Bagikan melalui

Pengenalan manajemen pengguna multipenyewa

  • Artikel

Artikel ini adalah yang pertama dalam serangkaian artikel yang menyediakan panduan untuk mengonfigurasi dan menyediakan manajemen siklus hidup pengguna di lingkungan multipenyewa Microsoft Entra. Artikel berikut dalam seri ini menyediakan informasi selengkapnya seperti yang dijelaskan.

  • Skenario manajemen pengguna multipenyewa menjelaskan tiga skenario di mana Anda dapat menggunakan fitur manajemen pengguna multipenyewa: pengguna akhir yang dimulai, diskrip, dan otomatis.
  • Pertimbangan umum untuk manajemen pengguna multipenyewa menyediakan panduan untuk pertimbangan ini: sinkronisasi lintas penyewa, objek direktori, Akses Bersyarat Microsoft Entra, kontrol akses tambahan, dan Office 365.
  • Solusi umum untuk manajemen pengguna multipenyewa saat penyewaan tunggal tidak berfungsi untuk skenario Anda, artikel ini memberikan panduan untuk tantangan ini: manajemen siklus hidup pengguna otomatis dan alokasi sumber daya di seluruh penyewa, berbagi aplikasi lokal di seluruh penyewa.

Panduan ini membantu Anda mencapai status manajemen siklus hidup pengguna yang konsisten. Manajemen siklus hidup mencakup provisi, pengelolaan, dan deprovisi pengguna di seluruh penyewa menggunakan alat Azure yang tersedia yang mencakup kolaborasi Microsoft Entra B2B (B2B) dan sinkronisasi lintas penyewa.

Menyediakan pengguna ke dalam satu penyewa Microsoft Entra menyediakan tampilan sumber daya terpadu dan satu set kebijakan dan kontrol. Pendekatan ini memungkinkan manajemen siklus hidup pengguna yang konsisten.

Microsoft merekomendasikan satu penyewa jika memungkinkan. Memiliki beberapa penyewa dapat menghasilkan persyaratan kolaborasi dan manajemen lintas penyewa yang unik. Saat konsolidasi ke satu penyewa Microsoft Entra tidak dimungkinkan, organisasi multipenyewa mungkin mencakup dua atau beberapa penyewa Microsoft Entra karena alasan yang menyertakan hal berikut.

  • Merger
  • Akuisisi
  • Divestasi
  • Kolaborasi di seluruh cloud publik, berdaulat, dan regional
  • Struktur politik atau organisasi yang melarang konsolidasi ke satu penyewa Microsoft Entra

Kolaborasi Microsoft Entra B2B

Kolaborasi Microsoft Entra B2B (B2B) memungkinkan Anda berbagi aplikasi dan layanan perusahaan dengan aman dengan pengguna eksternal. Ketika pengguna dapat berasal dari organisasi apa pun, B2B membantu Anda mempertahankan kontrol atas akses ke lingkungan dan data TI Anda.

Anda dapat menggunakan kolaborasi B2B untuk menyediakan akses eksternal bagi pengguna organisasi Anda untuk mengakses beberapa penyewa yang Anda kelola. Secara tradisional, akses pengguna eksternal B2B dapat mengotorisasi akses ke pengguna yang tidak dikelola organisasi Anda sendiri. Namun, akses pengguna eksternal dapat mengelola akses di beberapa penyewa yang dikelola organisasi Anda.

Area kebingungan dengan kolaborasi Microsoft Entra B2B mengelilingi properti Pengguna Tamu B2B. Perbedaan antara akun pengguna internal versus eksternal dan anggota versus jenis Pengguna Tamu berkontribusi pada kebingungan. Awalnya, semua pengguna internal adalah pengguna anggota dengan atribut UserType yang diatur ke Anggota (pengguna anggota). Pengguna internal memiliki akun di ID Microsoft Entra Anda yang otoritatif dan mengautentikasi ke penyewa tempat pengguna berada. Pengguna anggota adalah pengguna berlisensi dengan izin tingkat anggota default di penyewa. Perlakukan pengguna anggota sebagai karyawan organisasi Anda.

Anda dapat mengundang pengguna internal dari satu penyewa ke penyewa lain sebagai pengguna eksternal. Pengguna eksternal masuk dengan akun Microsoft Entra eksternal, identitas sosial, atau idP eksternal lainnya. Pengguna eksternal mengautentikasi di luar penyewa tempat Anda mengundang pengguna eksternal. Pada rilis pertama B2B, semua pengguna eksternal adalah UserType Guest (pengguna tamu). Pengguna tamu memiliki izin terbatas di penyewa. Misalnya, pengguna tamu tidak dapat menghitung daftar semua pengguna atau grup di direktori penyewa.

Untuk properti UserType pada pengguna, B2B mendukung membalik bit dari internal ke eksternal, dan sebaliknya, yang berkontribusi pada kebingungan.

Anda dapat mengubah pengguna internal dari pengguna anggota menjadi Pengguna Tamu. Misalnya, Anda dapat memiliki Pengguna Tamu internal tanpa lisensi dengan izin tingkat tamu di penyewa, yang berguna saat Anda memberikan akun pengguna dan kredensial kepada orang yang bukan karyawan organisasi Anda.

Anda dapat mengubah pengguna eksternal dari Pengguna Tamu menjadi pengguna anggota, memberikan izin tingkat anggota kepada pengguna eksternal. Membuat perubahan ini berguna saat Anda mengelola beberapa penyewa untuk organisasi Anda dan perlu memberikan izin tingkat anggota kepada pengguna di semua penyewa. Kebutuhan ini mungkin terjadi terlepas dari apakah pengguna bersifat internal atau eksternal di penyewa tertentu. Pengguna anggota mungkin memerlukan lebih banyak lisensi.

Sebagian besar dokumentasi untuk B2B mengacu pada pengguna eksternal sebagai Pengguna Tamu. Ini mengaku properti UserType dengan cara yang mengasumsikan semua pengguna tamu berada di luar. Saat dokumentasi memanggil Pengguna Tamu, dokumentasi mengasumsikan bahwa itu adalah Pengguna Tamu eksternal. Artikel ini secara khusus dan sengaja mengacu pada pengguna eksternal versus pengguna internal dan anggota versus Pengguna Tamu.

Sinkronisasi lintas penyewa

Sinkronisasi lintas penyewa memungkinkan organisasi multipenyewa untuk memberikan akses dan pengalaman kolaborasi yang lancar kepada pengguna akhir, menggunakan kemampuan kolaborasi eksternal B2B yang ada. Fitur ini tidak mengizinkan sinkronisasi lintas penyewa di seluruh sovereign cloud Microsoft (seperti Microsoft 365 US Government GCC High, DOD, atau Office 365 di Tiongkok). Lihat Pertimbangan umum untuk manajemen pengguna multipenyewa untuk bantuan terkait skenario sinkronisasi lintas penyewa otomatis dan kustom.

Tonton Arvind Harinder berbicara tentang kemampuan sinkronisasi lintas penyewa di ID Microsoft Entra (disematkan di bawah).

Artikel konseptual dan cara penggunaan berikut ini menyediakan informasi tentang kolaborasi Microsoft Entra B2B dan sinkronisasi lintas penyewa.

Artikel konseptual

  • Praktik terbaik B2B menampilkan rekomendasi untuk memberikan pengalaman paling lancar bagi pengguna dan administrator.
  • Berbagi eksternal B2B dan Office 365 menjelaskan persamaan dan perbedaan antara berbagi sumber daya melalui B2B, Office 365, dan SharePoint/OneDrive.
  • Properti pada pengguna kolaborasi Microsoft Entra B2B menjelaskan properti dan status objek pengguna eksternal di ID Microsoft Entra. Deskripsi memberikan detail sebelum dan sesudah penukaran undangan.
  • Akses Bersyarkat untuk B2B menjelaskan cara kerja Akses Bersyar dan autentikasi multifaktor untuk pengguna eksternal.
  • Pengaturan akses lintas penyewa memberikan kontrol terperinci atas bagaimana organisasi Microsoft Entra eksternal berkolaborasi dengan Anda (akses masuk) dan bagaimana pengguna Anda berkolaborasi dengan organisasi Microsoft Entra eksternal (akses keluar).
  • Gambaran umum sinkronisasi lintas penyewa menjelaskan cara mengotomatiskan pembuatan, pembaruan, dan penghapusan pengguna kolaborasi Microsoft Entra B2B di seluruh penyewa dalam organisasi.

Artikel cara penggunaan

  • Gunakan PowerShell untuk mengundang pengguna kolaborasi Microsoft Entra B2B secara massal menjelaskan cara menggunakan PowerShell untuk mengirim undangan massal ke pengguna eksternal.
  • Terapkan autentikasi multifaktor untuk pengguna tamu B2B menjelaskan bagaimana Anda dapat menggunakan Akses Bersyar dan kebijakan autentikasi multifaktor untuk memberlakukan tingkat autentikasi pengguna eksternal penyewa, aplikasi, atau individu.
  • Autentikasi kode akses satu kali email menjelaskan cara fitur Kode akses satu kali email mengautentikasi pengguna eksternal saat mereka tidak dapat mengautentikasi melalui cara lain seperti ID Microsoft Entra, akun Microsoft, atau Federasi Google.

Terminologi

Istilah berikut dalam konten Microsoft mengacu pada kolaborasi multipenyewa di ID Microsoft Entra.

  • Penyewa sumber daya: Penyewa Microsoft Entra yang berisi sumber daya yang ingin dibagikan pengguna dengan orang lain.
  • Penyewa beranda: Penyewa Microsoft Entra yang berisi pengguna yang memerlukan akses ke sumber daya di penyewa sumber daya.
  • Pengguna internal: Pengguna internal memiliki akun yang otoritatif dan mengautentikasi ke penyewa tempat pengguna berada.
  • Pengguna eksternal: Pengguna eksternal memiliki akun Microsoft Entra eksternal, identitas sosial, atau idP eksternal lainnya untuk masuk. Pengguna eksternal mengautentikasi di suatu tempat di luar penyewa tempat Anda mengundang pengguna eksternal.
  • Pengguna anggota: Pengguna anggota internal atau eksternal adalah pengguna berlisensi dengan izin tingkat anggota default di penyewa. Perlakukan pengguna anggota sebagai karyawan organisasi Anda.
  • Pengguna tamu: Pengguna Tamu internal atau eksternal memiliki izin terbatas di penyewa. Pengguna tamu bukan karyawan organisasi Anda (seperti pengguna untuk mitra). Sebagian besar dokumentasi B2B mengacu pada Tamu B2B, yang terutama mengacu pada akun Pengguna Tamu eksternal.
  • Manajemen siklus hidup pengguna: Proses provisi, pengelolaan, dan deprovisi akses pengguna ke sumber daya.
  • GAL Terpadu: Setiap pengguna di setiap penyewa dapat melihat pengguna dari setiap organisasi di Daftar Alamat Global (GAL) mereka.

Memutuskan cara memenuhi kebutuhan Anda

Persyaratan unik organisasi Anda memengaruhi strategi Anda untuk mengelola pengguna di seluruh penyewa. Untuk membuat strategi yang efektif, pertimbangkan persyaratan berikut.

  • Jumlah penyewa
  • Jenis organisasi
  • Topologi saat ini
  • Kebutuhan sinkronisasi pengguna tertentu

Persyaratan umum

Organisasi awalnya berfokus pada persyaratan yang mereka inginkan untuk kolaborasi segera. Terkadang disebut persyaratan Hari Pertama , mereka fokus pada memungkinkan pengguna akhir untuk menggabungkan dengan lancar tanpa mengganggu kemampuan mereka untuk menghasilkan nilai. Saat Anda menentukan Hari Pertama dan persyaratan administratif, pertimbangkan untuk menyertakan persyaratan dan kebutuhan berikut.

Persyaratan komunikasi

  • Daftar alamat global terpadu: Setiap pengguna dapat melihat semua pengguna lain di GAL di penyewa rumah mereka.
  • Informasi bebas/sibuk: Memungkinkan pengguna untuk menemukan ketersediaan satu sama lain. Anda bisa melakukannya dengan hubungan Organisasi di Exchange Online.
  • Obrolan dan kehadiran: Memungkinkan pengguna menentukan kehadiran orang lain dan memulai olahpesan instan. Konfigurasikan melalui akses eksternal di Microsoft Teams.
  • Memesan sumber daya seperti ruang rapat: Memungkinkan pengguna memesan ruang konferensi atau sumber daya lain di seluruh organisasi. Pemesanan ruang konferensi lintas penyewa saat ini tidak tersedia di Exchange Online.
  • Domain email tunggal: Memungkinkan semua pengguna mengirim dan menerima email dari satu domain email (misalnya, users@contoso.com). Mengirim memerlukan solusi penulisan ulang alamat email.

Persyaratan akses

  • Akses dokumen: Memungkinkan pengguna berbagi dokumen dari SharePoint, OneDrive, dan Teams.
  • Administrasi: Izinkan administrator mengelola konfigurasi langganan dan layanan yang disebarkan di beberapa penyewa.
  • Akses aplikasi: Izinkan pengguna akhir mengakses aplikasi di seluruh organisasi.
  • Akses Menyeluruh: Memungkinkan pengguna mengakses sumber daya di seluruh organisasi tanpa perlu memasukkan lebih banyak kredensial.

Pola untuk pembuatan akun

Mekanisme Microsoft untuk membuat dan mengelola siklus hidup akun pengguna eksternal Anda mengikuti tiga pola umum. Anda dapat menggunakan pola-pola ini untuk membantu menentukan dan mengimplementasikan kebutuhan Anda. Pilih pola yang paling selaras dengan skenario Anda lalu fokus pada detail pola.

Mekanisme Deskripsi Terbaik ketika
Akhiri yang dimulai pengguna Admin penyewa sumber daya mendelegasikan kemampuan untuk mengundang pengguna eksternal ke penyewa, aplikasi, atau sumber daya kepada pengguna dalam penyewa sumber daya. Anda dapat mengundang pengguna dari penyewa rumah atau mereka dapat mendaftar satu per satu. Daftar Alamat Global Terpadu pada Hari Pertama tidak diperlukan.
Scripted Administrator penyewa sumber daya menyebarkan proses penarikan skrip untuk mengotomatiskan penemuan dan provisi pengguna eksternal untuk mendukung skenario berbagi. Sejumlah kecil penyewa (seperti dua).
Otomatis Admin penyewa sumber daya menggunakan sistem provisi identitas untuk mengotomatiskan proses provisi dan deprovisi. Anda memerlukan Daftar Alamat Global Terpadu di seluruh penyewa.

Langkah berikutnya

  • Skenario manajemen pengguna multipenyewa menjelaskan tiga skenario di mana Anda dapat menggunakan fitur manajemen pengguna multipenyewa: pengguna akhir yang dimulai, diskrip, dan otomatis.
  • Pertimbangan umum untuk manajemen pengguna multipenyewa menyediakan panduan untuk pertimbangan ini: sinkronisasi lintas penyewa, objek direktori, Akses Bersyarat Microsoft Entra, kontrol akses tambahan, dan Office 365.
  • Solusi umum untuk manajemen pengguna multipenyewa saat penyewaan tunggal tidak berfungsi untuk skenario Anda, artikel ini memberikan panduan untuk tantangan ini: manajemen siklus hidup pengguna otomatis dan alokasi sumber daya di seluruh penyewa, berbagi aplikasi lokal di seluruh penyewa.
  • Sinkronisasi multipenyewa dari Direktori Aktif menjelaskan berbagai topologi lokal dan Microsoft Entra yang menggunakan Microsoft Entra Connect Sync sebagai solusi integrasi utama.