Możliwości organizacji wielodostępnych w identyfikatorze Entra firmy Microsoft
Ten artykuł zawiera omówienie scenariusza organizacji wielodostępnej i powiązanych możliwości w usłudze Microsoft Entra ID.
Co to jest dzierżawa?
Dzierżawa to wystąpienie identyfikatora Entra firmy Microsoft, w którym znajdują się informacje o jednej organizacji, w tym obiekty organizacyjne, takie jak użytkownicy, grupy i urządzenia, a także rejestracje aplikacji, takie jak aplikacje platformy Microsoft 365 i aplikacje innych firm. Dzierżawa zawiera również zasady dostępu i zgodności dla zasobów, takich jak aplikacje zarejestrowane w katalogu. Podstawowe funkcje obsługiwane przez dzierżawę obejmują uwierzytelnianie tożsamości, a także zarządzanie dostępem do zasobów.
Z perspektywy firmy Microsoft Entra dzierżawa tworzy zakres zarządzania tożsamościami i dostępem. Na przykład administrator dzierżawy udostępnia aplikację niektórym lub wszystkim użytkownikom w dzierżawie i wymusza zasady dostępu dla tej aplikacji dla użytkowników w tej dzierżawie. Ponadto dzierżawa zawiera dane znakowania organizacyjnego, które napędzają środowiska użytkownika końcowego, takie jak domeny poczty e-mail organizacji i adresy URL programu SharePoint używane przez pracowników w tej organizacji. Z perspektywy platformy Microsoft 365 dzierżawa stanowi domyślną współpracę i granicę licencjonowania. Na przykład użytkownicy w aplikacji Microsoft Teams lub Microsoft Outlook mogą łatwo znajdować i współpracować z innymi użytkownikami w swojej dzierżawie, ale nie mają możliwości znajdowania ani wyświetlania użytkowników w innych dzierżawach.
Dzierżawy zawierają uprzywilejowane dane organizacyjne i są bezpiecznie odizolowane od innych dzierżaw. Ponadto dzierżawy można skonfigurować tak, aby dane zostały utrwalone i przetworzone w określonym regionie lub chmurze, co umożliwia organizacjom korzystanie z dzierżaw jako mechanizmu spełniającego wymagania dotyczące przechowywania danych i obsługi wymagań dotyczących zgodności.
Co to jest organizacja wielodostępna?
Organizacja wielodostępna to organizacja, która ma więcej niż jedno wystąpienie identyfikatora Entra firmy Microsoft. Oto podstawowe przyczyny, dla których organizacja może mieć wiele dzierżaw:
- Konglomeraty: Organizacje z wieloma spółkami zależnymi lub jednostkami biznesowymi, które działają niezależnie.
- Fuzje i przejęcia: organizacje, które scalają lub nabywają spółki.
- Działanie zbycia: W ramach zbycia jedna organizacja dzieli część swojej działalności w celu utworzenia nowej organizacji lub sprzedaży jej w istniejącej organizacji.
- Wiele chmur: organizacje, które mają zgodność lub przepisy, muszą istnieć w wielu środowiskach chmury.
- Wiele granic geograficznych: organizacje działające w wielu lokalizacjach geograficznych z różnymi przepisami dotyczącymi pobytu.
- Dzierżawy testowe lub przejściowe: organizacje, które potrzebują wielu dzierżaw na potrzeby testowania lub przemieszczania przed wdrożeniem w szerszym zakresie w dzierżawach podstawowych.
- Dzierżawy utworzone przez dział lub pracowników: organizacje, w których działy lub pracownicy utworzyli dzierżawy na potrzeby programowania, testowania lub oddzielnej kontroli.
Wyzwania wielodostępne
Twoja organizacja mogła niedawno nabyć nową firmę, scaloną z inną firmą lub zrestrukturyzowana na podstawie nowo utworzonych jednostek biznesowych. Jeśli masz różne systemy zarządzania tożsamościami, może to być trudne dla użytkowników w różnych dzierżawach w celu uzyskiwania dostępu do zasobów i współpracy.
Na poniższym diagramie przedstawiono, jak użytkownicy w innych dzierżawach mogą nie mieć dostępu do aplikacji w różnych dzierżawach w organizacji.
W miarę rozwoju organizacji zespół IT musi dostosować się do zmieniających się potrzeb. Często obejmuje to integrację z istniejącą dzierżawą lub utworzenie nowego. Niezależnie od sposobu zarządzania infrastrukturą tożsamości, niezwykle ważne jest, aby użytkownicy mieli bezproblemowy dostęp do zasobów i współpracy. Obecnie możesz używać niestandardowych skryptów lub rozwiązań lokalnych, aby połączyć dzierżawy w celu zapewnienia bezproblemowego środowiska między dzierżawami.
Bezpośrednie połączenie B2B
Aby umożliwić użytkownikom między dzierżawami współpracę w Komunikacja w Teams udostępnionych kanałach, możesz użyć połączenia bezpośredniego firmy Microsoft Entra B2B. Bezpośrednie połączenie B2B to funkcja tożsamości zewnętrznych, która umożliwia skonfigurowanie relacji wzajemnego zaufania z inną organizacją firmy Microsoft Entra w celu bezproblemowej współpracy w usłudze Teams. Po ustanowieniu zaufania użytkownik połączenia bezpośredniego B2B ma dostęp do logowania jednokrotnego przy użyciu poświadczeń z dzierżawy macierzystej.
Oto podstawowe ograniczenie dotyczące używania bezpośredniego połączenia B2B między wieloma dzierżawami:
- Obecnie bezpośrednie połączenie B2B działa tylko z Komunikacja w Teams udostępnionych kanałów.
Aby uzyskać więcej informacji, zobacz Omówienie połączenia bezpośredniego B2B.
Współpraca B2B
Aby umożliwić użytkownikom między dzierżawami współpracę, możesz użyć funkcji współpracy firmy Microsoft Entra B2B. Współpraca B2B to funkcja w ramach tożsamości zewnętrznych, która umożliwia zapraszanie użytkowników-gości do współpracy z organizacją. Gdy użytkownik zewnętrzny zrealizował zaproszenie lub ukończy rejestrację, jest reprezentowany w dzierżawie jako obiekt użytkownika. Dzięki współpracy B2B możesz bezpiecznie udostępniać aplikacje i usługi firmy użytkownikom zewnętrznym przy zachowaniu kontroli nad własnymi danymi firmowymi.
Poniżej przedstawiono podstawowe ograniczenia dotyczące korzystania ze współpracy B2B w wielu dzierżawach:
- Administracja istratorzy muszą zapraszać użytkowników przy użyciu procesu zaproszenia B2B lub utworzyć środowisko dołączania przy użyciu Menedżer zaproszeń do współpracy B2B.
- Administracja istratory mogą potrzebować synchronizacji użytkowników przy użyciu skryptów niestandardowych.
- W zależności od ustawień automatycznego realizacji użytkownicy mogą wymagać zaakceptowania monitu o wyrażenie zgody i wykonania procesu realizacji w każdej dzierżawie.
- Domyślnie użytkownicy są typem gościa zewnętrznego, który ma inne uprawnienia niż zewnętrzny członek i może nie być żądanym środowiskiem użytkownika.
Aby uzyskać więcej informacji, zobacz Omówienie współpracy B2B.
Synchronizacja między dzierżawami
Jeśli chcesz, aby użytkownicy mieli bardziej bezproblemowe środowisko współpracy między dzierżawami, możesz użyć synchronizacji między dzierżawami. Synchronizacja między dzierżawami to jednokierunkowa usługa synchronizacji w usłudze Microsoft Entra ID, która automatyzuje tworzenie, aktualizowanie i usuwanie użytkowników współpracy B2B między dzierżawami w organizacji. Synchronizacja między dzierżawami opiera się na funkcji współpracy B2B i korzysta z istniejących ustawień dostępu między dzierżawami B2B. Użytkownicy są reprezentowani w dzierżawie docelowej jako obiekt użytkownika współpracy B2B.
Poniżej przedstawiono podstawowe korzyści wynikające z korzystania z synchronizacji między dzierżawami:
- Automatycznie twórz użytkowników współpracy B2B w organizacji i udostępniaj im dostęp do potrzebnych aplikacji bez tworzenia i obsługi skryptów niestandardowych.
- Popraw środowisko użytkownika i upewnij się, że użytkownicy mogą uzyskiwać dostęp do zasobów bez otrzymywania wiadomości e-mail z zaproszeniem i konieczności zaakceptowania monitu o zgodę w każdej dzierżawie.
- Automatycznie aktualizuj użytkowników i usuwaj ich po opuszczeniu organizacji.
Poniżej przedstawiono podstawowe ograniczenia dotyczące korzystania z synchronizacji między dzierżawami w wielu dzierżawach:
- Nie ulepsza bieżących środowisk usługi Teams ani platformy Microsoft 365. Zsynchronizowani użytkownicy będą mieć te same środowiska aplikacji Teams i platformy Microsoft 365 między dzierżawami, które są dostępne dla wszystkich innych użytkowników usługi B2B Collaboration.
- Nie synchronizuje grup, urządzeń ani kontaktów.
Aby uzyskać więcej informacji, zobacz Co to jest synchronizacja między dzierżawami?.
Organizacja wielodostępna
Organizacja wielodostępna to funkcja w usłudze Microsoft Entra ID i Microsoft 365, która umożliwia tworzenie grupy dzierżaw w organizacji. Każda para dzierżaw w grupie podlega ustawieniom dostępu między dzierżawami, których można użyć do skonfigurowania synchronizacji B2B lub synchronizacji między dzierżawami.
Oto podstawowe korzyści organizacji wielodostępnej:
- Rozróżnianie użytkowników zewnętrznych w organizacji i poza organizacją
- Ulepszone środowisko współpracy w nowej aplikacji Microsoft Teams
- Ulepszone środowisko wyszukiwania osób w dzierżawach
Aby uzyskać więcej informacji, zobacz Co to jest wielodostępna organizacja w usłudze Microsoft Entra ID?.
Porównanie możliwości wielodostępnych
W zależności od potrzeb organizacji można użyć dowolnej kombinacji połączeń bezpośrednich B2B, współpracy B2B, synchronizacji między dzierżawami i wielodostępnych możliwości organizacji. Bezpośrednie łączenie B2B i współpraca B2B są niezależnymi możliwościami, podczas gdy synchronizacja między dzierżawami i wielodostępne możliwości organizacji są niezależne od siebie, choć obie polegają na podstawowej współpracy B2B.
W poniższej tabeli porównaliśmy możliwości każdej funkcji. Aby uzyskać więcej informacji na temat różnych scenariuszy tożsamości zewnętrznych, zobacz Porównanie zestawów funkcji tożsamości zewnętrznych.
Bezpośrednie połączenie B2B (Organizacja-organizacja zewnętrzna lub wewnętrzna) |
Współpraca B2B (Organizacja-organizacja zewnętrzna lub wewnętrzna) |
Synchronizacja między dzierżawami (Wewnętrzna organizacja) |
Organizacja wielodostępna (Wewnętrzna organizacja) |
|
---|---|---|---|---|
Przeznaczenie | Użytkownicy mogą uzyskiwać dostęp do Komunikacja w Teams udostępnionych kanałów hostowanych w dzierżawach zewnętrznych. | Użytkownicy mogą uzyskiwać dostęp do aplikacji/zasobów hostowanych w dzierżawach zewnętrznych, zwykle z ograniczonymi uprawnieniami gościa. W zależności od ustawień automatycznego realizacji użytkownicy mogą wymagać zaakceptowania monitu o wyrażenie zgody w każdej dzierżawie. | Użytkownicy mogą bezproblemowo uzyskiwać dostęp do aplikacji/zasobów w tej samej organizacji, nawet jeśli są hostowane w różnych dzierżawach. | Użytkownicy mogą bezproblemowo współpracować w organizacji wielodostępnej w nowych aplikacjach Teams i wyszukiwaniach osób. |
Wartość | Umożliwia współpracę zewnętrzną tylko w ramach Komunikacja w Teams udostępnionych kanałów. Wygodniejsze dla administratorów, ponieważ nie muszą zarządzać użytkownikami B2B. | Umożliwia współpracę zewnętrzną. Większa kontrola i monitorowanie administratorów dzięki zarządzaniu użytkownikami współpracy B2B. Administracja istratory mogą ograniczyć dostęp użytkowników zewnętrznych do swoich aplikacji/zasobów. | Umożliwia współpracę między dzierżawami organizacji. Administratorzy nie muszą ręcznie zapraszać i synchronizować użytkowników między dzierżawami, aby zapewnić ciągły dostęp do aplikacji/zasobów w organizacji. | Umożliwia współpracę między dzierżawami organizacji. Administracja istratory nadal mają pełną możliwość konfiguracji za pośrednictwem ustawień dostępu między dzierżawami. Opcjonalne szablony dostępu między dzierżawami umożliwiają wstępną konfigurację ustawień dostępu między dzierżawami. |
Przepływ pracy administratora podstawowego | Skonfiguruj dostęp między dzierżawami w celu zapewnienia użytkownikom zewnętrznym dostępu przychodzącego do dzierżawy poświadczeń dla dzierżawy macierzystej. | Dodaj użytkowników zewnętrznych do dzierżawy zasobów przy użyciu procesu zaproszenia B2B lub utwórz własne środowisko dołączania przy użyciu menedżera zaproszeń współpracy B2B. | Skonfiguruj aparat synchronizacji między dzierżawami, aby synchronizować użytkowników między wieloma dzierżawami jako użytkowników współpracy B2B. | Utwórz wielodostępną organizację, dodaj dzierżawy (zapraszanie), dołącz do organizacji wielodostępnej. Skorzystaj z istniejących użytkowników współpracy B2B lub użyj synchronizacji między dzierżawami, aby aprowizować użytkowników współpracy B2B. |
Poziom zaufania | Środkowe zaufanie. Bezpośredni dostęp do połączeń B2B użytkowników jest mniej łatwy do śledzenia, co wymaga pewnego poziomu zaufania w organizacji zewnętrznej. | Niskie do połowy zaufania. Obiekty użytkownika można łatwo śledzić i zarządzać za pomocą szczegółowych kontrolek. | Wysoka relacja zaufania. Wszystkie dzierżawy są częścią tej samej organizacji, a użytkownicy zazwyczaj otrzymują dostęp członkowski do wszystkich aplikacji/zasobów. | Wysoka relacja zaufania. Wszystkie dzierżawy są częścią tej samej organizacji, a użytkownicy zazwyczaj otrzymują dostęp członkowski do wszystkich aplikacji/zasobów. |
Wpływ na użytkowników | Użytkownicy uzyskują dostęp do dzierżawy zasobów przy użyciu poświadczeń dla swojej dzierżawy macierzystej. Obiekty użytkownika nie są tworzone w dzierżawie zasobów. | Użytkownicy zewnętrzni są dodawani do dzierżawy jako użytkownicy współpracy B2B. | W tej samej organizacji użytkownicy są synchronizowani z dzierżawy macierzystej do dzierżawy zasobów jako użytkownicy współpracy B2B. | W ramach tej samej wielodostępnej organizacji użytkownicy współpracy B2B, szczególnie użytkownicy będący członkami, korzystają z ulepszonej, bezproblemowej współpracy na platformie Microsoft 365. |
Typ użytkownika | Użytkownik połączenia bezpośredniego B2B -N/A |
Użytkownik współpracy B2B - Element członkowski zewnętrzny - Gość zewnętrzny (ustawienie domyślne) |
Użytkownik współpracy B2B - Zewnętrzny element członkowski (ustawienie domyślne) - Gość zewnętrzny |
Użytkownik współpracy B2B - Zewnętrzny element członkowski (ustawienie domyślne) - Gość zewnętrzny |
Na poniższym diagramie przedstawiono, jak można używać funkcji łączenia bezpośredniego B2B, współpracy B2B i synchronizacji między dzierżawami.
Terminologia
Aby lepiej zrozumieć wielodostępne możliwości organizacji związane z usługą Microsoft Entra, możesz wrócić do poniższej listy terminów.
Termin | Definicja |
---|---|
tenant | Wystąpienie identyfikatora Entra firmy Microsoft. |
organization | Najwyższy poziom hierarchii biznesowej. |
organizacja wielodostępna | Organizacja, która ma więcej niż jedno wystąpienie identyfikatora Entra firmy Microsoft, a także możliwość grupowania tych wystąpień w identyfikatorze Entra firmy Microsoft. |
dzierżawa twórców | Dzierżawa, która utworzyła organizację wielodostępną. |
dzierżawa właściciela | Dzierżawa z rolą właściciela. Początkowo dzierżawa twórcy. |
dodano dzierżawę | Dzierżawa, która została dodana przez dzierżawę właściciela. |
Dzierżawa dołączania | Dzierżawa, która dołącza do organizacji wielodostępnej. |
żądanie dołączenia | Dołączający lub dodawany dzierżawca przesyła żądanie dołączenia do organizacji wielodostępnej. |
oczekująca dzierżawa | Dzierżawa, która została dodana przez właściciela, ale jeszcze nie dołączyła. |
aktywna dzierżawa | Dzierżawa, która utworzyła lub dołączyła do organizacji wielodostępnej. |
dzierżawa składowa | Dzierżawa z rolą członka. Większość dzierżawców dołączania rozpoczyna się jako członkowie. |
wielodostępna dzierżawa organizacji | Aktywna dzierżawa wielodostępnej organizacji, a nie oczekująca. |
synchronizacja między dzierżawami | Jednokierunkowa usługa synchronizacji w usłudze Microsoft Entra ID, która automatyzuje tworzenie, aktualizowanie i usuwanie użytkowników współpracy B2B między dzierżawami w organizacji. |
Ustawienia dostępu między dzierżawami | Ustawienia do zarządzania współpracą dla określonych organizacji firmy Microsoft Entra. |
Szablon ustawień dostępu między dzierżawami | Opcjonalny szablon do wstępnego konfigurowania ustawień dostępu między dzierżawami, które są stosowane do dowolnej dzierżawy partnera nowo przyłączanej do organizacji wielodostępnej. |
ustawienia organizacyjne | Ustawienia dostępu między dzierżawami dla określonych organizacji firmy Microsoft Entra. |
konfiguracja | Aplikacja i podstawowa jednostka usługi w usłudze Microsoft Entra ID, która zawiera ustawienia (takie jak docelowa dzierżawa, zakres użytkownika i mapowania atrybutów) wymagane do synchronizacji między dzierżawami. |
aprowizacja | Proces automatycznego tworzenia lub synchronizowania obiektów przez granicę. |
automatyczne wykup | Ustawienie B2B umożliwiające automatyczne realizowanie zaproszeń, dzięki czemu nowo utworzeni użytkownicy nie otrzymują wiadomości e-mail z zaproszeniem lub muszą zaakceptować monit o zgodę po dodaniu do dzierżawy docelowej. |