Bagikan melalui


Skenario manajemen pengguna multipenyewa

Artikel ini adalah artikel kedua dalam serangkaian artikel yang menyediakan panduan untuk mengonfigurasi dan menyediakan manajemen siklus hidup pengguna di lingkungan multipenyewa Microsoft Entra. Artikel berikut dalam seri ini menyediakan informasi selengkapnya seperti yang dijelaskan.

  • Pengenalan manajemen pengguna multipenyewa adalah yang pertama dalam rangkaian artikel yang memberikan panduan untuk mengonfigurasi dan menyediakan manajemen siklus hidup pengguna di lingkungan multipenyewa Microsoft Entra.
  • Pertimbangan umum untuk manajemen pengguna multipenyewa menyediakan panduan untuk pertimbangan ini: sinkronisasi lintas penyewa, objek direktori, Akses Bersyarat Microsoft Entra, kontrol akses tambahan, dan Office 365.
  • Solusi umum untuk manajemen pengguna multipenyewa saat penyewaan tunggal tidak berfungsi untuk skenario Anda, artikel ini memberikan panduan untuk tantangan ini: manajemen siklus hidup pengguna otomatis dan alokasi sumber daya di seluruh penyewa, berbagi aplikasi lokal di seluruh penyewa.

Panduan ini membantu Anda mencapai status manajemen siklus hidup pengguna yang konsisten. Manajemen siklus hidup mencakup provisi, pengelolaan, dan deprovisi pengguna di seluruh penyewa menggunakan alat Azure yang tersedia yang mencakup kolaborasi Microsoft Entra B2B (B2B) dan sinkronisasi lintas penyewa.

Artikel ini menjelaskan tiga skenario di mana Anda dapat menggunakan fitur manajemen pengguna multipenyewa.

  • Akhiri yang dimulai pengguna
  • Terskrip
  • Otomatis

Skenario yang dimulai pengguna akhir

Dalam skenario yang dimulai pengguna akhir, administrator penyewa sumber daya mendelegasikan kemampuan tertentu kepada pengguna di penyewa. Administrator memungkinkan pengguna akhir untuk mengundang pengguna eksternal ke penyewa, aplikasi, atau sumber daya. Anda dapat mengundang pengguna dari penyewa rumah atau mereka dapat mendaftar satu per satu.

Misalnya, perusahaan layanan profesional global berkolaborasi dengan subkontraktor pada proyek. Subkontraktor (pengguna eksternal) memerlukan akses ke aplikasi dan dokumen perusahaan. Admin perusahaan dapat mendelegasikan kepada pengguna akhirnya kemampuan untuk mengundang subkontraktor atau mengonfigurasi layanan mandiri untuk akses sumber daya subkontraktor.

Akun provisi

Berikut adalah cara yang paling banyak digunakan untuk mengundang pengguna akhir untuk mengakses sumber daya penyewa.

  • Undangan berbasis aplikasi. Aplikasi Microsoft (seperti Teams dan SharePoint) dapat mengaktifkan undangan pengguna eksternal. Konfigurasikan pengaturan undangan B2B di Microsoft Entra B2B dan di aplikasi yang relevan.
  • MyApps. Pengguna dapat mengundang dan menetapkan pengguna eksternal ke aplikasi menggunakan MyApps. Akun pengguna harus memiliki izin pendaftaran layanan mandiri aplikasi dari pemberi persetujuan. Pemilik grup dapat mengundang pengguna eksternal ke grup mereka.
  • Pengelolaan pemberian izin. Aktifkan admin atau pemilik sumber daya untuk membuat paket akses dengan sumber daya, organisasi eksternal yang diizinkan, kedaluwarsa pengguna eksternal, dan kebijakan akses. Terbitkan paket akses untuk mengaktifkan pendaftaran layanan mandiri pengguna eksternal untuk akses sumber daya.
  • portal Azure. Pengguna akhir dengan peran Pengundang Tamu dapat masuk ke portal Azure dan mengundang pengguna eksternal dari menu Pengguna di ID Microsoft Entra.
  • Terprogram (PowerShell, Graph API). Pengguna akhir dengan peran Pengundang Tamu dapat menggunakan PowerShell atau Graph API untuk mengundang pengguna eksternal.

Menukarkan undangan

Saat Anda memprovisikan akun untuk mengakses sumber daya, undangan email masuk ke alamat email pengguna yang diundang.

Saat pengguna yang diundang menerima undangan, mereka dapat mengikuti tautan yang terkandung dalam email ke URL penukaran. Dengan demikian, pengguna yang diundang dapat menyetujui atau menolak undangan dan, jika perlu, membuat akun pengguna eksternal.

Pengguna yang diundang juga dapat mencoba mengakses sumber daya secara langsung, yang disebut sebagai penukaran just-in-time (JIT), jika salah satu skenario berikut benar.

  • Pengguna yang diundang sudah memiliki ID Microsoft Entra atau akun Microsoft, atau
  • Admin telah mengaktifkan kode akses satu kali email.

Selama penukaran JIT, pertimbangan berikut mungkin berlaku.

  • Jika administrator belum menekan permintaan persetujuan, pengguna harus menyetujui sebelum mengakses sumber daya.
  • Anda dapat mengizinkan atau memblokir undangan kepada pengguna eksternal dari organisasi tertentu dengan menggunakan daftar yang diizinkan atau daftar blokir.

Untuk informasi selengkapnya, lihat Penukaran undangan kolaborasi Microsoft Entra B2B.

Mengaktifkan autentikasi kode akses satu kali

Dalam skenario di mana Anda mengizinkan ad hoc B2B, aktifkan autentikasi kode akses satu kali email. Fitur ini mengautentikasi pengguna eksternal saat Anda tidak dapat mengautentikasinya melalui cara lain, seperti:

  • ID Microsoft Entra.
  • Akun Microsoft.
  • Akun Gmail melalui Google Federation.
  • Akun dari Security Assertion Markup Language (SAML)/WS-Fed IDP melalui Federasi Langsung.

Dengan autentikasi kode akses satu kali, pembuatan akun Microsoft tidak diperlukan. Saat pengguna eksternal menukarkan undangan atau mengakses sumber daya bersama, mereka menerima kode sementara di alamat email mereka. Mereka kemudian memasukkan kode untuk terus masuk.

Mengelola akun

Dalam skenario akhir yang dimulai pengguna, administrator penyewa sumber daya mengelola akun pengguna eksternal di penyewa sumber daya (tidak diperbarui berdasarkan nilai yang diperbarui di penyewa rumah). Satu-satunya atribut yang terlihat yang diterima termasuk alamat email dan nama tampilan.

Anda dapat mengonfigurasi lebih banyak atribut pada objek pengguna eksternal untuk memfasilitasi skenario yang berbeda (seperti skenario pemberian izin). Anda dapat menyertakan mengisi buku alamat dengan detail kontak. Misalnya, pertimbangkan atribut berikut.

  • HiddenFromAddressListsEnabled [ShowInAddressList]
  • FirstName [GivenName]
  • LastName [Nama Keluarga]
  • Judul
  • Departemen
  • Nomor Telepon

Anda dapat mengatur atribut ini untuk menambahkan pengguna eksternal ke daftar alamat global (GAL) dan ke pencarian orang (seperti Pemilih Orang SharePoint). Skenario lain mungkin memerlukan atribut yang berbeda (seperti mengatur hak dan izin untuk Paket Akses, Keanggotaan Grup Dinamis, dan Klaim SAML).

Secara default, GAL menyembunyikan pengguna eksternal yang diundang. Atur atribut pengguna eksternal agar tidak tersembunyi untuk menyertakannya dalam GAL terpadu. Bagian Microsoft Exchange Online dari Pertimbangan umum untuk manajemen pengguna multipenyewa menjelaskan bagaimana Anda dapat mengurangi batas dengan membuat pengguna anggota eksternal alih-alih pengguna tamu eksternal.

Membatalkan provisi akun

Skenario yang dimulai pengguna akhir mendesentralisasi keputusan akses, yang dapat menciptakan tantangan untuk memutuskan kapan harus menghapus pengguna eksternal dan akses terkait mereka. Pengelolaan pemberian hak dan tinjauan akses memungkinkan Anda meninjau dan menghapus pengguna eksternal yang ada dan akses sumber daya mereka.

Saat mengundang pengguna di luar pengelolaan pemberian hak, Anda harus membuat proses terpisah untuk meninjau dan mengelola akses mereka. Misalnya, jika Anda secara langsung mengundang pengguna eksternal melalui SharePoint di Microsoft 365, itu bukan dalam proses pengelolaan pemberian izin Anda.

Skenario dengan skrip

Dalam skenario skrip, administrator penyewa sumber daya menyebarkan proses penarikan skrip untuk mengotomatiskan penemuan dan provisi pengguna eksternal.

Misalnya, perusahaan mengakuisisi pesaing. Setiap perusahaan memiliki satu penyewa Microsoft Entra. Mereka ingin skenario Hari Pertama berikut berfungsi tanpa pengguna harus melakukan langkah-langkah undangan atau penukaran apa pun. Semua pengguna harus dapat:

  • Gunakan akses menyeluruh ke semua sumber daya yang disediakan.
  • Temukan satu sama lain dan sumber daya dalam GAL terpadu.
  • Tentukan kehadiran satu sama lain dan mulai obrolan.
  • Akses aplikasi berdasarkan grup keanggotaan dinamis.

Dalam skenario ini, setiap penyewa organisasi adalah penyewa rumah untuk karyawan yang ada saat menjadi penyewa sumber daya untuk karyawan organisasi lain.

Akun provisi

Dengan Delta Query, admin penyewa dapat menyebarkan proses penarikan skrip untuk mengotomatiskan penemuan dan provisi identitas untuk mendukung akses sumber daya. Proses ini memeriksa penyewa rumah untuk pengguna baru. Ini menggunakan B2B Graph API untuk memprovisikan pengguna baru sebagai pengguna eksternal di penyewa sumber daya seperti yang diilustrasikan dalam diagram topologi multipenyewa berikut.

Diagram mengilustrasikan menggunakan B2B Graph API untuk memprovisikan pengguna baru sebagai pengguna eksternal di penyewa sumber daya.

  • Administrator penyewa mengatur terlebih dahulu kredensial dan persetujuan untuk memungkinkan setiap penyewa membaca.
  • Administrator penyewa mengotomatiskan enumerasi dan menarik pengguna tercakup ke penyewa sumber daya.
  • Gunakan Microsoft Graph API dengan izin yang disetujui untuk membaca dan memprovisikan pengguna dengan API undangan.
  • Provisi awal dapat membaca atribut sumber dan menerapkannya ke objek pengguna target.

Mengelola akun

Organisasi sumber daya dapat menambah data profil untuk mendukung skenario berbagi dengan memperbarui atribut metadata pengguna di penyewa sumber daya. Namun, jika sinkronisasi yang sedang berlangsung diperlukan, maka solusi yang telah disinkronkan mungkin merupakan pilihan yang lebih baik.

Membatalkan provisi akun

Kueri Delta dapat memberi sinyal ketika pengguna eksternal perlu dideprovisi. Pengelolaan pemberian hak dan tinjauan akses dapat menyediakan cara untuk meninjau dan menghapus pengguna eksternal yang ada dan akses mereka ke sumber daya.

Jika Anda mengundang pengguna di luar pengelolaan pemberian hak, buat proses terpisah untuk meninjau dan mengelola akses pengguna eksternal. Misalnya, jika Anda mengundang pengguna eksternal secara langsung melalui SharePoint di Microsoft 365, itu bukan dalam proses pengelolaan pemberian izin Anda.

Skenario otomatis

Berbagi yang disinkronkan di seluruh penyewa adalah pola yang paling kompleks yang dijelaskan dalam artikel ini. Pola ini memungkinkan opsi manajemen dan deprovisi yang lebih otomatis daripada yang dimulai pengguna akhir atau skrip.

Dalam skenario otomatis, admin penyewa sumber daya menggunakan sistem provisi identitas untuk mengotomatiskan proses provisi dan deprovisi. Dalam skenario dalam instans Cloud Komersial Microsoft, kami memiliki sinkronisasi lintas penyewa. Dalam skenario yang mencakup instans Microsoft Sovereign Cloud, Anda memerlukan pendekatan lain karena sinkronisasi lintas penyewa belum mendukung lintas cloud.

Misalnya, dalam instans Microsoft Commercial Cloud, konglomerasi multinasial/regional memiliki beberapa anak perusahaan dengan persyaratan berikut.

  • Masing-masing memiliki penyewa Microsoft Entra mereka sendiri dan perlu bekerja sama.
  • Selain menyinkronkan pengguna baru di antara penyewa, secara otomatis menyinkronkan pembaruan atribut dan mengotomatiskan deprovisi.
  • Jika karyawan tidak lagi berada di anak perusahaan, hapus akun mereka dari semua penyewa lain selama sinkronisasi berikutnya.

Dalam skenario lintas cloud yang diperluas, kontraktor Defense Industrial Base (DIB) memiliki anak perusahaan berbasis pertahanan dan berbasis komersial. Persyaratan peraturan bersaing:

  • Bisnis pertahanan AS berada di penyewa Sovereign Cloud AS seperti Microsoft 365 US Government GCC High dan Azure Government.
  • Bisnis komersial berada di penyewa Microsoft Entra terpisah di Komersial seperti lingkungan Microsoft Entra yang berjalan di cloud Azure global.

Untuk bertindak seperti satu perusahaan yang disebarkan ke dalam arsitektur lintas cloud, semua pengguna menyinkronkan ke kedua penyewa. Pendekatan ini memungkinkan ketersediaan GAL terpadu di kedua penyewa dan mungkin memastikan bahwa pengguna secara otomatis disinkronkan ke kedua penyewa termasuk hak dan pembatasan untuk aplikasi dan konten. Contoh persyaratan meliputi:

  • Karyawan AS mungkin memiliki akses ke kedua penyewa di mana-mana.
  • Karyawan non-AS ditampilkan di GAL terpadu dari kedua penyewa tetapi tidak memiliki akses ke konten yang dilindungi di penyewa GCC High.

Skenario ini memerlukan sinkronisasi otomatis dan manajemen identitas untuk mengonfigurasi pengguna di kedua penyewa sambil mengaitkannya dengan kebijakan pemberian izin dan perlindungan data yang tepat.

B2B lintas cloud mengharuskan Anda mengonfigurasi Pengaturan Akses Lintas Penyewa untuk setiap organisasi yang ingin Anda kolaborasikan dalam instans cloud jarak jauh.

Akun provisi

Bagian ini menjelaskan tiga teknik untuk mengotomatiskan provisi akun dalam skenario otomatis.

Teknik 1: Gunakan kemampuan sinkronisasi lintas penyewa bawaan di ID Microsoft Entra

Pendekatan ini hanya berfungsi ketika semua penyewa yang perlu Anda sinkronkan berada dalam instans cloud yang sama (seperti Komersial ke Komersial).

Teknik 2: Memprovisikan akun dengan Microsoft Identity Manager

Gunakan solusi Identity and Access Management (IAM) eksternal seperti Microsoft Identity Manager (MIM) sebagai mesin sinkronisasi.

Penyebaran tingkat lanjut ini menggunakan MIM sebagai mesin sinkronisasi. MIM memanggil Microsoft Graph API dan Exchange Online PowerShell. Implementasi alternatif dapat mencakup penawaran layanan terkelola Active Directory Synchronization Service (ADSS) yang dihosting cloud dari Solusi Industri Microsoft. Ada penawaran non-Microsoft yang dapat Anda buat dari awal dengan penawaran IAM lainnya (seperti SailPoint, Omada, dan OKTA).

Anda melakukan sinkronisasi identitas cloud-ke-cloud (pengguna, kontak, dan grup) dari satu penyewa ke penyewa lainnya seperti yang diilustrasikan dalam diagram berikut.

Diagram mengilustrasikan sinkronisasi identitas cloud-ke-cloud, seperti pengguna, kontak, dan grup, dari satu penyewa ke penyewa lainnya.

Pertimbangan yang berada di luar cakupan artikel ini mencakup integrasi aplikasi lokal.

Teknik 3: Memprovisikan akun dengan Microsoft Entra Connect

Teknik ini hanya berlaku untuk organisasi kompleks yang mengelola semua identitas di Active Directory Domain Services (AD DS) tradisional berbasis Windows Server. Pendekatan ini menggunakan Microsoft Entra Connect sebagai mesin sinkronisasi seperti yang diilustrasikan dalam diagram berikut.

Diagram mengilustrasikan pendekatan untuk menyediakan akun yang menggunakan Microsoft Entra Connect sebagai mesin sinkronisasi.

Judul diagram: Memprovisikan akun dengan Microsoft Entra Connect. Diagram menunjukkan empat komponen utama. Kotak di sebelah kiri mewakili Pelanggan. Bentuk cloud di sebelah kanan mewakili Konversi B2B. Di tengah atas, kotak yang berisi bentuk cloud mewakili Microsoft Commercial Cloud. Di tengah bawah, kotak yang berisi bentuk cloud mewakili Microsoft US Government Sovereign Cloud. Di dalam kotak Pelanggan, ikon Direktori Aktif Windows Server tersambung ke dua kotak, masing-masing dengan label Microsoft Entra Connect. Koneksi adalah garis merah putus-putus dengan panah di ujung dan ikon refresh. Di dalam bentuk Microsoft Commercial Cloud adalah bentuk cloud lain yang mewakili Microsoft Azure Commercial. Di dalamnya ada bentuk cloud lain yang mewakili ID Microsoft Entra. Di sebelah kanan bentuk cloud Microsoft Azure Commercial adalah kotak yang mewakili Office 365 dengan label, Multipenyewa Publik. Garis merah solid dengan panah di kedua ujungnya menyambungkan kotak Office 365 dengan bentuk cloud Komersial Microsoft Azure dan label, Beban Kerja Hibrid. Dua garis putus-putus tersambung dari kotak Office 365 ke bentuk cloud Microsoft Entra. Satu memiliki panah di akhir yang tersambung ke ID Microsoft Entra. Yang lain memiliki panah di kedua ujungnya. Garis putus-putus dengan panah di kedua ujungnya menyambungkan bentuk cloud Microsoft Entra ke kotak Microsoft Entra Connect pelanggan teratas. Garis putus-putus dengan panah di kedua ujungnya menghubungkan bentuk Microsoft Commercial Cloud ke bentuk cloud Konversi B2B. Di dalam kotak Microsoft US Government Sovereign Cloud adalah bentuk cloud lain yang mewakili Microsoft Azure Government. Di dalamnya ada bentuk cloud lain yang mewakili ID Microsoft Entra. Di sebelah kanan bentuk cloud Microsoft Azure Commercial adalah kotak yang mewakili Office 365 dengan label, US Gov GCC-High L4. Garis merah solid dengan panah di kedua ujungnya menyambungkan kotak Office 365 dengan bentuk cloud Microsoft Azure Government dan label, Beban Kerja Hibrid. Dua garis putus-putus tersambung dari kotak Office 365 ke bentuk cloud Microsoft Entra. Satu memiliki panah di akhir yang tersambung ke ID Microsoft Entra. Yang lain memiliki panah di kedua ujungnya. Garis putus-putus dengan panah di kedua ujungnya menyambungkan bentuk cloud Microsoft Entra ke kotak Microsoft Entra Connect pelanggan bawah. Garis putus-putus dengan panah di kedua ujungnya menghubungkan bentuk Microsoft Commercial Cloud ke bentuk cloud Konversi B2B.

Tidak seperti teknik MIM, semua sumber identitas (pengguna, kontak, dan grup) berasal dari Active Directory Domain Services (AD DS) tradisional berbasis Windows Server. Direktori AD DS biasanya merupakan penyebaran lokal untuk organisasi kompleks yang mengelola identitas untuk beberapa penyewa. Identitas khusus cloud tidak berada dalam cakupan untuk teknik ini. Semua identitas harus berada di AD DS untuk menyertakannya dalam cakupan untuk sinkronisasi.

Secara konseptual, teknik ini menyinkronkan pengguna ke penyewa rumah sebagai pengguna anggota internal (perilaku default). Atau, ini mungkin menyinkronkan pengguna ke penyewa sumber daya sebagai pengguna eksternal (perilaku yang disesuaikan).

Microsoft mendukung teknik pengguna sinkronisasi ganda ini dengan pertimbangan yang cermat terhadap modifikasi apa yang terjadi dalam konfigurasi Microsoft Entra Connect. Misalnya, jika Anda membuat modifikasi pada konfigurasi penyiapan berbasis wizard, Anda perlu mendokumen perubahan jika Anda harus membangun kembali konfigurasi selama insiden dukungan.

Di luar kotak, Microsoft Entra Connect tidak dapat menyinkronkan pengguna eksternal. Anda harus menambahnya dengan proses eksternal (seperti skrip PowerShell) untuk mengonversi pengguna dari akun internal ke eksternal.

Manfaat dari teknik ini termasuk Microsoft Entra Connect menyinkronkan identitas dengan atribut yang disimpan di AD DS. Sinkronisasi mungkin mencakup atribut buku alamat, atribut manajer, keanggotaan grup, dan atribut identitas hibrid lainnya ke semua penyewa dalam cakupan. Ini mendeprovisi identitas yang selaras dengan AD DS. Ini tidak memerlukan solusi IAM yang lebih kompleks untuk mengelola identitas cloud untuk tugas khusus ini.

Ada hubungan satu-ke-satu Microsoft Entra Connect per penyewa. Setiap penyewa memiliki konfigurasi Microsoft Entra Connect sendiri yang dapat Anda ubah satu per satu untuk mendukung sinkronisasi akun anggota atau pengguna eksternal.

Memilih topologi yang tepat

Sebagian besar pelanggan menggunakan salah satu topologi berikut dalam skenario otomatis.

  • Topologi jala mengaktifkan berbagi semua sumber daya di semua penyewa. Anda membuat pengguna dari penyewa lain di setiap penyewa sumber daya sebagai pengguna eksternal.
  • Topologi penyewa sumber daya tunggal menggunakan satu penyewa (penyewa sumber daya), di mana pengguna dari penyewa lain adalah pengguna eksternal.

Referensikan tabel berikut sebagai pohon keputusan saat Anda merancang solusi Anda. Mengikuti tabel, diagram mengilustrasikan kedua topologi untuk membantu Anda menentukan mana yang tepat untuk organisasi Anda.

Perbandingan topologi jala versus penyewa sumber daya tunggal

Pertimbangan Topologi jala Penyewa sumber daya tunggal
Setiap perusahaan memiliki penyewa Microsoft Entra terpisah dengan pengguna dan sumber daya Ya Ya
Lokasi dan kolaborasi sumber daya
Aplikasi bersama dan sumber daya lainnya tetap berada di penyewa beranda saat ini Ya Tidak. Anda hanya dapat berbagi aplikasi dan sumber daya lain di penyewa sumber daya. Anda tidak dapat berbagi aplikasi dan sumber daya lain yang tersisa di penyewa lain.
Semua dapat dilihat di GAL perusahaan individu (GAL Terpadu) Ya Tidak
Akses dan administrasi sumber daya
Anda dapat berbagi SEMUA aplikasi yang terhubung ke ID Microsoft Entra di antara semua perusahaan. Ya Tidak. Hanya aplikasi di penyewa sumber daya yang dibagikan. Anda tidak dapat berbagi aplikasi yang tersisa di penyewa lain.
Administrasi sumber daya global Lanjutkan di tingkat penyewa. Dikonsolidasikan di penyewa sumber daya.
Lisensi: SharePoint Office 365 di Microsoft 365, GAL terpadu, Teams mengakses semua tamu dukungan; namun, skenario Exchange Online lainnya tidak. Berlanjut pada tingkat penyewa. Berlanjut pada tingkat penyewa.
Lisensi: ID Microsoft Entra (premium) 50 K Pengguna Aktif Bulanan pertama gratis (per penyewa). 50 K Pengguna Aktif Bulanan pertama gratis.
Lisensi: aplikasi software as a service (SaaS) Tetap berada di penyewa individual, mungkin memerlukan lisensi per pengguna per penyewa. Semua sumber daya yang dibagikan berada di penyewa sumber daya tunggal. Anda dapat menyelidiki lisensi konsolidasi ke penyewa tunggal jika sesuai.

Topologi jala

Diagram berikut mengilustrasikan topologi jala.

Diagram mengilustrasikan topologi jala.

Dalam topologi jala, setiap pengguna di setiap penyewa rumah disinkronkan ke masing-masing penyewa lain, yang menjadi penyewa sumber daya.

  • Anda dapat berbagi sumber daya apa pun dalam penyewa dengan pengguna eksternal.
  • Setiap organisasi dapat melihat semua pengguna di konglomerat. Dalam diagram di atas, ada empat GAL terpadu, yang masing-masing berisi pengguna rumahan dan pengguna eksternal dari tiga penyewa lainnya.

Pertimbangan umum untuk manajemen pengguna multipenyewa menyediakan informasi tentang provisi, pengelolaan, dan deprovisi pengguna dalam skenario ini.

Topologi jala untuk lintas cloud

Anda dapat menggunakan topologi jala dalam beberapa penyewa, seperti dalam skenario untuk kontraktor pertahanan DIB yang mengangkangi solusi cloud lintas berdaulat. Seperti halnya topologi jala, setiap pengguna di setiap penyewa rumah disinkronkan ke penyewa lain, yang menjadi penyewa sumber daya. Dalam diagram bagian Teknik 3, pengguna internal penyewa Komersial publik menyinkronkan ke penyewa GCC High berdaulat AS sebagai akun pengguna eksternal. Pada saat yang sama, pengguna internal GCC High disinkronkan ke Komersial sebagai akun pengguna eksternal.

Diagram ini juga mengilustrasikan lokasi penyimpanan data. Kategorisasi dan kepatuhan data berada di luar cakupan artikel ini, tetapi Anda dapat menyertakan hak dan batasan untuk aplikasi dan konten. Konten mungkin menyertakan lokasi tempat data milik pengguna internal berada (seperti data yang disimpan di kotak surat Exchange Online atau OneDrive). Konten mungkin berada di penyewa rumah mereka dan bukan di penyewa sumber daya. Data yang dibagikan mungkin berada di salah satu penyewa. Anda dapat membatasi akses ke konten melalui kontrol akses dan kebijakan Akses Bersyar.

Topologi penyewa sumber daya tunggal

Diagram berikut mengilustrasikan topologi penyewa sumber daya tunggal.

Diagram mengilustrasikan topologi penyewa sumber daya tunggal.

Dalam topologi penyewa sumber daya tunggal, pengguna dan atribut mereka disinkronkan ke penyewa sumber daya (Perusahaan A dalam diagram di atas).

  • Semua sumber daya yang dibagikan di antara organisasi anggota harus berada di penyewa sumber daya tunggal. Jika beberapa anak perusahaan memiliki langganan ke aplikasi SaaS yang sama, ada kesempatan untuk mengonsolidasikan langganan tersebut.
  • Hanya GAL di penyewa sumber daya yang menampilkan pengguna dari semua perusahaan.

Mengelola akun

Solusi ini mendeteksi dan menyinkronkan perubahan atribut dari pengguna penyewa sumber ke pengguna eksternal penyewa sumber daya. Anda dapat menggunakan atribut ini untuk membuat keputusan otorisasi (seperti saat Anda menggunakan grup keanggotaan dinamis).

Membatalkan provisi akun

Automation mendeteksi penghapusan objek di lingkungan sumber dan menghapus objek pengguna eksternal terkait di lingkungan target.

Pertimbangan umum untuk manajemen pengguna multipenyewa memberikan informasi tambahan tentang penyediaan, pengelolaan, dan deprovisi pengguna dalam skenario ini.

Langkah berikutnya

  • Pengenalan manajemen pengguna multipenyewa adalah yang pertama dalam rangkaian artikel yang memberikan panduan untuk mengonfigurasi dan menyediakan manajemen siklus hidup pengguna di lingkungan multipenyewa Microsoft Entra.
  • Pertimbangan umum untuk manajemen pengguna multipenyewa menyediakan panduan untuk pertimbangan ini: sinkronisasi lintas penyewa, objek direktori, Akses Bersyarat Microsoft Entra, kontrol akses tambahan, dan Office 365.
  • Solusi umum untuk manajemen pengguna multipenyewa saat penyewaan tunggal tidak berfungsi untuk skenario Anda, artikel ini memberikan panduan untuk tantangan ini: manajemen siklus hidup pengguna otomatis dan alokasi sumber daya di seluruh penyewa, berbagi aplikasi lokal di seluruh penyewa.