Funzionalità dell'organizzazione multi-tenant in Microsoft Entra ID
Questo articolo offre una panoramica dello scenario dell'organizzazione multi-tenant e delle funzionalità correlate in Microsoft Entra ID.
Che cos'è un tenant?
Un tenant è un'istanza di Microsoft Entra ID in cui si trovano informazioni su una singola organizzazione, inclusi oggetti dell'organizzazione, ad esempio utenti, gruppi e dispositivi, nonché registrazioni delle applicazioni, ad esempio Microsoft 365 e applicazioni di terze parti. Un tenant contiene anche criteri di accesso e conformità per le risorse, ad esempio le applicazioni registrate nella directory. Le funzioni principali gestite da un tenant includono l'autenticazione delle identità e la gestione degli accessi alle risorse.
Dal punto di vista di Microsoft Entra, un tenant costituisce un ambito di gestione delle identità e degli accessi. Ad esempio, un amministratore tenant rende disponibile un'applicazione per alcuni o tutti gli utenti nel tenant e applica i criteri di accesso a tale applicazione per gli utenti di tale tenant. Inoltre, un tenant contiene dati di personalizzazione dell'organizzazione che determinano esperienze degli utenti finali, ad esempio i domini di posta elettronica e gli URL di SharePoint usati dai dipendenti dell'organizzazione. Dal punto di vista di Microsoft 365, un tenant costituisce il limite predefinito di collaborazione e licenza. Ad esempio, gli utenti di Microsoft Teams o Microsoft Outlook possono trovare e collaborare facilmente con altri utenti nel tenant, ma non hanno la possibilità di trovare o visualizzare gli utenti in altri tenant.
I tenant contengono dati aziendali con privilegi e sono isolati in modo sicuro da altri tenant. Inoltre, i tenant possono essere configurati per rendere persistenti ed elaborati i dati in un'area o in un cloud specifico, che consente alle organizzazioni di usare i tenant come meccanismo per soddisfare i requisiti di residenza e gestione della conformità dei dati.
Che cos'è un'organizzazione multi-tenant?
Un'organizzazione multi-tenant è un'organizzazione con più istanze di Microsoft Entra ID. Ecco i motivi principali per cui un'organizzazione potrebbe avere più tenant:
- Conglomerati: organizzazioni con più filiali o business unit che operano in modo indipendente.
- Fusioni e acquisizioni: organizzazioni che uniscono o acquisiscono società.
- Attività di divestiture: in una fase di immersione, un'organizzazione divide parte della propria attività per formare una nuova organizzazione o venderla a un'organizzazione esistente.
- Più cloud: le organizzazioni con conformità o normative devono esistere in più ambienti cloud.
- Più confini geografici: organizzazioni che operano in più posizioni geografiche con diverse normative di residenza.
- Testare o gestire i tenant di staging: organizzazioni che necessitano di più tenant a scopo di test o gestione temporanea prima di distribuire in modo più ampio nei tenant primari.
- Tenant creati dal reparto o dai dipendenti: organizzazioni in cui reparti o dipendenti hanno creato tenant per lo sviluppo, il test o il controllo separato.
Sfide multi-tenant
L'organizzazione potrebbe aver recentemente acquisito una nuova società, unita a un'altra società o ristrutturata in base alle nuove business unit create. Se si dispone di sistemi di gestione delle identità diversi, potrebbe essere difficile per gli utenti di tenant diversi accedere alle risorse e collaborare.
Il diagramma seguente illustra come gli utenti di altri tenant potrebbero non essere in grado di accedere alle applicazioni tra i tenant dell'organizzazione.
Man mano che l'organizzazione si evolve, il team IT deve adattarsi per soddisfare le esigenze mutevoli. Ciò include spesso l'integrazione con un tenant esistente o la creazione di un nuovo tenant. Indipendentemente dalla modalità di gestione dell'infrastruttura di gestione delle identità, è fondamentale che gli utenti abbiano un'esperienza ottimale nell'accesso alle risorse e alla collaborazione. Attualmente, è possibile usare script personalizzati o soluzioni locali per riunire i tenant per offrire un'esperienza uniforme tra i tenant.
Connessione diretta B2B
Per consentire agli utenti tra tenant di collaborare in Teams Connessione canali condivisi, è possibile usare Microsoft Entra B2B direct connect. La connessione diretta B2B è una funzionalità di identità esterne che consente di configurare una relazione di trust reciproca con un'altra organizzazione di Microsoft Entra per una collaborazione senza problemi in Teams. Quando viene stabilita l'attendibilità, l'utente B2B direct connect ha accesso Single Sign-On usando le credenziali del tenant principale.
Ecco il vincolo principale con l'uso della connessione diretta B2B tra più tenant:
- Attualmente, la connessione diretta B2B funziona solo con Teams Connessione canali condivisi.
Per altre informazioni, vedere Panoramica della connessione diretta B2B.
Collaborazione B2B
Per consentire agli utenti tra i tenant di collaborare, è possibile usare Microsoft Entra B2B Collaboration. Collaborazione B2B è una funzionalità all'interno delle identità esterne che consente di invitare gli utenti guest a collaborare con l'organizzazione. Dopo aver riscattato l'invito o aver completato l'iscrizione, l'utente esterno viene rappresentato nel tenant come oggetto utente. La collaborazione B2B consente di condividere in modo sicuro le applicazioni e i servizi della propria azienda con utenti esterni, mantenendo il controllo sui dati aziendali.
Ecco i vincoli principali con l'uso della collaborazione B2B tra più tenant:
- Amministrazione istrator deve invitare gli utenti usando il processo di invito B2B o creare un'esperienza di onboarding usando Gestione inviti di Collaborazione B2B.
- Amministrazione istrator potrebbe dover sincronizzare gli utenti usando script personalizzati.
- A seconda delle impostazioni di riscatto automatico, gli utenti potrebbero dover accettare una richiesta di consenso e seguire un processo di riscatto in ogni tenant.
- Per impostazione predefinita, gli utenti sono di tipo guest esterno, che dispone di autorizzazioni diverse rispetto al membro esterno e potrebbero non essere l'esperienza utente desiderata.
Per altre informazioni, vedere Panoramica di Collaborazione B2B.
Sincronizzazione tra tenant
Se si vuole che gli utenti abbiano un'esperienza di collaborazione più semplice tra tenant, è possibile usare la sincronizzazione tra tenant. La sincronizzazione tra tenant è un servizio di sincronizzazione unidirezionale in Microsoft Entra ID che automatizza la creazione, l'aggiornamento e l'eliminazione di utenti di Collaborazione B2B tra tenant in un'organizzazione. La sincronizzazione tra tenant si basa sulla funzionalità di collaborazione B2B e usa le impostazioni di accesso tra tenant B2B esistenti. Gli utenti sono rappresentati nel tenant di destinazione come oggetto utente di Collaborazione B2B.
Ecco i vantaggi principali dell'uso della sincronizzazione tra tenant:
- Creare automaticamente gli utenti di Collaborazione B2B all'interno dell'organizzazione e fornire loro l'accesso alle applicazioni necessarie, senza creare e gestire script personalizzati.
- Migliorare l'esperienza utente e assicurarsi che gli utenti possano accedere alle risorse, senza ricevere un messaggio di posta elettronica di invito e dover accettare una richiesta di consenso in ogni tenant.
- Aggiornare automaticamente gli utenti e rimuoverli quando lasciano l'organizzazione.
Ecco i vincoli principali con l'uso della sincronizzazione tra tenant tra più tenant:
- Non migliora le esperienze correnti di Teams o Microsoft 365. Gli utenti sincronizzati avranno a disposizione le stesse esperienze di Teams e Microsoft 365 tra tenant come qualsiasi altro utente di Collaborazione B2B.
- Non sincronizza gruppi, dispositivi o contatti.
Per altre informazioni, vedere Che cos'è la sincronizzazione tra tenant?
Organizzazione multi-tenant
L'organizzazione multi-tenant è una funzionalità di Microsoft Entra ID e Microsoft 365 che consente di formare un gruppo di tenant all'interno dell'organizzazione. Ogni coppia di tenant nel gruppo è governata dalle impostazioni di accesso tra tenant che è possibile usare per configurare la sincronizzazione B2B o cross-tenant.
Ecco i principali vantaggi di un'organizzazione multi-tenant:
- Distinguere gli utenti esterni all'organizzazione e all'esterno dell'organizzazione
- Esperienza collaborativa migliorata in microsoft Teams
- Miglioramento dell'esperienza di ricerca degli utenti tra tenant
Per altre informazioni, vedere Che cos'è un'organizzazione multi-tenant in Microsoft Entra ID?.
Confrontare le funzionalità multi-tenant
A seconda delle esigenze dell'organizzazione, è possibile usare qualsiasi combinazione di connessione diretta B2B, collaborazione B2B, sincronizzazione tra tenant e funzionalità dell'organizzazione multi-tenant. La connessione diretta B2B e la collaborazione B2B sono funzionalità indipendenti, mentre la sincronizzazione tra tenant e le funzionalità dell'organizzazione multi-tenant sono indipendenti l'una dall'altra, anche se entrambe si basano sulla collaborazione B2B sottostante.
Nella tabella seguente vengono confrontate le funzionalità di ogni funzionalità. Per altre informazioni sui diversi scenari di identità esterna, vedere Confronto di set di funzionalità di identità esterne.
| Connessione diretta B2B (da organizzazione a organizzazione esterna o interna) |
Collaborazione B2B (da organizzazione a organizzazione esterna o interna) |
Sincronizzazione tra tenant (Interno dell'organizzazione) |
Organizzazione multi-tenant (Interno dell'organizzazione) |
|
|---|---|---|---|---|
| Scopo | Gli utenti possono accedere a Teams Connessione canali condivisi ospitati in tenant esterni. | Gli utenti possono accedere alle app o alle risorse ospitate in tenant esterni, in genere con privilegi guest limitati. A seconda delle impostazioni di riscatto automatico, gli utenti potrebbero dover accettare una richiesta di consenso in ogni tenant. | Gli utenti possono accedere facilmente alle app o alle risorse nella stessa organizzazione, anche se sono ospitati in tenant diversi. | Gli utenti possono collaborare più facilmente in un'organizzazione multi-tenant in nuove ricerche di Teams e persone. |
| valore | Abilita la collaborazione esterna all'interno di Teams Connessione solo canali condivisi. Più conveniente per gli amministratori perché non devono gestire gli utenti B2B. | Abilita la collaborazione esterna. Maggiore controllo e monitoraggio per gli amministratori gestendo gli utenti di Collaborazione B2B. Amministrazione istrator può limitare l'accesso di questi utenti esterni alle proprie app/risorse. | Consente la collaborazione tra tenant dell'organizzazione. Gli amministratori non devono invitare e sincronizzare manualmente gli utenti tra tenant per garantire l'accesso continuo alle app o alle risorse all'interno dell'organizzazione. | Consente la collaborazione tra tenant dell'organizzazione. Amministrazione istrators continuano ad avere la possibilità di configurazione completa tramite le impostazioni di accesso tra tenant. I modelli di accesso tra tenant facoltativi consentono la preconfigurazione delle impostazioni di accesso tra tenant. |
| Flusso di lavoro amministratore primario | Configurare l'accesso tra tenant per fornire agli utenti esterni l'accesso in ingresso al tenant le credenziali per il tenant principale. | Aggiungere utenti esterni al tenant delle risorse usando il processo di invito B2B o creare un'esperienza di onboarding personalizzata usando il gestore degli inviti di Collaborazione B2B. | Configurare il motore di sincronizzazione tra tenant per sincronizzare gli utenti tra più tenant come utenti di Collaborazione B2B. | Creare un'organizzazione multi-tenant, aggiungere (invitare) tenant, partecipare a un'organizzazione multi-tenant. Sfruttare gli utenti di Collaborazione B2B esistenti o usare la sincronizzazione tra tenant per effettuare il provisioning degli utenti di Collaborazione B2B. |
| Livello di attendibilità | Mid trust. Gli utenti con connessione diretta B2B sono meno facili da tenere traccia, imponendo un determinato livello di fiducia con l'organizzazione esterna. | Attendibilità bassa-media. Gli oggetti utente possono essere rilevati facilmente e gestiti con controlli granulari. | Alta fiducia. Tutti i tenant fanno parte della stessa organizzazione e agli utenti viene in genere concesso l'accesso ai membri a tutte le app/risorse. | Alta fiducia. Tutti i tenant fanno parte della stessa organizzazione e agli utenti viene in genere concesso l'accesso ai membri a tutte le app/risorse. |
| Effetto sugli utenti | Gli utenti accedono al tenant delle risorse usando le credenziali per il tenant principale. Gli oggetti utente non vengono creati nel tenant delle risorse. | Gli utenti esterni vengono aggiunti a un tenant come utenti di Collaborazione B2B. | All'interno della stessa organizzazione, gli utenti vengono sincronizzati dal tenant principale al tenant delle risorse come utenti di Collaborazione B2B. | All'interno della stessa organizzazione multi-tenant, gli utenti di Collaborazione B2B, in particolare gli utenti membri, traggono vantaggio da una collaborazione avanzata e trasparente in Microsoft 365. |
| Tipo di utente | Utente di connessione diretta B2B - N/D |
Utente di Collaborazione B2B - Membro esterno - Guest esterno (impostazione predefinita) |
Utente di Collaborazione B2B - Membro esterno (impostazione predefinita) - Guest esterno |
Utente di Collaborazione B2B - Membro esterno (impostazione predefinita) - Guest esterno |
Il diagramma seguente illustra come usare insieme le funzionalità di connessione diretta B2B, Collaborazione B2B e sincronizzazione tra tenant.
Terminologia
Per comprendere meglio lo scenario dell'organizzazione multi-tenant correlato alle funzionalità di Microsoft Entra, è possibile fare riferimento all'elenco seguente di termini.
| Termine | Definizione |
|---|---|
| tenant | Istanza di Microsoft Entra ID. |
| organization | Livello principale di una gerarchia aziendale. |
| organizzazione multi-tenant | Un'organizzazione che ha più di un'istanza di Microsoft Entra ID, nonché una funzionalità per raggruppare tali istanze in Microsoft Entra ID. |
| tenant creator | Tenant che ha creato l'organizzazione multi-tenant. |
| tenant proprietario | Tenant con il ruolo di proprietario. Inizialmente, il tenant creatore. |
| tenant aggiunto | Tenant aggiunto da un tenant proprietario. |
| tenant del joiner | Tenant che partecipa all'organizzazione multi-tenant. |
| richiesta di join | Un tenant aggiunto o aggiunto invia una richiesta di aggiunta per partecipare all'organizzazione multi-tenant. |
| tenant in sospeso | Tenant aggiunto da un proprietario ma che non è ancora stato aggiunto. |
| tenant attivo | Tenant che ha creato o aggiunto all'organizzazione multi-tenant. |
| tenant membro | Tenant con il ruolo membro. La maggior parte dei tenant del join inizia come membri. |
| Tenant dell'organizzazione multi-tenant | Tenant attivo dell'organizzazione multi-tenant, non in sospeso. |
| Sincronizzazione tra tenant | Un servizio di sincronizzazione unidirezionale in Microsoft Entra ID che automatizza la creazione, l'aggiornamento e l'eliminazione di utenti di Collaborazione B2B tra i tenant di un'organizzazione. |
| Impostazioni di accesso tra tenant | Impostazioni gestire la collaborazione per organizzazioni Specifiche di Microsoft Entra. |
| Modello delle impostazioni di accesso tra tenant | Modello facoltativo per preconfigurare le impostazioni di accesso tra tenant applicate a qualsiasi tenant partner appena aggiunto all'organizzazione multi-tenant. |
| impostazioni organizzative | Impostazioni di accesso tra tenant per organizzazioni specifiche di Microsoft Entra. |
| configurazione | Un'applicazione e un'entità servizio sottostante in Microsoft Entra ID che include le impostazioni (ad esempio tenant di destinazione, ambito utente e mapping di attributi) necessarie per la sincronizzazione tra tenant. |
| provisioning | Processo di creazione o sincronizzazione automatica di oggetti attraverso un limite. |
| riscatto automatico | Un'impostazione B2B per riscattare automaticamente gli inviti in modo che gli utenti appena creati non ricevano un messaggio di posta elettronica di invito o che accettino una richiesta di consenso quando vengono aggiunti a un tenant di destinazione. |