttműködést (B2B) és a bérlők közötti szinkronizálást.

A Microsoft egy bérlőt javasol, ahol csak lehetséges. Ha az önálló bérlői szerződés nem működik az Ön forgatókönyvében, tekintse meg az alábbi megoldásokat, amelyeket a Microsoft ügyfelei sikeresen implementáltak az alábbi kihívásokra:

• Automatikus felhasználói életciklus-kezelés és erőforrás-kiosztás a bérlők között
• Helyszíni alkalmazások megosztása bérlők között

Automatikus felhasználói életciklus-kezelés és erőforrás-kiosztás a bérlők között

Az ügyfél olyan versenytársat szerez be, akivel korábban szoros üzleti kapcsolatban állt. A szervezetek szeretnék fenntartani a vállalati identitásukat.

Aktuális állapot

A szervezetek jelenleg levelezési objektumként szinkronizálják egymás felhasználóit, hogy megjelenjenek egymás címtáraiban. Minden erőforrás-bérlő engedélyezte a levelezési partnerobjektumokat a másik bérlő összes felhasználója számára. A bérlők között nem lehet hozzáférni az alkalmazásokhoz.

Célok

Az ügyfélnek a következő céljai vannak.

• Minden felhasználó megjelenik az egyes szervezetek GAL-jában.
  • A felhasználói fiókok életciklusának változásai az otthoni bérlőben automatikusan megjelennek az erőforrás-bérlő GAL-jában.
  • Az otthoni bérlők attribútumváltozásai (például részleg, név, Simple Mail Transfer Protocol (SMTP) cím) automatikusan megjelennek az erőforrás-bérlő GAL-jában és az otthoni GAL-ban.
• A felhasználók hozzáférhetnek az erőforrások bérlőjében lévő alkalmazásokhoz és erőforrásokhoz.
• A felhasználók önkiszolgáló hozzáférési kéréseket adhatnak az erőforrásokhoz.

Megoldásarchitektúra

A szervezetek pont–pont architektúrát használnak egy szinkronizálási motorral, például a Microsoft Identity Managerrel (MIM). Az alábbi ábra a megoldás pont–pont architektúrájának példáját szemlélteti.

Diagram címe: Pont–pont architektúra megoldás. A bal oldalon az A vállalat feliratú mező belső felhasználókat és külső felhasználókat tartalmaz. A jobb oldalon a B vállalat feliratú mező belső felhasználókat és külső felhasználókat tartalmaz. Az A vállalat és a B vállalat között a szinkronizálási motor interakciói az A vállalattól a B vállalatig, a B vállalattól az A vállalatig haladnak.

Minden bérlői rendszergazda a következő lépéseket hajtja végre a felhasználói objektumok létrehozásához.

1. Győződjön meg arról, hogy a felhasználói adatbázis naprakész.
2. MiM üzembe helyezése és konfigurálása.
   1. Meglévő névjegyobjektumok kezelése.
   2. Külső tagfelhasználói objektumokat hozhat létre a másik bérlő belső tagfelhasználói számára.
   3. Felhasználói objektumattribútumok szinkronizálása.
3. Jogosultságkezelési hozzáférési csomagok üzembe helyezése és konfigurálása.
   1. Megosztandó erőforrások.
   2. Lejárati és hozzáférési felülvizsgálati szabályzatok.

Helyszíni alkalmazások megosztása bérlők között

Egy több társszervezettel rendelkező ügyfélnek meg kell osztania a helyszíni alkalmazásokat az egyik bérlőtől.

Aktuális állapot

A társszervezetek szinkronizálják a külső felhasználókat egy mesh topológiában, lehetővé téve az erőforrás-lefoglalást a felhőalkalmazások számára a bérlők között. Az ügyfél a következő funkciókat kínálja.

• Alkalmazások megosztása a Microsoft Entra-azonosítóban.
• Automatizált felhasználói életciklus-kezelés az erőforrás-bérlőben az otthoni bérlőn (a hozzáadást, a módosítást és a törlést tükrözi).

Az alábbi ábra ezt a forgatókönyvet szemlélteti, amelyben csak az A vállalat belső felhasználói férnek hozzá az A vállalat helyszíni alkalmazásaihoz.

Diagram címe: Mesh topológia. A bal felső sarokban az A vállalat feliratú mező belső felhasználókat és külső felhasználókat tartalmaz. A jobb felső sarokban a B vállalat feliratú mező belső felhasználókat és külső felhasználókat tartalmaz. A bal alsó sarokban a C vállalat feliratú mező belső felhasználókat és külső felhasználókat tartalmaz. A jobb alsó sarokban a "D" vállalat feliratú mező belső felhasználókat és külső felhasználókat tartalmaz. Az A vállalat és a B vállalat, valamint a C vállalat és a D vállalat között a szinkronizálási motor interakciói a bal oldali és a jobb oldali vállalatok között mennek.

Célok

A jelenlegi funkciókkal együtt a következőket szeretnék kínálni.

• Hozzáférést biztosít az A vállalat helyszíni erőforrásaihoz a külső felhasználók számára.
• Security Assertion Markup Language (SAML) hitelesítéssel rendelkező alkalmazások.
• Integrált Windows-hitelesítéssel és Kerberossal rendelkező alkalmazások.

Megoldásarchitektúra

Az A vállalat egyszeri bejelentkezést (SSO) biztosít a helyszíni alkalmazások számára a saját belső felhasználói számára Azure-alkalmazás Proxy használatával, ahogyan az alábbi ábrán látható.

Diagram címe: Azure-alkalmazás proxyarchitektúra-megoldás. A bal felső sarokban egy "https://sales.constoso.com" címkével ellátott doboz tartalmaz egy földgömb ikont, amely egy webhelyet jelöl. Alatta az ikonok egy csoportja a Felhasználót jelöli, és a Felhasználó és a webhely közötti nyíllal csatlakozik hozzájuk. A jobb felső sarokban a Microsoft Entra ID címkével ellátott felhőalakzat egy alkalmazásproxy Service címkével ellátott ikont tartalmaz. Egy nyíl összeköti a webhelyet a felhőalakzattal. A jobb alsó sarokban egy DMZ feliratú dobozon a helyszíni felirat látható. Egy nyíl összeköti a felhőalakzatot a DMZ mezővel, és két részre osztva az Csatlakozás or címkével ellátott ikonokra mutat. A bal oldali Csatlakozás or ikon alatt egy nyíl lefelé mutat, és két részre oszlik, és az 1. és 2. alkalmazás címkével ellátott ikonokra mutat. A jobb oldali Csatlakozás or ikon alatt egy nyíl mutat lefelé egy App 3 feliratú ikonra.

az A bérlő Rendszergazda az alábbi lépéseket hajtja végre, hogy a külső felhasználók elérhessék ugyanazokat a helyszíni alkalmazásokat.

1. Konfigurálja az SAML-alkalmazásokhoz való hozzáférést.
2. Konfigurálja a más alkalmazásokhoz való hozzáférést.
3. Helyszíni felhasználók létrehozása a MIM vagy a PowerShell használatával.

Az alábbi cikkek további információkat tartalmaznak a B2B-együttműködésről.

• A B2B-felhasználóknak a Microsoft Entra ID-ban való hozzáférés biztosítása a helyszíni erőforrásokhoz azt ismerteti, hogyan biztosíthat hozzáférést a B2B-felhasználók számára a helyszíni alkalmazásokhoz.
• A Microsoft Entra B2B együttműködés hibrid szervezetek számára azt ismerteti, hogyan biztosíthat hozzáférést külső partnereinek a szervezeten belüli alkalmazásokhoz és erőforrásokhoz.

Következő lépések

• A több-bérlős felhasználókezelés bemutatása a cikksorozat első része, amely útmutatást nyújt a felhasználói életciklus-kezelés konfigurálásához és biztosításához a Több-bérlős Microsoft Entra-környezetekben.
• A több-bérlős felhasználókezelési forgatókönyvek három olyan forgatókönyvet írnak le, amelyekhez több-bérlős felhasználókezelési funkciókat használhat: végfelhasználó által kezdeményezett, szkriptelt és automatizált.
• A több-bérlős felhasználókezelés általános szempontjai útmutatást nyújtanak a következő szempontokhoz: bérlők közötti szinkronizálás, címtárobjektum, Microsoft Entra Feltételes hozzáférés, további hozzáférés-vezérlés és Office 365.