Share via


Inleiding tot multitenant gebruikersbeheer

Dit artikel is de eerste in een reeks artikelen die richtlijnen bieden voor het configureren en bieden van levenscyclusbeheer van gebruikers in Microsoft Entra-omgevingen met meerdere tenants. De volgende artikelen in de reeks bevatten meer informatie zoals beschreven.

De richtlijnen helpen u bij het realiseren van een consistente status van levenscyclusbeheer van gebruikers. Levenscyclusbeheer omvat het inrichten, beheren en ongedaan maken van de inrichting van gebruikers in tenants met behulp van de beschikbare Azure-hulpprogramma's die Microsoft Entra B2B-samenwerking (B2B) en synchronisatie tussen tenants omvatten.

Het inrichten van gebruikers in één Microsoft Entra-tenant biedt een uniforme weergave van resources en één set beleidsregels en besturingselementen. Deze benadering maakt consistent beheer van de levenscyclus van gebruikers mogelijk.

Microsoft raadt zo mogelijk één tenant aan. Het hebben van meerdere tenants kan leiden tot unieke vereisten voor samenwerking en beheer tussen tenants. Wanneer consolidatie naar één Microsoft Entra-tenant niet mogelijk is, kunnen meerdere organisaties twee of meer Microsoft Entra-tenants omvatten om redenen die het volgende bevatten.

  • Fusies
  • Acquisities
  • Afstotingen
  • Samenwerking tussen openbare, onafhankelijke en regionale clouds
  • Politieke of organisatiestructuren die consolidatie verbieden voor één Microsoft Entra-tenant

Microsoft Entra B2B-samenwerking

Met Microsoft Entra B2B-samenwerking (B2B) kunt u de toepassingen en services van uw bedrijf veilig delen met externe gebruikers. Wanneer gebruikers afkomstig zijn van elke organisatie, helpt B2B u controle te houden over de toegang tot uw IT-omgeving en -gegevens.

U kunt B2B-samenwerking gebruiken om externe toegang te bieden voor de gebruikers van uw organisatie voor toegang tot meerdere tenants die u beheert. Normaal gesproken kunnen externe B2B-gebruikerstoegang toegang verlenen tot gebruikers die niet door uw eigen organisatie worden beheerd. Externe gebruikerstoegang kan echter de toegang beheren voor meerdere tenants die door uw organisatie worden beheerd.

Een verwarringsgebied met Microsoft Entra B2B-samenwerking omvat de eigenschappen van een B2B-gastgebruiker. Het verschil tussen interne versus externe gebruikersaccounts en leden versus typen gastgebruikers draagt bij aan verwarring. In eerste instantie zijn alle interne gebruikers lidgebruikers met het kenmerk UserType ingesteld op Lid (lidgebruikers). Een interne gebruiker heeft een account in uw Microsoft Entra-id die gezaghebbend is en verifieert bij de tenant waarin de gebruiker zich bevindt. Een lidgebruiker is een gelicentieerde gebruiker met standaardmachtigingen op lidniveau in de tenant. Behandel lidgebruikers als werknemers van uw organisatie.

U kunt een interne gebruiker van de ene tenant als externe gebruiker uitnodigen in een andere tenant. Een externe gebruiker meldt zich aan met een extern Microsoft Entra-account, sociale identiteit of een andere externe id-provider. Externe gebruikers verifiëren zich buiten de tenant waarvoor u de externe gebruiker uitnodigt. Bij de eerste B2B-release waren alle externe gebruikers van UserType Guest (gastgebruikers). Gastgebruikers hebben beperkte machtigingen in de tenant. Gastgebruikers kunnen bijvoorbeeld de lijst met alle gebruikers of groepen in de tenantdirectory niet opsommen.

Voor de eigenschap UserType voor gebruikers ondersteunt B2B het spiegelen van de bit van intern naar extern en vice versa, wat bijdraagt aan de verwarring.

U kunt een interne gebruiker wijzigen van lidgebruiker in Gastgebruiker. U kunt bijvoorbeeld een interne gastgebruiker zonder licentie hebben met machtigingen op gastniveau in de tenant. Dit is handig wanneer u een gebruikersaccount en referenties opgeeft aan een persoon die geen werknemer van uw organisatie is.

U kunt een externe gebruiker wijzigen van Gastgebruiker in lidgebruiker, waardoor machtigingen op lidniveau worden verleend aan de externe gebruiker. Deze wijziging is handig wanneer u meerdere tenants voor uw organisatie beheert en machtigingen op lidniveau moet verlenen aan een gebruiker in alle tenants. Deze behoefte kan zich voordoen, ongeacht of de gebruiker intern of extern is in een bepaalde tenant. Voor leden zijn mogelijk meer licenties vereist.

De meeste documentatie voor B2B verwijst naar een externe gebruiker als gastgebruiker. De eigenschap UserType wordt op een manier geconfisqueneert waarbij ervan wordt uitgegaan dat alle gastgebruikers extern zijn. Wanneer documentatie een gastgebruiker aanroept, wordt ervan uitgegaan dat het een externe gastgebruiker is. Dit artikel verwijst specifiek en opzettelijk naar externe versus interne en lidgebruiker versus gastgebruiker.

Synchronisatie tussen tenants

Dankzij synchronisatie tussen tenants kunnen organisaties met meerdere tenants naadloze toegangs- en samenwerkingservaringen bieden aan eindgebruikers, met behulp van bestaande mogelijkheden voor externe B2B-samenwerking. De functie staat synchronisatie tussen tenants in onafhankelijke Microsoft-clouds niet toe (zoals Microsoft 365 US Government GCC High, DOD of Office 365 in China). Zie Algemene overwegingen voor multitenant-gebruikersbeheer voor hulp bij geautomatiseerde en aangepaste scenario's voor synchronisatie tussen tenants.

Bekijk hoe Arvind Harinder praat over de synchronisatiefunctie voor meerdere tenants in Microsoft Entra ID (hieronder ingesloten).

De volgende conceptuele en instructieartikelen bevatten informatie over Microsoft Entra B2B-samenwerking en synchronisatie tussen tenants.

Conceptuele artikelen

  • Aanbevolen procedures voor B2B bieden aanbevelingen voor het bieden van de soepelste ervaring voor gebruikers en beheerders.
  • B2B en Extern delen van Office 365 leggen de overeenkomsten en verschillen tussen het delen van resources via B2B, Office 365 en SharePoint/OneDrive uit.
  • Eigenschappen van een Microsoft Entra B2B-samenwerkingsgebruiker beschrijven de eigenschappen en statussen van het externe gebruikersobject in Microsoft Entra ID. De beschrijving bevat details voor en na het inwisselen van uitnodigingen.
  • Voorwaardelijke toegang voor B2B beschrijft hoe voorwaardelijke toegang en meervoudige verificatie werken voor externe gebruikers.
  • Instellingen voor toegang tussen tenants bieden gedetailleerde controle over hoe externe Microsoft Entra-organisaties samenwerken met u (inkomende toegang) en hoe uw gebruikers samenwerken met externe Microsoft Entra-organisaties (uitgaande toegang).
  • Overzicht van synchronisatie tussen tenants legt uit hoe u het maken, bijwerken en verwijderen van microsoft Entra B2B-samenwerkingsgebruikers in tenants in een organisatie automatiseert.

Artikelen met procedures

Terminologie

De volgende termen in Microsoft-inhoud verwijzen naar samenwerking met meerdere tenants in Microsoft Entra-id.

  • Resourcetenant: De Microsoft Entra-tenant met de resources die gebruikers met anderen willen delen.
  • Home-tenant: De Microsoft Entra-tenant met gebruikers die toegang tot de resources in de resourcetenant nodig hebben.
  • Interne gebruiker: Een interne gebruiker heeft een account dat gezaghebbend is en verifieert bij de tenant waar de gebruiker zich bevindt.
  • Externe gebruiker: een externe gebruiker heeft een extern Microsoft Entra-account, sociale identiteit of een andere externe id-provider om zich aan te melden. De externe gebruiker verifieert zich ergens buiten de tenant waarvoor u de externe gebruiker hebt uitgenodigd.
  • Lidgebruiker: Een interne of externe lidgebruiker is een gelicentieerde gebruiker met standaardmachtigingen op lidniveau in de tenant. Behandel lidgebruikers als werknemers van uw organisatie.
  • Gastgebruiker: Een interne of externe gastgebruiker heeft beperkte machtigingen in de tenant. Gastgebruikers zijn geen werknemers van uw organisatie (zoals gebruikers voor partners). De meeste B2B-documentatie verwijst naar B2B-gasten, die voornamelijk verwijst naar externe gastgebruikersaccounts.
  • Levenscyclusbeheer van gebruikers: het proces voor het inrichten, beheren en ongedaan maken van de inrichting van gebruikerstoegang tot resources.
  • Unified GAL: elke gebruiker in elke tenant kan gebruikers van elke organisatie zien in hun algemene adreslijst (GAL).

Bepalen hoe u aan uw vereisten voldoet

De unieke vereisten van uw organisatie zijn van invloed op uw strategie voor het beheren van gebruikers in tenants. Als u een effectieve strategie wilt maken, moet u rekening houden met de volgende vereisten.

  • Aantal tenants
  • Type organisatie
  • Huidige topologieën
  • Specifieke gebruikerssynchronisatiebehoeften

Algemene vereisten

Organisaties richten zich in eerste instantie op vereisten die ze willen gebruiken voor onmiddellijke samenwerking. Soms wordt Day One-vereisten genoemd, richten ze zich op het soepel samenvoegen van eindgebruikers zonder hun vermogen om waarde te genereren te onderbreken. Houd rekening met de volgende vereisten en behoeften bij het definiëren van day One en administratieve vereisten.

Communicatievereisten

  • Geïntegreerde algemene adreslijst: elke gebruiker kan alle andere gebruikers in de GAL in hun thuistenant zien.
  • Beschikbaarheidsinfo: gebruikers in staat stellen elkaars beschikbaarheid te ontdekken. U kunt dit doen met organisatierelaties in Exchange Online.
  • Chatten en aanwezigheid: gebruikers in staat stellen om de aanwezigheid van anderen te bepalen en chatberichten te starten. Configureer via externe toegang in Microsoft Teams.
  • Boek resources, zoals vergaderruimten: gebruikers in staat stellen vergaderruimten of andere resources in de hele organisatie te boeken. Het boeken van vergaderruimten tussen tenants is momenteel niet beschikbaar in Exchange Online.
  • Eén e-maildomein: alle gebruikers in staat stellen e-mail te verzenden en te ontvangen van één e-maildomein (bijvoorbeeld users@contoso.com). Verzenden vereist een oplossing voor het herschrijven van e-mailadressen.

Toegangsvereisten

  • Documenttoegang: gebruikers in staat stellen documenten te delen vanuit SharePoint, OneDrive en Teams.
  • Beheer: beheerders toestaan om de configuratie van abonnementen en services te beheren die zijn geïmplementeerd in meerdere tenants.
  • Toegang tot toepassingen: eindgebruikers toegang geven tot toepassingen in de hele organisatie.
  • Single sign-on: Gebruikers toegang geven tot resources in de hele organisatie zonder dat ze meer referenties hoeven in te voeren.

Patronen voor het maken van accounts

Microsoft-mechanismen voor het maken en beheren van de levenscyclus van uw externe gebruikersaccounts volgen drie algemene patronen. U kunt deze patronen gebruiken om uw vereisten te definiëren en te implementeren. Kies het patroon dat het beste overeenkomt met uw scenario en richt u vervolgens op de patroondetails.

Mechanisme Beschrijving Het beste wanneer
Door de eindgebruiker geïnitieerd Resourcetenantbeheerders delegeren de mogelijkheid om externe gebruikers uit te nodigen voor de tenant, een app of een resource voor gebruikers binnen de resourcetenant. U kunt gebruikers uitnodigen vanuit de thuistenant of ze kunnen zich afzonderlijk registreren. Geïntegreerde algemene adreslijst op dag één is niet vereist.
Gescripte Resourcetenantbeheerders implementeren een scripted pull-proces om detectie en inrichting van externe gebruikers te automatiseren ter ondersteuning van scenario's voor delen. Klein aantal tenants (zoals twee).
Geautomatiseerde Resourcetenantbeheerders gebruiken een identiteitsinrichtingssysteem om de inrichtings- en de inrichtingsprocessen te automatiseren. U hebt unified global address list nodig voor tenants.

Volgende stappen