Algemene oplossingen voor multitenant-gebruikersbeheer

Dit artikel is de vierde in een reeks artikelen die richtlijnen bieden voor het configureren en bieden van levenscyclusbeheer van gebruikers in Microsoft Entra-omgevingen met meerdere tenants. De volgende artikelen in de reeks bevatten meer informatie zoals beschreven.

• Inleiding tot multitenant gebruikersbeheer is de eerste in de reeks.
• Scenario's voor multitenant gebruikersbeheer beschrijven drie scenario's waarvoor u functies voor multitenant gebruikersbeheer kunt gebruiken: door de eindgebruiker geïnitieerde, scripted en geautomatiseerd.
• Algemene overwegingen voor multitenant-gebruikersbeheer bieden richtlijnen voor deze overwegingen: synchronisatie tussen tenants, adreslijstobject, voorwaardelijke toegang van Microsoft Entra, extra toegangsbeheer en Office 365.

De richtlijnen helpen u bij het realiseren van een consistente status van levenscyclusbeheer van gebruikers. Levenscyclusbeheer omvat het inrichten, beheren en ongedaan maken van de inrichting van gebruikers in tenants met behulp van de beschikbare Azure-hulpprogramma's die Microsoft Entra B2B-samenwerking (B2B) en synchronisatie tussen tenants omvatten.

Microsoft raadt waar mogelijk één tenant aan. Als een enkele tenant niet werkt voor uw scenario, raadpleegt u de volgende oplossingen die Microsoft-klanten met succes hebben geïmplementeerd voor deze problemen:

• Automatisch levenscyclusbeheer van gebruikers en resourcetoewijzing tussen tenants
• On-premises apps delen tussen tenants

Automatisch levenscyclusbeheer van gebruikers en resourcetoewijzing tussen tenants

Een klant verwerft een concurrent met wie hij/zij eerder nauwe contacten had. De organisaties willen hun bedrijfsidentiteiten behouden.

Huidige status

Momenteel synchroniseren de organisaties elkaars gebruikers als mailcontactobjecten, zodat ze in elkaars adreslijsten worden weergegeven. Elke resourcetenant heeft e-mailcontactobjecten ingeschakeld voor alle gebruikers in de andere tenant. Voor tenants is geen toegang tot toepassingen mogelijk.

Doelstellingen

De klant heeft de volgende doelen.

• Elke gebruiker verschijnt in de GAL van elke organisatie.
  • Wijzigingen in de levenscyclus van gebruikersaccounts in de Home Tenant worden automatisch weergegeven in de GAL van de Resource Tenant.
  • Kenmerkwijzigingen in thuistenants (zoals afdeling, naam, SMTP-adres (Simple Mail Transfer Protocol) worden automatisch weerspiegeld in de algemene adreslijst van de resourcetenant en de basis-GAL.
• Gebruikers hebben toegang tot toepassingen en resources in de resourcetenant.
• Gebruikers kunnen zelf toegangsaanvragen voor resources verwerken.

Oplossingsarchitectuur

De organisaties gebruiken een punt-naar-punt-architectuur met een synchronisatie-engine zoals Microsoft Identity Manager (MIM). In het volgende diagram ziet u een voorbeeld van een punt-naar-punt-architectuur voor deze oplossing.

Diagramtitel: Oplossing voor punt-naar-puntarchitectuur. Aan de linkerkant bevat een vak met het label Bedrijf A interne gebruikers en externe gebruikers. Aan de rechterkant bevat een vak met het label Bedrijf B interne gebruikers en externe gebruikers. Tussen bedrijf A en bedrijf B gaan de interacties tussen de synchronisatie-engine van bedrijf A naar bedrijf B en van bedrijf B naar bedrijf A.

Elke tenantbeheerder voert de volgende stappen uit om de gebruikersobjecten te maken.

1. Zorg ervoor dat de gebruikersdatabase up-to-date is.
2. MIM implementeren en configureren.
   1. Adresseer bestaande contactobjecten.
   2. Maak externe lidgebruikersobjecten voor de interne leden van de andere tenant.
   3. Gebruikersobjectkenmerken synchroniseren.
3. Toegangspakketten voor Rechtenbeheer implementeren en configureren.
   1. Resources die moeten worden gedeeld.
   2. Beleid voor verloop- en toegangsbeoordeling.

On-premises apps delen tussen tenants

Een klant met meerdere peerorganisaties moet on-premises toepassingen delen vanuit een van de tenants.

Huidige status

Peer-organisaties synchroniseren externe gebruikers in een mesh-topologie, en maken resourcetoewijzing voor cloudtoepassingen over tenants heen mogelijk. De klant biedt de volgende functionaliteit.

• Toepassingen delen in Microsoft Entra ID.
• Geautomatiseerd beheer van de levenscyclus van gebruikers in de resourcetenant op de hoofdtenant, dat toevoegen, wijzigen en verwijderen omvat.

In het volgende diagram ziet u dit scenario, waarbij alleen interne gebruikers in bedrijf A toegang hebben tot de on-premises apps van bedrijf A.

Diagramtitel: Mesh-topologie. Linksboven bevat een vak met het label Bedrijf A interne gebruikers en externe gebruikers. Rechtsboven bevat een vak met het label Bedrijf B interne gebruikers en externe gebruikers. Linksonder bevat een vak met het label Bedrijf C interne gebruikers en externe gebruikers. Rechtsonder bevat een vak met het label Bedrijf D interne gebruikers en externe gebruikers. Tussen bedrijf A en Bedrijf B en tussen Bedrijf C en Bedrijf D gaan de interacties tussen de bedrijven aan de linkerkant en de bedrijven aan de rechterkant.

Doelstellingen

Samen met de huidige functionaliteit willen ze het volgende aanbieden.

• Geef toegang tot de on-premises resources van bedrijf A voor de externe gebruikers.
• Apps met SAML-verificatie (Security Assertion Markup Language).
• Apps met geïntegreerde Windows-verificatie en Kerberos.

Oplossingsarchitectuur

Bedrijf A biedt eenmalige aanmelding (SSO) voor on-premises apps voor eigen interne gebruikers met behulp van Azure Application Proxy, zoals wordt geïllustreerd in het volgende diagram.

Diagramtitel: Architectuuroplossing voor Azure-toepassingsproxy. Linksboven bevat een vak met het label 'https://sales.constoso.com' een wereldbolpictogram dat een website vertegenwoordigt. Onderin bevindt zich een groep pictogrammen die de gebruiker voorstellen en die verbonden zijn met een pijl van deze naar de website. Rechtsboven bevat een cloudshape met het label Microsoft Entra-id een pictogram met het label Application Proxy Service. Een pijl verbindt de website met de cloudshape. Rechtsonder heeft een doos met het label DMZ de ondertitel On-premises. Een pijl verbindt de cloudvorm met het DMZ-vak en splitst in twee en wijst naar pictogrammen met het label Connector. Onder het connectorpictogram aan de linkerkant wijst een pijl omlaag en splitst deze in twee om te verwijzen naar pictogrammen met het label App 1 en App 2. Onder het connectorpictogram aan de rechterkant wijst een pijl omlaag naar een pictogram met het label App 3.

Beheerders in tenant A voeren de volgende stappen uit om hun externe gebruikers toegang te geven tot dezelfde on-premises toepassingen.

1. Toegang tot SAML-apps configureren.
2. Toegang tot andere toepassingen configureren.
3. Lokale gebruikers maken via MIM of PowerShell.

De volgende artikelen bevatten aanvullende informatie over B2B-samenwerking.

• Geef B2B-gebruikers in Microsoft Entra ID toegang tot uw on-premises resources en beschrijft hoe u B2B-gebruikers toegang kunt bieden tot on-premises apps.
• Microsoft Entra B2B-samenwerking voor hybride organisaties beschrijft hoe u uw externe partners toegang kunt geven tot apps en resources in uw organisatie.

Volgende stappen

• Inleiding tot multitenant-gebruikersbeheer is de eerste in de reeks artikelen die richtlijnen bieden voor het configureren en bieden van levenscyclusbeheer van gebruikers in Microsoft Entra-omgevingen met meerdere tenants.
• Scenario's voor multitenant gebruikersbeheer beschrijven drie scenario's waarvoor u functies voor multitenant gebruikersbeheer kunt gebruiken: door de eindgebruiker geïnitieerde, scripted en geautomatiseerd.
• Algemene overwegingen voor multitenant-gebruikersbeheer bieden richtlijnen voor deze overwegingen: synchronisatie tussen tenants, adreslijstobject, voorwaardelijke toegang van Microsoft Entra, extra toegangsbeheer en Office 365.