Scenari di gestione utenti multi-tenant

Questo articolo è il secondo di una serie di articoli che forniscono indicazioni per la configurazione e la gestione del ciclo di vita degli utenti negli ambienti multi-tenant di Microsoft Entra. Gli articoli seguenti della serie forniscono altre informazioni, come descritto.

• L'introduzione alla gestione degli utenti multi-tenant è la prima della serie di articoli che forniscono indicazioni per la configurazione e la gestione del ciclo di vita degli utenti negli ambienti multi-tenant di Microsoft Entra.
• Considerazioni comuni per la gestione degli utenti multi-tenant forniscono indicazioni per queste considerazioni: sincronizzazione tra tenant, oggetto directory, accesso condizionale Microsoft Entra, controllo di accesso aggiuntivo e Office 365.
• Soluzioni comuni per la gestione degli utenti multi-tenant quando la tenancy singola non funziona per lo scenario in uso, questo articolo fornisce indicazioni per queste problematiche: gestione automatica del ciclo di vita degli utenti e allocazione delle risorse tra tenant, condivisione di app locali tra tenant.

Le linee guida consentono di ottenere uno stato coerente della gestione del ciclo di vita degli utenti. La gestione del ciclo di vita include il provisioning, la gestione e il deprovisioning degli utenti tra tenant usando gli strumenti di Azure disponibili che includono Microsoft Entra B2B Collaboration (B2B) e la sincronizzazione tra tenant.

Questo articolo descrive tre scenari per i quali è possibile usare le funzionalità di gestione utenti multi-tenant.

• Avviato dall'utente finale
• Script
• Automatizzato

Scenario avviato dall'utente finale

Negli scenari avviati dall'utente finale, gli amministratori tenant delle risorse delegano determinate capacità agli utenti nel tenant. Amministrazione istrator consentono agli utenti finali di invitare utenti esterni al tenant, a un'app o a una risorsa. È possibile invitare gli utenti dal tenant principale oppure possono iscriversi singolarmente.

Ad esempio, una società di servizi professionali globale collabora con subappaltatori su progetti. I subappaltatori (utenti esterni) richiedono l'accesso alle applicazioni e ai documenti dell'azienda. Gli amministratori aziendali possono delegare agli utenti finali la possibilità di invitare subappaltatori o configurare self-service per l'accesso alle risorse dei subappaltatori.

Account di provisioning

Ecco i modi più usati per invitare gli utenti finali ad accedere alle risorse del tenant.

• Inviti basati su applicazioni. Le applicazioni Microsoft( ad esempio Teams e SharePoint) possono abilitare gli inviti degli utenti esterni. Configurare le impostazioni di invito B2B sia in Microsoft Entra B2B che nelle applicazioni pertinenti.
• MyApps. Gli utenti possono invitare e assegnare utenti esterni alle applicazioni usando MyApps. L'account utente deve disporre delle autorizzazioni di approvazione dell'iscrizione self-service dell'applicazione. I proprietari del gruppo possono invitare utenti esterni ai propri gruppi.
• Gestione entitlement. Consentire agli amministratori o ai proprietari delle risorse di creare pacchetti di accesso con risorse, organizzazioni esterne consentite, scadenza utenti esterni e criteri di accesso. Pubblicare pacchetti di accesso per abilitare l'iscrizione self-service degli utenti esterni per l'accesso alle risorse.
• portale di Azure. Gli utenti finali con il ruolo Mittente dell'invito guest possono accedere al portale di Azure e invitare utenti esterni dal menu Utenti in Microsoft Entra ID.
• Programmatico (PowerShell, API Graph). Gli utenti finali con il ruolo Mittente dell'invito guest possono usare PowerShell o l'API Graph per invitare utenti esterni.

Riscatto degli inviti

Quando si effettua il provisioning degli account per accedere a una risorsa, gli inviti tramite posta elettronica vengono inviati all'indirizzo di posta elettronica dell'utente invitato.

Quando un utente invitato riceve un invito, può seguire il collegamento contenuto nel messaggio di posta elettronica all'URL di riscatto. In questo modo, l'utente invitato può approvare o negare l'invito e, se necessario, creare un account utente esterno.

Gli utenti invitati possono anche provare ad accedere direttamente alla risorsa, definita riscatto JIT (Just-In-Time), se uno degli scenari seguenti è vero.

• L'utente invitato ha già un account Microsoft Entra ID o Microsoft oppure
• Amministrazione hanno abilitato passcode monouso tramite posta elettronica.

Durante il riscatto JIT, possono essere applicate le considerazioni seguenti.

• Se gli amministratori non hanno eliminato le richieste di consenso, l'utente deve fornire il consenso prima di accedere alla risorsa.
• È possibile consentire o bloccare gli inviti a utenti esterni da organizzazioni specifiche usando un elenco di elementi consentiti o un elenco di blocchi.

Per altre informazioni, vedere Riscatto dell'invito a Microsoft Entra B2B Collaboration.

Abilitazione dell'autenticazione con passcode monouso

Negli scenari in cui si consente l'autenticazione B2B ad hoc, abilitare l'autenticazione con passcode monouso tramite posta elettronica. Questa funzionalità autentica gli utenti esterni quando non è possibile autenticarli tramite altri mezzi, ad esempio:

• Microsoft Entra ID.
• Account Microsoft.
• Account Gmail tramite Google Federation.
• Account da un provider di identità SAML (Security Assertion Markup Language)/WS-Fed tramite federazione diretta.

Grazie all'autenticazione con passcode monouso, non è necessario creare un account Microsoft. Quando l'utente esterno riscatta un invito o accede a una risorsa condivisa, riceve un codice temporaneo all'indirizzo di posta elettronica. Quindi immettono il codice per continuare l'accesso.

Gestione degli account

Nello scenario avviato dall'utente finale, l'amministratore del tenant delle risorse gestisce gli account utente esterni nel tenant delle risorse (non aggiornato in base ai valori aggiornati nel tenant principale). Gli unici attributi visibili ricevuti includono l'indirizzo di posta elettronica e il nome visualizzato.

È possibile configurare più attributi sugli oggetti utente esterni per facilitare scenari diversi, ad esempio scenari entitlement. È possibile includere il popolamento della rubrica con i dettagli di contatto. Si considerino ad esempio gli attributi seguenti.

• HiddenFromAddressListsEnabled [ShowInAddressList]
• FirstName [GivenName ]
• LastName [SurName]
• Title
• Reparto
• TelephoneNumber

È possibile impostare questi attributi per aggiungere utenti esterni all'elenco indirizzi globale (GAL) e alle persone che cercano (ad esempio SharePoint Persone Selezione). Altri scenari potrebbero richiedere attributi diversi, ad esempio l'impostazione di diritti e autorizzazioni per i pacchetti di accesso, l'appartenenza dinamica ai gruppi e le attestazioni SAML.

Per impostazione predefinita, l'elenco indirizzi globale nasconde gli utenti esterni invitati. Impostare gli attributi utente esterni da annullare per includerli nell'elenco indirizzi globale unificato. La sezione Considerazioni comuni sulla gestione degli utenti multi-tenant di Microsoft Exchange Online descrive come ridurre i limiti creando utenti membri esterni anziché utenti guest esterni.

Deprovisioning degli account

Gli scenari avviati dall'utente finale decentralizzano le decisioni di accesso, che possono creare la sfida di decidere quando rimuovere un utente esterno e l'accesso associato. La gestione entitlement e le verifiche di accesso consentono di esaminare e rimuovere gli utenti esterni esistenti e l'accesso alle risorse.

Quando si invitano utenti all'esterno della gestione entitlement, è necessario creare un processo separato per esaminare e gestire l'accesso. Ad esempio, se si invita direttamente un utente esterno tramite SharePoint in Microsoft 365, non si trova nel processo di gestione entitlement.

Scenario con script

Nello scenario con script gli amministratori del tenant delle risorse distribuiscono un processo pull con script per automatizzare l'individuazione e il provisioning utenti esterni.

Ad esempio, una società acquisisce un concorrente. Ogni azienda ha un singolo tenant di Microsoft Entra. Vogliono che gli scenari del primo giorno seguenti funzionino senza che gli utenti eseguano alcuna procedura di invito o riscatto. Tutti gli utenti devono essere in grado di:

• Usare l'accesso Single Sign-On a tutte le risorse di cui è stato effettuato il provisioning.
• Trovare l'uno l'altro e le risorse in un elenco indirizzi globale unificato.
• Determinare la presenza dell'altro e avviare la chat.
• Accedere alle applicazioni in base all'appartenenza dinamica ai gruppi.

In questo scenario, il tenant di ogni organizzazione è il tenant principale per i dipendenti esistenti mentre è il tenant delle risorse per i dipendenti dell'altra organizzazione.

Account di provisioning

Con Delta Query, gli amministratori tenant possono distribuire un processo pull con script per automatizzare il provisioning di individuazione e identità per supportare l'accesso alle risorse. Questo processo controlla il tenant principale per i nuovi utenti. Usa le API Graph B2B per effettuare il provisioning di nuovi utenti come utenti esterni nel tenant delle risorse, come illustrato nel diagramma della topologia multi-tenant seguente.

Titolo diagramma: diagramma topologia multi-tenant. A sinistra, una casella denominata Company A contiene utenti interni e utenti esterni. A destra, una casella con etichetta Company B contiene utenti interni e utenti esterni. Tra la Società A e la Società B, un'interazione passa dalla Società A alla Società B con l'etichetta, Script per eseguire il pull degli utenti A a B. Un'altra interazione passa dalla Società B alla Società A con l'etichetta, Script per eseguire il pull degli utenti B in A.

• Gli amministratori tenant preordinano le credenziali e il consenso per consentire la lettura di ogni tenant.
• Gli amministratori tenant automatizzano l'enumerazione e il pull degli utenti con ambito nel tenant delle risorse.
• Usare l'API Microsoft Graph con autorizzazioni concesse per leggere ed effettuare il provisioning degli utenti con l'API di invito.
• Il provisioning iniziale può leggere gli attributi di origine e applicarli all'oggetto utente di destinazione.

Gestione degli account

L'organizzazione delle risorse può aumentare i dati del profilo per supportare scenari di condivisione aggiornando gli attributi dei metadati dell'utente nel tenant delle risorse. Tuttavia, se è necessaria la sincronizzazione in corso, una soluzione sincronizzata potrebbe essere un'opzione migliore.

Deprovisioning degli account

Delta Query può segnalare quando è necessario eseguire il deprovisioning di un utente esterno. La gestione entitlement e le verifiche di accesso possono fornire un modo per esaminare e rimuovere gli utenti esterni esistenti e il relativo accesso alle risorse.

Se si invitano utenti esterni alla gestione entitlement, creare un processo separato per esaminare e gestire l'accesso degli utenti esterni. Ad esempio, se si invita l'utente esterno direttamente tramite SharePoint in Microsoft 365, non si tratta del processo di gestione entitlement.

Scenario automatizzato

La condivisione sincronizzata tra tenant è il più complesso dei modelli descritti in questo articolo. Questo modello consente opzioni di gestione e deprovisioning più automatizzate rispetto a quelle avviate dall'utente finale o con script.

Negli scenari automatizzati, gli amministratori del tenant delle risorse usano un sistema di provisioning delle identità per automatizzare i processi di provisioning e deprovisioning. Negli scenari all'interno dell'istanza del cloud commerciale di Microsoft, è disponibile la sincronizzazione tra tenant. Negli scenari che si estendono su istanze di Microsoft Sovereign Cloud, sono necessari altri approcci perché la sincronizzazione tra tenant non supporta ancora il cross-cloud.

Ad esempio, all'interno di un'istanza di Microsoft Commercial Cloud, un conglomerato multinazionale/regionale ha più filiali con i requisiti seguenti.

• Ognuno ha il proprio tenant di Microsoft Entra e deve collaborare.
• Oltre a sincronizzare nuovi utenti tra i tenant, sincronizzare automaticamente gli aggiornamenti degli attributi e automatizzare il deprovisioning.
• Se un dipendente non è più in una filiale, rimuovere il proprio account da tutti gli altri tenant durante la sincronizzazione successiva.

In uno scenario esteso e cross-cloud, un imprenditore di difesa industriale (DIB) ha una filiale basata sulla difesa e basata sul commercio. Questi requisiti hanno requisiti di regolamentazione concorrenti:

• L'azienda us defense risiede in un tenant del cloud sovrano degli Stati Uniti, ad esempio Microsoft 365 US Government GCC High e Azure per enti pubblici.
• L'azienda commerciale risiede in un tenant Microsoft Entra separato in Commercial, ad esempio un ambiente Microsoft Entra in esecuzione nel cloud di Azure globale.

Per agire come una singola azienda distribuita in un'architettura tra cloud, tutti gli utenti si sincronizzano con entrambi i tenant. Questo approccio consente la disponibilità unificata dell'elenco indirizzi globale in entrambi i tenant e potrebbe garantire che gli utenti sincronizzati automaticamente con entrambi i tenant includano diritti e restrizioni per applicazioni e contenuti. I requisiti di esempio includono:

• I dipendenti statunitensi potrebbero avere accesso onnipresente a entrambi i tenant.
• I dipendenti non statunitensi vengono visualizzati nell'elenco indirizzi globale unificato di entrambi i tenant, ma non hanno accesso al contenuto protetto nel tenant GCC High.

Questo scenario richiede la sincronizzazione automatica e la gestione delle identità per configurare gli utenti in entrambi i tenant, associandoli ai criteri appropriati di protezione dei dati e entitlement.

B2B tra cloud richiede di configurare l'accesso tra tenant Impostazioni per ogni organizzazione con cui si vuole collaborare nell'istanza del cloud remoto.

Account di provisioning

Questa sezione descrive tre tecniche per automatizzare il provisioning degli account nello scenario automatizzato.

Tecnica 1: Usare la funzionalità di sincronizzazione tra tenant predefinita in Microsoft Entra ID

Questo approccio funziona solo quando tutti i tenant da sincronizzare si trovano nella stessa istanza cloud , ad esempio Commercial to Commercial.

Tecnica 2: Effettuare il provisioning degli account con Microsoft Identity Manager

Usare una soluzione IAM (Identity and Access Management) esterna, ad esempio Microsoft Identity Manager (MIM) come motore di sincronizzazione.

Questa distribuzione avanzata usa MIM come motore di sincronizzazione. MIM chiama l'API Microsoft Graph ed Exchange Online PowerShell. Le implementazioni alternative possono includere l'offerta di servizi gestiti di Servizi di sincronizzazione Active Directory (ADSS) ospitati nel cloud da Microsoft Industry Solutions. Ci sono offerte non Microsoft che è possibile creare da zero con altre offerte IAM (ad esempio SailPoint, O windows e OKTA).

Si esegue una sincronizzazione da cloud a cloud di identità (utenti, contatti e gruppi) da un tenant a un altro, come illustrato nel diagramma seguente.

Titolo diagramma: sincronizzazione delle identità da cloud a cloud. A sinistra, una casella denominata Company A contiene utenti interni e utenti esterni. A destra, una casella con etichetta Company B contiene utenti interni e utenti esterni. Tra la Società A e la Società B, le interazioni del motore di sincronizzazione passano dalla Società A alla Società B e dalla Società B alla Società A.

Le considerazioni esterne all'ambito di questo articolo includono l'integrazione di applicazioni locali.

Tecnica 3: Effettuare il provisioning degli account con Microsoft Entra Connessione

Questa tecnica si applica solo alle organizzazioni complesse che gestiscono tutte le identità nei servizi di Dominio di Active Directory basati su Windows Server tradizionali. L'approccio usa Microsoft Entra Connessione come motore di sincronizzazione, come illustrato nel diagramma seguente.

Titolo diagramma: Effettuare il provisioning degli account con Microsoft Entra Connessione. Il diagramma mostra quattro componenti principali. Una casella a sinistra rappresenta il cliente. Una forma cloud a destra rappresenta la conversione B2B. Al centro superiore, una casella contenente una forma cloud rappresenta Microsoft Commercial Cloud. Nella parte inferiore centrale, una casella contenente una forma cloud rappresenta Il cloud sovrano del governo degli Stati Uniti microsoft. All'interno della casella Cliente, un'icona di Windows Server Active Directory si connette a due caselle, ognuna con un'etichetta microsoft Entra Connessione. Le connessioni sono linee rosse tratteggiate con frecce a entrambe le estremità e un'icona di aggiornamento. All'interno della forma Microsoft Commercial Cloud è un'altra forma cloud che rappresenta Microsoft Azure Commercial. All'interno è disponibile un'altra forma cloud che rappresenta l'ID Microsoft Entra. A destra della forma del cloud commerciale di Microsoft Azure è una casella che rappresenta Office 365 con un'etichetta, Public Multitenant. Una linea rossa continua con frecce a entrambe le estremità connette la casella di Office 365 con la forma cloud commerciale di Microsoft Azure e un'etichetta, carichi di lavoro ibridi. Due linee tratteggiate si connettono dalla casella di Office 365 alla forma cloud di Microsoft Entra. Si dispone di una freccia sulla fine che si connette a Microsoft Entra ID.One has an arrow on the end that connects to Microsoft Entra ID. L'altra ha frecce su entrambe le estremità. Una linea tratteggiata con frecce su entrambe le estremità collega la forma cloud di Microsoft Entra al riquadro principale Microsoft Entra Connessione. Una linea tratteggiata con frecce su entrambe le estremità collega la forma Microsoft Commercial Cloud alla forma cloud di conversione B2B. All'interno della casella Microsoft US Government Sovrano Cloud è un'altra forma cloud che rappresenta Microsoft Azure per enti pubblici. All'interno è disponibile un'altra forma cloud che rappresenta l'ID Microsoft Entra. A destra della forma del cloud commerciale di Microsoft Azure è una casella che rappresenta Office 365 con un'etichetta US Gov GCC-High L4. Una linea rossa continua con frecce a entrambe le estremità connette la casella di Office 365 con la forma cloud di Microsoft Azure per enti pubblici e un'etichetta, Carichi di lavoro ibridi. Due linee tratteggiate si connettono dalla casella di Office 365 alla forma cloud di Microsoft Entra. Si dispone di una freccia sulla fine che si connette a Microsoft Entra ID.One has an arrow on the end that connects to Microsoft Entra ID. L'altra ha frecce su entrambe le estremità. Una linea tratteggiata con frecce su entrambe le estremità collega la forma cloud di Microsoft Entra alla casella Connessione cliente Microsoft Entra in basso. Una linea tratteggiata con frecce su entrambe le estremità collega la forma Microsoft Commercial Cloud alla forma cloud di conversione B2B.

A differenza della tecnica MIM, tutte le origini di identità (utenti, contatti e gruppi) provengono dalle tradizionali Dominio di Active Directory Services (AD DS) basate su Windows Server. La directory di Active Directory Domain Services è in genere una distribuzione locale per un'organizzazione complessa che gestisce l'identità per più tenant. L'identità solo cloud non rientra nell'ambito di questa tecnica. Tutte le identità devono trovarsi in Servizi di dominio Active Directory per includerle nell'ambito della sincronizzazione.

Concettualmente, questa tecnica sincronizza un utente in un tenant principale come utente membro interno (comportamento predefinito). In alternativa, potrebbe sincronizzare un utente in un tenant di risorse come utente esterno (comportamento personalizzato).

Microsoft supporta questa doppia tecnica utente di sincronizzazione con considerazioni accurate sulle modifiche apportate alla configurazione di Microsoft Entra Connessione. Ad esempio, se si apportano modifiche alla configurazione guidata dalla procedura guidata, è necessario documentare le modifiche se è necessario ricompilare la configurazione durante un evento imprevisto di supporto.

Microsoft Entra Connessione non è in grado di sincronizzare un utente esterno. È necessario aumentarlo con un processo esterno (ad esempio uno script di PowerShell) per convertire gli utenti da account interni a account esterni.

I vantaggi di questa tecnica includono Microsoft Entra Connessione la sincronizzazione dell'identità con gli attributi archiviati in Servizi di dominio Active Directory. La sincronizzazione può includere attributi della rubrica, attributi del manager, appartenenze ai gruppi e altri attributi di identità ibrida in tutti i tenant all'interno dell'ambito. Esegue il deprovisioning dell'identità in allineamento con Active Directory Domain Services. Non richiede una soluzione IAM più complessa per gestire l'identità cloud per questa attività specifica.

Esiste una relazione uno-a-uno di Microsoft Entra Connessione per tenant. Ogni tenant ha una propria configurazione di Microsoft Entra Connessione che è possibile modificare singolarmente per supportare la sincronizzazione dell'account utente membro o esterno.

Scelta della topologia corretta

La maggior parte dei clienti usa una delle topologie seguenti in scenari automatizzati.

• Una topologia mesh consente la condivisione di tutte le risorse in tutti i tenant. Gli utenti vengono creati da altri tenant in ogni tenant di risorse come utenti esterni.
• Una topologia tenant a singola risorsa usa un singolo tenant (tenant di risorse), in cui gli utenti di altri tenant sono utenti esterni.

Fare riferimento alla tabella seguente come albero delle decisioni durante la progettazione della soluzione. Seguendo la tabella, i diagrammi illustrano entrambe le topologie per determinare quale sia la scelta giusta per l'organizzazione.

Confronto tra topologie mesh e tenant a risorsa singola

Considerazioni	Topologia mesh	Tenant a risorsa singola
Ogni azienda ha un tenant Microsoft Entra separato con utenti e risorse	Sì	Sì
Località e collaborazione delle risorse
Le app condivise e altre risorse rimangono nel tenant principale corrente	Sì	No. È possibile condividere solo app e altre risorse nel tenant delle risorse. Non è possibile condividere app e altre risorse rimanenti in altri tenant.
Tutti visualizzabili nelle GALs di singole società (UNIFIED GAL)	Sì	No
Accesso alle risorse e amministrazione
È possibile condividere tutte le applicazioni connesse all'ID Microsoft Entra tra tutte le aziende.	Sì	No. Vengono condivise solo le applicazioni nel tenant delle risorse. Non è possibile condividere le applicazioni rimanenti in altri tenant.
Amministrazione globale delle risorse	Continuare a livello di tenant.	Consolidato nel tenant delle risorse.
Licenze: Office 365 SharePoint in Microsoft 365, elenco indirizzi globale unificato, Teams accede a tutti i guest di supporto; tuttavia, altri scenari di Exchange Online non lo sono.	Continua a livello di tenant.	Continua a livello di tenant.
Licenze: Microsoft Entra ID (Premium)	I primi 50 K utenti attivi mensili sono gratuiti (per tenant).	I primi 50 K utenti attivi mensili sono gratuiti.
Licenze: app SaaS (Software as a Service)	Rimanere nei singoli tenant, potrebbe richiedere licenze per utente per tenant.	Tutte le risorse condivise risiedono nel tenant a risorsa singola. È possibile esaminare il consolidamento delle licenze nel singolo tenant, se appropriato.

Topologia mesh

Il diagramma seguente illustra la topologia mesh.

Titolo diagramma: topologia mesh. In alto a sinistra, una casella denominata Company A contiene utenti interni e utenti esterni. In alto a destra, una casella denominata Company B contiene utenti interni e utenti esterni. In basso a sinistra, una casella denominata Company C contiene utenti interni e utenti esterni. In basso a destra, una casella denominata Company D contiene utenti interni e utenti esterni. Tra la Società A e la Società B e tra la Società C e la Società D, le interazioni del motore di sincronizzazione vanno tra le aziende a sinistra e le aziende a destra.

In una topologia mesh, ogni utente in ogni tenant principale viene sincronizzato con ognuno degli altri tenant, che diventano tenant di risorse.

• È possibile condividere qualsiasi risorsa all'interno di un tenant con utenti esterni.
• Ogni organizzazione può visualizzare tutti gli utenti nel conglomerato. Nel diagramma precedente sono presenti quattro gals unificati, ognuno dei quali contiene gli utenti home e gli utenti esterni degli altri tre tenant.

Considerazioni comuni sulla gestione degli utenti multi-tenant forniscono informazioni sul provisioning, la gestione e il deprovisioning degli utenti in questo scenario.

Topologia mesh per cross-cloud

È possibile usare la topologia mesh in un numero limitato di due tenant, ad esempio nello scenario per un terzista di difesa DIB che straddling una soluzione cloud cross-sovrana. Come per la topologia mesh, ogni utente in ogni tenant principale viene sincronizzato con l'altro tenant, che diventa un tenant di risorse. Nel diagramma della sezione Tecnica 3, l'utente interno del tenant commerciale pubblico viene sincronizzato con il tenant GCC High sovrano degli Stati Uniti come account utente esterno. Allo stesso tempo, l'utente interno GCC High si sincronizza con Commercial come account utente esterno.

Il diagramma illustra anche i percorsi di archiviazione dei dati. La categorizzazione e la conformità dei dati non rientrano nell'ambito di questo articolo, ma è possibile includere diritti e restrizioni per applicazioni e contenuti. Il contenuto può includere posizioni in cui risiedono i dati di proprietà dell'utente interno, ad esempio i dati archiviati in una cassetta postale di Exchange Online o OneDrive for Business. Il contenuto potrebbe trovarsi nel tenant principale e non nel tenant della risorsa. I dati condivisi possono risiedere in uno dei tenant. È possibile limitare l'accesso al contenuto tramite il controllo di accesso e i criteri di accesso condizionale.

Topologia del tenant a risorsa singola

Il diagramma seguente illustra la topologia del tenant a risorsa singola.

Titolo diagramma: topologia del tenant a risorsa singola. Nella parte superiore, una casella che rappresenta la Società A contiene tre caselle. A sinistra, una casella rappresenta tutte le risorse condivise. Al centro, una casella rappresenta gli utenti interni. A destra, una casella rappresenta gli utenti esterni. Sotto la casella Società A è presente una casella che rappresenta il motore di sincronizzazione. Tre frecce collegano il motore di sincronizzazione alla Società A. Sotto la casella del motore di sincronizzazione, nella parte inferiore del diagramma, sono presenti tre caselle che rappresentano la Società B, la Società C e la Società D. Una freccia collega ognuna di esse alla casella del motore di sincronizzazione. All'interno di ognuna delle caselle della società inferiore è presente un'etichetta, PowerShell per l'API Microsoft Graph Exchange Online e icone che rappresentano gli utenti interni.

In una topologia tenant a singola risorsa, gli utenti e i relativi attributi vengono sincronizzati con il tenant delle risorse (società A nel diagramma precedente).

• Tutte le risorse condivise tra le organizzazioni membro devono risiedere nel tenant a risorsa singola. Se più filiali hanno sottoscrizioni alle stesse app SaaS, è possibile consolidare tali sottoscrizioni.
• Solo l'elenco indirizzi globale nel tenant delle risorse visualizza gli utenti di tutte le aziende.

Gestione degli account

Questa soluzione rileva e sincronizza le modifiche apportate agli attributi dagli utenti del tenant di origine agli utenti esterni del tenant delle risorse. È possibile usare questi attributi per prendere decisioni di autorizzazione, ad esempio quando si usano gruppi dinamici.

Deprovisioning degli account

Automazione rileva l'eliminazione di oggetti nell'ambiente di origine ed elimina l'oggetto utente esterno associato nell'ambiente di destinazione.

Considerazioni comuni sulla gestione degli utenti multi-tenant forniscono informazioni aggiuntive sul provisioning, la gestione e il deprovisioning degli utenti in questo scenario.

Passaggi successivi

• L'introduzione alla gestione degli utenti multi-tenant è la prima della serie di articoli che forniscono indicazioni per la configurazione e la gestione del ciclo di vita degli utenti negli ambienti multi-tenant di Microsoft Entra.
• Considerazioni comuni per la gestione degli utenti multi-tenant forniscono indicazioni per queste considerazioni: sincronizzazione tra tenant, oggetto directory, accesso condizionale Microsoft Entra, controllo di accesso aggiuntivo e Office 365.
• Soluzioni comuni per la gestione degli utenti multi-tenant quando la tenancy singola non funziona per lo scenario in uso, questo articolo fornisce indicazioni per queste problematiche: gestione automatica del ciclo di vita degli utenti e allocazione delle risorse tra tenant, condivisione di app locali tra tenant.