Introduzione alla gestione utenti multi-tenant

  • Articolo

Questo articolo è il primo di una serie di articoli che forniscono indicazioni per la configurazione e la gestione del ciclo di vita degli utenti negli ambienti multi-tenant di Microsoft Entra. Gli articoli seguenti della serie forniscono altre informazioni, come descritto.

  • Gli scenari di gestione utenti multi-tenant descrivono tre scenari per i quali è possibile usare le funzionalità di gestione degli utenti multi-tenant: avviato dall'utente finale, con script e automatizzato.
  • Considerazioni comuni per la gestione degli utenti multi-tenant forniscono indicazioni per queste considerazioni: sincronizzazione tra tenant, oggetto directory, accesso condizionale Microsoft Entra, controllo di accesso aggiuntivo e Office 365.
  • Soluzioni comuni per la gestione degli utenti multi-tenant quando la tenancy singola non funziona per lo scenario in uso, questo articolo fornisce indicazioni per queste problematiche: gestione automatica del ciclo di vita degli utenti e allocazione delle risorse tra tenant, condivisione di app locali tra tenant.

Le linee guida consentono di ottenere uno stato coerente della gestione del ciclo di vita degli utenti. La gestione del ciclo di vita include il provisioning, la gestione e il deprovisioning degli utenti tra tenant usando gli strumenti di Azure disponibili che includono Microsoft Entra B2B Collaboration (B2B) e la sincronizzazione tra tenant.

Il provisioning degli utenti in un singolo tenant di Microsoft Entra offre una visualizzazione unificata delle risorse e un unico set di criteri e controlli. Questo approccio consente una gestione coerente del ciclo di vita degli utenti.

Quando possibile, Microsoft consiglia un singolo tenant. La presenza di più tenant può comportare requisiti univoci di collaborazione e gestione tra tenant. Quando il consolidamento in un singolo tenant di Microsoft Entra non è possibile, le organizzazioni multi-tenant possono estendersi su due o più tenant di Microsoft Entra per motivi che includono quanto segue.

  • Fusioni
  • Acquisizioni
  • Divestiture
  • Collaborazione tra cloud pubblici, sovrani e regionali
  • Strutture politiche o organizzative che impediscono il consolidamento a un singolo tenant di Microsoft Entra

Collaborazione B2B di Microsoft Entra

Microsoft Entra B2B Collaboration (B2B) consente di condividere in modo sicuro le applicazioni e i servizi aziendali con utenti esterni. Quando gli utenti possono provenire da qualsiasi organizzazione, B2B consente di mantenere il controllo sull'accesso all'ambiente IT e ai dati.

È possibile usare collaborazione B2B per fornire l'accesso esterno agli utenti dell'organizzazione per accedere a più tenant gestiti. Tradizionalmente, l'accesso utente esterno B2B può autorizzare l'accesso agli utenti non gestiti dalla propria organizzazione. Tuttavia, l'accesso utente esterno può gestire l'accesso tra più tenant gestiti dall'organizzazione.

Un'area di confusione con La collaborazione B2B di Microsoft Entra circonda le proprietà di un utente guest B2B. La differenza tra gli account utente interni e esterni e i tipi di utenti guest contribuisce a confusione. Inizialmente, tutti gli utenti interni sono utenti membri con attributo UserType impostato su Membro (utenti membri). Un utente interno ha un account nell'ID Microsoft Entra autorevole e autenticato nel tenant in cui risiede l'utente. Un utente membro è un utente con licenza con autorizzazioni predefinite a livello di membro nel tenant. Considerare gli utenti membri come dipendenti dell'organizzazione.

È possibile invitare un utente interno di un tenant in un altro tenant come utente esterno. Un utente esterno accede con un account Microsoft Entra esterno, un'identità social o un altro provider di identità esterno. Gli utenti esterni eseguono l'autenticazione all'esterno del tenant a cui si invita l'utente esterno. Alla prima versione B2B, tutti gli utenti esterni erano di UserTypeGuest (utenti guest). Gli utenti guest hanno autorizzazioni limitate nel tenant. Ad esempio, gli utenti guest non possono enumerare l'elenco di tutti gli utenti o i gruppi nella directory del tenant.

Per la proprietà UserType per gli utenti, B2B supporta lo scorrimento del bit da interno a esterno e viceversa, che contribuisce alla confusione.

È possibile modificare un utente interno da utente membro a Utente guest. Ad esempio, è possibile avere un utente guest interno senza licenza con autorizzazioni a livello di guest nel tenant, utile quando si forniscono un account utente e le credenziali a una persona che non è un dipendente dell'organizzazione.

È possibile modificare un utente esterno da Utente guest a utente membro, assegnando autorizzazioni a livello di membro all'utente esterno. Questa modifica è utile quando si gestiscono più tenant per l'organizzazione ed è necessario concedere autorizzazioni a livello di membro a un utente in tutti i tenant. Questa esigenza può verificarsi indipendentemente dal fatto che l'utente sia interno o esterno in un determinato tenant. Gli utenti membri potrebbero richiedere più licenze.

La maggior parte della documentazione per B2B fa riferimento a un utente esterno come utente guest. Gonfia la proprietà UserType in modo da presupporre che tutti gli utenti guest siano esterni. Quando la documentazione chiama un utente guest, presuppone che si tratti di un utente guest esterno. Questo articolo si riferisce in modo specifico e intenzionalmente a utenti esterni e membri rispetto all'utente guest.

Sincronizzazione tra tenant

La sincronizzazione tra tenant consente alle organizzazioni multi-tenant di offrire esperienze di accesso e collaborazione semplici agli utenti finali, usando le funzionalità di collaborazione esterna B2B esistenti. La funzionalità non consente la sincronizzazione tra tenant tra cloud sovrani Microsoft , ad esempio Microsoft 365 US Government GCC High, DOD o Office 365 in Cina. Per informazioni sugli scenari di sincronizzazione automatizzati e personalizzati tra tenant, vedere Considerazioni comuni sulla gestione degli utenti multi-tenant.

Guardare Arvind Harinder parlare della funzionalità di sincronizzazione tra tenant in Microsoft Entra ID (incorporato di seguito).

Gli articoli concettuali e sulle procedure seguenti forniscono informazioni sulla collaborazione B2B di Microsoft Entra B2B e sulla sincronizzazione tra tenant.

Articoli concettuali

  • Raccomandazioni sulle procedure consigliate B2B per offrire un'esperienza ottimale per utenti e amministratori.
  • La condivisione esterna B2B e Office 365 illustra le analogie e le differenze tra la condivisione delle risorse tramite B2B, Office 365 e SharePoint/OneDrive.
  • Le proprietà di un utente di Collaborazione Microsoft Entra B2B descrivono le proprietà e gli stati dell'oggetto utente esterno in Microsoft Entra ID. La descrizione fornisce dettagli prima e dopo il riscatto dell'invito.
  • I token utente B2B forniscono esempi di token di connessione per B2B per un utente esterno.
  • L'accesso condizionale per B2B descrive il funzionamento dell'accesso condizionale e dell'autenticazione a più fattori per gli utenti esterni.
  • Le impostazioni di accesso tra tenant forniscono un controllo granulare sul modo in cui le organizzazioni esterne di Microsoft Entra collaborano con l'utente (accesso in ingresso) e sul modo in cui gli utenti collaborano con organizzazioni esterne di Microsoft Entra (accesso in uscita).
  • Panoramica della sincronizzazione tra tenant illustra come automatizzare la creazione, l'aggiornamento e l'eliminazione di utenti di Collaborazione B2B di Microsoft Entra B2B tra tenant in un'organizzazione.

Procedure

  • Usare PowerShell per invitare in blocco gli utenti di Collaborazione B2B di Microsoft Entra B2B descrive come usare PowerShell per inviare inviti in blocco agli utenti esterni.
  • Applicare l'autenticazione a più fattori per gli utenti guest B2B spiega come usare l'accesso condizionale e i criteri di autenticazione a più fattori per applicare livelli di autenticazione utente esterni, app o tenant.
  • L'autenticazione con passcode monouso tramite posta elettronica descrive come la funzionalità passcode monouso e-mail autentica gli utenti esterni quando non possono eseguire l'autenticazione tramite altri mezzi, ad esempio Microsoft Entra ID, un account Microsoft o Google Federation.

Terminologia

I termini seguenti nel contenuto Microsoft fanno riferimento alla collaborazione multi-tenant in Microsoft Entra ID.

  • Tenant della risorsa: tenant di Microsoft Entra contenente le risorse che gli utenti vogliono condividere con altri utenti.
  • Tenant principale: tenant di Microsoft Entra contenente gli utenti che richiedono l'accesso alle risorse nel tenant delle risorse.
  • Utente interno: un utente interno ha un account autorevole e autenticato nel tenant in cui risiede l'utente.
  • Utente esterno: un utente esterno ha un account Microsoft Entra esterno, un'identità social o un altro provider di identità esterno per l'accesso. L'utente esterno esegue l'autenticazione da qualche parte all'esterno del tenant a cui è stato invitato l'utente esterno.
  • Utente membro: un utente membro interno o esterno è un utente con licenza con autorizzazioni predefinite a livello di membro nel tenant. Considerare gli utenti membri come dipendenti dell'organizzazione.
  • Utente guest: un utente guest interno o esterno ha autorizzazioni limitate nel tenant. Gli utenti guest non sono dipendenti dell'organizzazione, ad esempio gli utenti per i partner. La maggior parte della documentazione B2B fa riferimento a Guest B2B, che fa principalmente riferimento agli account utente guest esterni.
  • Gestione del ciclo di vita degli utenti: processo di provisioning, gestione e deprovisioning dell'accesso utente alle risorse.
  • Elenco indirizzi globale unificato: ogni utente in ogni tenant può visualizzare gli utenti di ogni organizzazione nell'elenco indirizzi globale.

Decidere come soddisfare i requisiti

I requisiti univoci dell'organizzazione influenzano la strategia per la gestione degli utenti tra tenant. Per creare una strategia efficace, considerare i requisiti seguenti.

  • Numero di tenant
  • Tipo di organizzazione
  • Topologie correnti
  • Esigenze di sincronizzazione utente specifiche

Requisiti comuni

Le organizzazioni si concentrano inizialmente sui requisiti desiderati per la collaborazione immediata. Talvolta denominati requisiti day one , si concentrano sull'abilitazione dell'unione uniforme degli utenti finali senza interrompere la capacità di generare valore. Quando si definiscono i requisiti amministrativi e day one, prendere in considerazione i requisiti e le esigenze seguenti.

Requisiti di comunicazione

  • Elenco indirizzi globale unificato: ogni utente può visualizzare tutti gli altri utenti nell'elenco indirizzi globale nel tenant principale.
  • Informazioni sulla disponibilità: consentire agli utenti di individuare la disponibilità degli altri utenti. A tale scopo, è possibile usare le relazioni tra organizzazioni in Exchange Online.
  • Chat e presenza: consentire agli utenti di determinare la presenza degli altri utenti e avviare la messaggistica istantanea. Configurare tramite l'accesso esterno in Microsoft Teams.
  • Prenotare risorse come sale riunioni: consentire agli utenti di prenotare sale riunioni o altre risorse nell'organizzazione. La prenotazione di sale riunioni tra tenant non è attualmente disponibile in Exchange Online.
  • Dominio di posta elettronica singolo: consente a tutti gli utenti di inviare e ricevere posta elettronica da un singolo dominio di posta elettronica (ad esempio, users@contoso.com). L'invio richiede una soluzione di riscrittura dell'indirizzo di posta elettronica.

Requisiti di accesso

  • Accesso ai documenti: consente agli utenti di condividere documenti da SharePoint, OneDrive e Teams.
  • Amministrazione istration: Consentire agli amministratori di gestire la configurazione di sottoscrizioni e servizi distribuiti in più tenant.
  • Accesso alle applicazioni: consentire agli utenti finali di accedere alle applicazioni nell'organizzazione.
  • Single Sign-On: consentire agli utenti di accedere alle risorse nell'organizzazione senza dover immettere altre credenziali.

Modelli per la creazione di account

I meccanismi Microsoft per la creazione e la gestione del ciclo di vita degli account utente esterni seguono tre modelli comuni. È possibile usare questi modelli per definire e implementare i requisiti. Scegliere il modello più adatto allo scenario e quindi concentrarsi sui dettagli del modello.

Meccanismo Descrizione Meglio quando
Avviato dall'utente finale Gli amministratori tenant delle risorse delegano la possibilità di invitare utenti esterni al tenant, a un'app o a una risorsa agli utenti all'interno del tenant delle risorse. È possibile invitare gli utenti dal tenant principale oppure possono iscriversi singolarmente. Elenco indirizzi globale unificato il giorno 1 non obbligatorio.
Script Gli amministratori tenant delle risorse distribuiscono un processo pull con script per automatizzare l'individuazione e il provisioning di utenti esterni per supportare scenari di condivisione. Numero ridotto di tenant (ad esempio due).
Automatizzato Gli amministratori tenant delle risorse usano un sistema di provisioning delle identità per automatizzare i processi di provisioning e deprovisioning. È necessario un elenco indirizzi globale unificato tra i tenant.

Passaggi successivi

  • Gli scenari di gestione utenti multi-tenant descrivono tre scenari per i quali è possibile usare le funzionalità di gestione degli utenti multi-tenant: avviato dall'utente finale, con script e automatizzato.
  • Considerazioni comuni per la gestione degli utenti multi-tenant forniscono indicazioni per queste considerazioni: sincronizzazione tra tenant, oggetto directory, accesso condizionale Microsoft Entra, controllo di accesso aggiuntivo e Office 365.
  • Soluzioni comuni per la gestione degli utenti multi-tenant quando la tenancy singola non funziona per lo scenario in uso, questo articolo fornisce indicazioni per queste problematiche: gestione automatica del ciclo di vita degli utenti e allocazione delle risorse tra tenant, condivisione di app locali tra tenant.
  • La sincronizzazione multi-tenant di Active Directory descrive varie topologie locali e Microsoft Entra che usano Microsoft Entra Connessione Sync come soluzione di integrazione chiave.