Cenário de organização multilocatário e recursos do Microsoft Entra
Este artigo fornece uma visão geral do cenário de organização multilocatário e dos recursos relacionados na Microsoft Entra ID.
O que é um locatário?
Um locatário é uma instância do Microsoft Entra ID na qual residem as informações sobre uma única organização, incluindo objetos organizacionais como usuários, grupos e dispositivos e também registros de aplicativos como Microsoft 365 e aplicativos de terceiros. Um locatário também contém políticas de acesso e conformidade para recursos, como os aplicativos registrados no diretório. As funções principais atendidas por um locatário incluem autenticação de identidade e gerenciamento de acesso a recursos.
Do ponto de vista do Microsoft Entra, um locatário forma um escopo de gerenciamento de identidade e acesso. Por exemplo, um administrador de locatários disponibiliza um aplicativo para alguns ou todos os usuários no locatário e impõe políticas de acesso naquele aplicativo para os usuários nesse locatário. Além disso, um locatário contém os dados da identidade visual organizacional que orientam as experiências do usuário final como, por exemplo, os domínios de email das organizações e as URLs do SharePoint usadas pelos funcionários na organização. Da perspectiva do Microsoft 365, um locatário forma o limite padrão de colaboração e licenciamento. Por exemplo, os usuários do Microsoft Teams ou do Microsoft Outlook podem localizar e colaborar facilmente com outros usuários nos respectivos locatários, mas não podem localizar ou ver usuários em outros locatários.
Locatários contêm os dados organizacionais privilegiados e são isolados com segurança de outros locatários. Além disso, é possível configurar os locatários para que os dados sejam persistentes e processados em uma região ou nuvem específica, o que permite que as organizações usem os locatários como um mecanismo para atender aos requisitos de conformidade e residência de dados.
O que é uma organização multilocatário?
Uma organização multilocatário é uma organização que tem mais de uma instância do Microsoft Entra ID. A seguir, são apresentados os principais motivos pelos quais uma organização poderá ter vários locatários:
- Conglomerados: organizações com várias subsidiárias ou unidades de negócios que operam de forma independente.
- Fusões e aquisições: organizações que fazem fusão de empresas ou adquirem empresas.
- Atividade de desinvestimento: em um desinvestimento, uma organização divide parte de seus negócios para formar uma nova organização ou vendê-la para uma organização existente.
- Várias nuvens: as organizações que tenham conformidade ou regulamentação precisam existir em vários ambientes de nuvem.
- Vários limites geográficos: organizações que operam em várias localizações geográficas com várias regulamentações de residência.
- Locatários de teste ou de preparo: organizações que precisam de vários locatários para fins de teste ou de preparo antes de implantar mais amplamente para locatários principais.
- Locatários criados pelo departamento ou pelos funcionários: organizações em que os departamentos ou funcionários criaram os locatários para desenvolvimento, teste ou controle separado.
Desafios multilocatários
Sua organização pode ter recentemente adquirido uma nova empresa, feito uma fusão com outra empresa ou sido reestruturada com base em unidades de negócios recém-formadas. Se você tiver sistemas de gerenciamento de identidades diferentes, poderá ser desafiador para que os usuários em locatários diferentes acessem os recursos e colaborarem.
O diagrama a seguir mostra como os usuários em outros locatários talvez não consigam acessar os aplicativos entre locatários na organização.
À medida que sua organização evolui, a equipe de TI deve se adaptar para atender às necessidades de mudanças. Isso geralmente inclui a integração com um locatário existente ou a formação de um novo. Independentemente de como a infraestrutura de identidade é gerenciada, é fundamental que os usuários tenham uma experiência perfeita ao acessar os recursos e colaborar. Hoje, talvez você esteja utilizando scripts personalizados ou soluções locais para reunir os locatários e fornecer uma experiência perfeita entre eles.
Conexão direta de B2B
Para permitir que os usuários nos diversos locatários colaborem nos canais compartilhados do Teams Connect, você poderá usar a conexão direta B2B do Microsoft Entra. A conexão direta B2B é um recurso de Identidades Externas que lhe permite configurar um relacionamento de confiança mútua com outra organização do Microsoft Entra para uma colaboração integrada no Teams. Quando a confiança for estabelecida, o usuário de conexão direta de B2B terá acesso de logon único usando as credenciais da página inicial.
A seguir, é apresentada a principal restrição ao usar a conexão direta de B2B em vários locatários:
- Atualmente, a conexão direta de B2B funciona apenas com canais compartilhados da Conexão do Teams.
Para obter mais informações, consulte Visão geral da conexão direta B2B.
Colaboração B2B
Para permitir que usuários nos diversos locatários colaborem, você pode usar a colaboração B2B do Microsoft Entra. A colaboração B2B é um recurso nas Identidades Externas que permite convidar usuários para colaborar com a organização. Depois que o usuário externo resgatar o convite ou concluir a inscrição, ele será representado no locatário como um objeto de usuário. Com a colaboração B2B, você pode compartilhar com segurança os aplicativos e serviços de sua empresa com usuários externos enquanto mantém o controle de seus dados corporativos.
A seguir, são apresentadas as principais restrições ao usar a colaboração B2B em vários locatários:
- Os Administradores devem convidar os usuários usando o processo do convite B2B ou criar uma experiência de integração usando o gerenciador de convites de colaboração B2B.
- Os Administradores talvez precisem sincronizar os usuários usando scripts personalizados.
- Dependendo das configurações de resgate automático, os usuários talvez precisarão aceitar um prompt de consentimento e seguir um processo de resgate em cada locatário.
- Por padrão, os usuários são do tipo convidado externo, que têm permissões diferentes do membro externo e poderá não ser a experiência de usuário desejada.
Para obter mais informações, confira Visão geral da colaboração B2B.
Sincronização entre locatários
Se você deseja que os usuários tenham uma experiência de colaboração entre locatários mais direta, use a sincronização entre locatários. A sincronização entre locatários é um serviço de sincronização unidirecional do Microsoft Entra ID que automatiza a criação, atualização e exclusão de usuários da colaboração B2B nos diversos locatários de uma organização. A sincronização entre locatários se baseia na funcionalidade de colaboração B2B e utiliza as configurações de acesso entre locatários B2B existentes. Os usuários são representados no locatário de destino como um objeto de usuário de colaboração B2B.
A seguir, são apresentados os principais benefícios com o uso da sincronização entre locatários:
- Crie automaticamente usuários de colaboração B2B em sua organização e forneça a eles o acesso aos aplicativos de que precisam, sem criar e manter scripts personalizados.
- Aprimorar a experiência do usuário e garantir que eles possam acessar os recursos sem a necessidade de receber um email de convite e sem precisar aceitar um prompt de consentimento em cada locatário.
- Atualize automaticamente os usuários e remova-os quando saírem da organização.
A seguir, são apresentadas as principais restrições ao usar a sincronização entre locatários em vários locatários:
- Não aprimora as experiências atuais do Teams ou do Microsoft 365. Os usuários sincronizados terão as mesmas experiências entre locatários do Teams e do Microsoft 365 disponíveis para qualquer outro usuário de colaboração B2B.
- Não sincroniza grupos, dispositivos ou contatos.
Para obter mais informações, confira O que é a sincronização entre locatários?.
Organização multilocatário (versão prévia)
Importante
A organização multilocatário está atualmente em PREVIEW. Consulte os Termos do produto para obter os termos legais que se aplicam aos recursos do Azure que estão em versão beta, visualização ou ainda não lançados para disponibilidade geral.
A organização multilocatário é um recurso no Microsoft Entra ID e no Microsoft 365 que permite que você forme um grupo de locatários em sua organização. Cada par de locatários no grupo é regido por configurações de acesso entre locatários que você pode usar para configurar a sincronização B2B ou entre locatários.
Aqui estão os principais benefícios de uma organização multilocatário:
- Diferenciar usuários externos na organização e fora da organização
- Experiência colaborativa aprimorada no novo Microsoft Teams
- Experiência de pesquisa de pessoas aprimorada entre locatários
Para obter mais informações, consulte O que é uma organização multilocatário no Microsoft Entra ID?.
Comparar funcionalidades multilocatários
Dependendo das necessidades da sua organização, você pode usar qualquer combinação de conexão direta B2B, colaboração B2B, sincronização entre locatários e recursos de organização multilocatário. A conexão direta B2B e a colaboração B2B são recursos independentes, enquanto a sincronização entre locatários e os recursos multilocatários da organização são independentes uns dos outros, embora ambos dependam da colaboração B2B subjacente.
A tabela a seguir compara os recursos de cada recurso. Para obter mais informações sobre os diferentes cenários de identidade externa, consulte Comparando conjuntos de recursos de Identidades Externas.
| Conexão direta de B2B (Organização para organização externa ou interna) |
Colaboração B2B (Organização para organização externa ou interna) |
Sincronização entre locatários (Interno da organização) |
Organização multilocatário (Interno da organização) |
|
|---|---|---|---|---|
| Finalidade | Os usuários poderão acessar os canais compartilhados da Conexão do Teams hospedados em locatários externos. | Os usuários poderão acessar os aplicativos/recursos hospedados em locatários externos, geralmente com privilégios de convidado limitados. Dependendo das configurações de resgate automático, os usuários talvez precisarão aceitar um prompt de consentimento em cada locatário. | Os usuários poderão acessar sem problemas os aplicativos/recursos na mesma organização, mesmo se estiverem hospedados em locatários diferentes. | Os usuários podem colaborar mais perfeitamente em uma organização multilocatário em novas pesquisas de equipes e pessoas. |
| Valor | Habilita a colaboração externa apenas nos canais compartilhados da Conexão do Teams. Mais conveniente aos administradores porque não há necessidade de gerenciar usuários B2B. | Permite a colaboração externa. Mais controle e monitoramento para administradores ao gerenciar os usuários de colaboração B2B. Os administradores poderão limitar o acesso que esses usuários externos terão aos respectivos aplicativos/recursos. | Habilita a colaboração entre locatários organizacionais. Os administradores não precisam convidar e sincronizar manualmente usuários entre locatários para garantir o acesso contínuo a aplicativos/recursos dentro da organização. | Habilita a colaboração entre locatários organizacionais. Os administradores continuam a ter capacidade de configuração completa por meio de configurações de acesso entre locatários. Os modelos de acesso entre locatários opcionais permitem a pré-configuração das configurações de acesso entre locatários. |
| Fluxo de trabalho do administrador principal | Configure o acesso entre locatários para fornecer aos usuários externos o acesso de entrada para locatário usando as credenciais da página inicial. | Adicione usuários externos ao locatário de recursos com o processo de convite B2B ou crie sua própria experiência de integração usando o gerenciador de convites de colaboração B2B. | Configure o mecanismo de sincronização entre locatários para sincronizar usuários entre vários locatários como usuários de colaboração B2B. | Crie uma organização multilocatário, adicione (convide) locatários, ingresse em uma organização multilocatário. Aproveite os usuários de colaboração B2B existentes ou use a sincronização entre locatários para provisionar usuários de colaboração B2B. |
| Nível de confiança | Confiança média. Os usuários de conexão direta de B2B são menos fáceis de rastrear, exigindo um determinado nível de confiança com a organização externa. | Confiança de baixa a média. Os objetos de usuário podem ser rastreados facilmente e gerenciados com controles granulares. | Alta confiança. Todos os locatários fazem parte da mesma organização e os usuários normalmente recebem concessão de acesso de membro a todos os aplicativos/recursos. | Alta confiança. Todos os locatários fazem parte da mesma organização e os usuários normalmente recebem concessão de acesso de membro a todos os aplicativos/recursos. |
| Impacto sobre os usuários | Os usuários acessam o locatário do recurso com as credenciais do locatário da página inicial. Os objetos do usuário não são criados no locatário do recurso. | Usuários externos são adicionados a um locatário como usuários de colaboração B2B. | Na mesma organização, os usuários são sincronizados do locatário da página inicial para o locatário do recurso como usuários de colaboração B2B. | Na mesma organização multilocatário, os usuários de colaboração B2B, particularmente os usuários membros, se beneficiam da colaboração aprimorada e perfeita no Microsoft 365. |
| Tipo de usuário | Usuário de conexão direta de B2B – N/A |
Usuário de colaboração B2B – Membro externo – Convidado externo (padrão) |
Usuário de colaboração B2B – Membro externo (padrão) – Convidado externo |
Usuário de colaboração B2B – Membro externo (padrão) – Convidado externo |
O diagrama a seguir mostra como os recursos de conexão direta B2B, colaboração B2B e sincronização entre locatários podem ser usados juntos.
Terminologia
Para entender melhor os recursos do Microsoft Entra relacionados ao cenário de organização multilocatário, você pode fazer referência à lista de termos a seguir.
| Termo | Definição |
|---|---|
| locatário | Uma instância do Microsoft Entra ID. |
| organização | O nível superior de uma hierarquia de negócio. |
| organização multilocatário | Uma organização que tenha mais de uma instância do Microsoft Entra ID e também a capacidade de agrupar essas instâncias no Microsoft Entra ID. |
| locatário do criador | O locatário que criou a organização multilocatário. |
| locatário do proprietário | Um locatário com a função de proprietário. Inicialmente, o locatário do criador. |
| locatário adicionado | Um locatário que foi adicionado por um locatário proprietário. |
| locatário do ingressador | Um locatário que está ingressando na organização multilocatário. |
| solicitação de junção | Um ingressado ou locatário adicionado envia uma solicitação de junção para ingressar na organização multilocatário. |
| locatário pendente | Um locatário que foi adicionado por um proprietário, mas que ainda não ingressou. |
| locatário ativo | Um locatário que criou ou ingressou na organização multilocatário. |
| locatário membro | Um locatário com a função de membro. A maioria dos locatários do ingressador começa como membros. |
| locatário de organização multilocatário | Um locatário ativo da organização multilocatário, não pendente. |
| sincronização entre locatários | Um serviço de sincronização unidirecional no Microsoft Entra ID que automatiza a criação, atualização e exclusão de usuários da colaboração B2B nos diversos locatários de uma organização. |
| configurações de acesso entre locatários | Configurações para gerenciar a colaboração entre organizações específicas do Microsoft Entra. |
| Modelo de configurações de acesso entre locatários | Um modelo opcional para pré-configurar configurações de acesso entre locatários que são aplicadas a qualquer locatário de parceiro recém-ingressado na organização multilocatário. |
| configurações organizacionais | Configurações de acesso entre locatários para organizações específicas do Microsoft Entra. |
| configuração | Um aplicativo e uma entidade de serviço subjacente no Microsoft Entra ID que inclui as configurações (como locatário de destino, escopo do usuário e mapeamentos de atributos) necessárias para a sincronização entre locatários. |
| provisionamento | O processo de criação ou sincronização automática de objetos em um limite. |
| resgate automático | Uma configuração B2B para resgatar convites automaticamente para que os usuários recém-criados não recebam um convite por email ou tenham que aceitar uma solicitação de consentimento quando adicionados a um locatário de destino. |