Introdução ao gerenciamento de usuários multilocatário
Esse artigo é o segundo de uma série de artigos que fornecem diretrizes para configurar e fornecer gerenciamento do ciclo de vida do usuário em ambientes multilocatários do Microsoft Entra. Os artigos a seguir da série fornecem mais informações conforme descrito.
- Os Cenários de gerenciamento de usuários multilocatário descrevem três cenários para os quais você pode usar os recursos de gerenciamento de usuários multilocatários: iniciados pelo usuário final, com script e automatizados.
- Considerações comuns para gerenciamento de usuários multilocatários fornece diretrizes para essas considerações: sincronização entre locatários, objeto do directoy, acesso condicional do Microsoft Entra, controle de acesso adicional e Office 365.
- Soluções comuns para gerenciamento de usuários multilocatários quando a locação única não funciona para o seu cenário, esse artigo fornece diretrizes para estes desafios: gerenciamento automático do ciclo de vida do usuário e alocação de recursos entre locatários, compartilhando aplicativos locais entre locatários.
As diretrizes ajudam a alcançar um estado consistente de gerenciamento do ciclo de vida do usuário. O gerenciamento do ciclo de vida inclui provisionar, gerenciar e desprovisionar usuários entre locatários usando as ferramentas disponíveis do Azure que incluem colaboração B2B do Microsoft Entra (B2B) e sincronização entre locatários.
Provisionar usuários em um único locatário do Microsoft Entra fornece uma exibição unificada de recursos e um único conjunto de políticas e controles. Essa abordagem permite o gerenciamento do ciclo de vida do usuário consistente.
A Microsoft recomenda um único locatário quando possível. Ter vários locatários pode resultar em requisitos exclusivos de colaboração e gerenciamento entre locatários. Quando a consolidação em um único locatário do Microsoft Entra não é possível, as organizações multilocatários podem abranger dois ou mais locatários do Microsoft Entra por motivos que incluem os seguintes.
- Fusões
- Aquisições
- Alienações
- Colaboração entre nuvens públicas, soberanas e regionais
- Estruturas políticas ou organizacionais que proíbem a consolidação em um único locatário do Microsoft Entra
Colaboração B2B do Microsoft Entra
A colaboração B2B (B2B) do Microsoft Entra permite que você compartilhe com segurança os aplicativos e serviços da sua empresa com usuários externos. Quando os usuários podem vir de qualquer organização, o B2B ajuda você a manter o controle sobre o acesso ao seu ambiente e aos dados de TI.
Você pode usar a colaboração B2B para fornecer acesso externo para os usuários da sua organização acessarem os vários locatários que você gerencia. Tradicionalmente, o acesso de usuários externos B2B pode autorizar o acesso a usuários que sua própria organização não gerencia. No entanto, o acesso de usuários externos pode gerenciar o acesso em vários locatários que sua organização gerencia.
Uma área de confusão com a Colaboração B2B do Microsoft Entra envolve as propriedades de um Usuário Convidado B2B. A diferença entre contas de usuário internas e externas e tipos de usuário membro versus Usuário Convidado contribui para a confusão. Inicialmente, todos os usuários internos são usuários membros com o atributo UserType definido como Membro (usuários membros). Um usuário interno tem uma conta autoritativa no seu Microsoft Entra ID e se autentica no locatário em que o usuário reside. Um usuário membro é um usuário licenciado com permissões de nível de membro padrão no locatário. Trate os usuários membros como funcionários da sua organização.
Você pode convidar um usuário interno de um locatário para outro locatário como um usuário externo. Um usuário externo entra com uma conta externa do Microsoft Entra, identidade social ou outro provedor de identidade externo. Os usuários externos são autenticados fora do locatário para o qual você convida o usuário externo. Na primeira versão B2B, todos os usuários externos eram do UserType Guest (usuários convidados). Os usuários convidados têm permissões restritas no locatário. Por exemplo, os usuários convidados não podem enumerar a lista de todos os usuários nem grupos no diretório de locatários.
Para a propriedade UserType em usuários, o B2B suporta a inversão do bit de interno para externo e vice-versa, o que contribui para a confusão.
Você pode alterar um usuário interno de usuário membro para Usuário Convidado. Por exemplo, você pode ter um Usuário Convidado interno não licenciado com permissões de nível de convidado no locatário, o que é útil quando você fornece uma conta de usuário e credenciais para uma pessoa que não seja um funcionário da sua organização.
Você pode alterar um usuário externo de Usuário Convidado para usuário membro, dando permissões de nível de membro para o usuário externo. Fazer essa alteração é útil quando você gerencia vários locatários em sua organização e precisa conceder permissões de nível de membro a um usuário em todos os locatários. Essa necessidade pode ocorrer independentemente de o usuário ser interno ou externo em qualquer locatário. Os usuários membros podem requerer mais licenças.
A maioria da documentação para B2B refere-se a um usuário externo como um Usuário Convidado. Ele associa a propriedade UserType de uma maneira que assume que todos os usuários convidados são externos. Quando a documentação chama um Usuário Convidado, ela presume que é um Usuário Convidado externo. Este artigo refere-se especificamente e intencionalmente a usuário externo versus usuário interno e membro versus Usuário Convidado.
Sincronização entre locatários
A Sincronização entre locatários permite que organizações multilocatárias forneçam experiências de acesso e colaboração contínuas aos usuários finais, usando os recursos de colaboração externa B2B existentes. O recurso não permite a sincronização entre locatários em nuvens soberanas da Microsoft (como Microsoft 365 US Government GCC High, DOD ou Office 365 na China). Consulte Considerações comuns sobre o gerenciamento de usuários multilocatários para obter ajuda com cenários automatizados e personalizados de sincronização entre locatários.
Assista a Arvind Harinder falar sobre o recurso de sincronização entre locatários no Microsoft Entra ID (incorporado abaixo).
Os seguintes artigos conceituais e de instruções fornecem informações sobre a colaboração B2B do Microsoft Entra e a sincronização entre locatários.
Artigos conceituais
- As melhores práticas B2B apresentam recomendações para proporcionar a experiência mais tranquila para usuários e administradores.
- O compartilhamento externo B2B e do Office 365 explica as semelhanças e diferenças entre o compartilhamento de recursos por meio do B2B, do Office 365 e do SharePoint/OneDrive.
- As propriedades em um usuário de colaboração B2B do Microsoft Entra descrevem as propriedades e os estados do objeto do usuário externo no Microsoft Entra ID. A descrição fornece detalhes antes e depois do resgate de convite.
- O Acesso condicional para B2B descreve como o acesso condicional e a autenticação multifator funcionam para os usuários externos.
- As configurações de acesso entre locatários dão controle granular sobre como as organizações externas do Microsoft Entra colaboram com você (acesso de entrada) e como os usuários colaboram com organizações externas do Microsoft Entra (acesso de saída).
- A visão geral da sincronização entre locatários explica como automatizar a criação, atualização e exclusão de usuários de colaboração B2B do Microsoft Entra entre locatários em uma organização.
Artigo de instruções
- Usar o PowerShell para convidar em massa os usuários da colaboração B2B do Microsoft Entra descreve como usar o PowerShell para enviar convites em massa para usuários externos.
- Impor a autenticação multifator para usuários convidados B2B explica como você pode usar as políticas de acesso condicional e autenticação multifator para impor níveis de autenticação de locatários, aplicativos ou usuários externos individuais.
- A Autenticação de senha de uso único por email descreve como o recurso de Senha de uso único por email autentica os usuários externos quando eles não conseguem se autenticar por outros meios, como o Microsoft Entra ID, uma conta Microsoft ou a Federação do Google.
Terminologia
Os seguintes termos no conteúdo da Microsoft referem-se à colaboração multilocatário no Microsoft Entra ID.
- Locatário de recursos: o locatário do Microsoft Entra que contém os recursos que os usuários desejam compartilhar com outras pessoas.
- Locatário inicial: o locatário do Microsoft Entra que contém usuários que exigem acesso aos recursos no locatário de recursos.
- Usuário interno: um usuário interno tem uma conta autoritativa e se autentica no locatário em que o usuário reside.
- Usuário externo: um usuário externo tem uma conta externa do Microsoft Entra, identidade social ou outro provedor de identidade externo para entrar. O usuário externo autentica em algum lugar fora do locatário para o qual você convidou o usuário externo.
- Usuário membro: um usuário membro interno ou externo é um usuário licenciado com permissões padrão de nível de membro no locatário. Trate os usuários membros como funcionários da sua organização.
- Usuário convidado: um usuário convidado interno ou externo tem permissões restritas no locatário. Os usuários convidados não são funcionários da sua organização (como usuários para parceiros). A maioria da documentação B2B refere-se a convidados B2B, que se refere principalmente a contas externas de Usuário Convidado.
- Gerenciamento do ciclo de vida do usuário: o processo de provisionamento, gerenciamento e desprovisionamento do acesso do usuário aos recursos.
- GAL unificada: cada usuário em cada locatário pode ver os usuários de cada organização na sua Lista de Endereços Global (GAL).
Decidir como atender às suas necessidades
Os requisitos exclusivos de sua organização influenciam sua estratégia de gerenciamento de usuários entre locatários. Para criar uma estratégia eficaz, considere os seguintes requisitos.
- Número de locatários
- Tipo de organização
- Topologias atuais
- Necessidades de sincronização de usuário específicas
Requisitos comuns
Inicialmente, as organizações se concentram nos requisitos que desejam implementar para colaboração imediata. Às vezes chamados de requisitos do Dia Um, eles se concentram em permitir que os usuários finais façam uma fusão tranquila sem interromper sua capacidade de gerar valor. Ao definir o Primeiro Dia e os requisitos administrativos, considere incluir os seguintes requisitos e necessidades.
Requisitos de comunicações
- Lista de endereços global unificada: cada usuário pode ver todos os outros usuários na GAL em seu locatário inicial.
- Informações de disponibilidade: permite que os usuários descubram a disponibilidade uns dos outros. Você pode fazer isso com Relacionamentos organizacionais no Exchange Online.
- Chat e presença: permite que os usuários determinem a presença de outras pessoas e iniciem mensagens instantâneas. Configure através do acesso externo no Microsoft Teams.
- Reservar recursos como salas de reunião: permite que os usuários reservem salas de conferência ou outros recursos em toda a organização. A reserva de salas de conferência entre locatários não está disponível atualmente no Exchange Online.
- Domínio de email único: permite que todos os usuários enviem e recebam emails de um único domínio de email (por exemplo,
users@contoso.com
). O envio exige uma solução de reescrita do endereço de email.
Requisitos de acesso
- Acesso a documentos: permite que os usuários compartilhem documentos do SharePoint, do OneDrive e do Teams.
- Administração: permite que os administradores gerenciem a configuração de assinaturas e serviços implantados em vários locatários.
- Acesso ao aplicativo: permite que os usuários finais acessem aplicativos em toda a organização.
- Logon Único: permite que os usuários acessem recursos em toda a organização sem a necessidade de inserir mais credenciais.
Padrões para criação de conta
Os mecanismos da Microsoft para criar e gerenciar o ciclo de vida das suas contas de usuário externo seguem três padrões comuns. Você pode usar esses padrões para ajudar a definir e implementar seus requisitos. Escolha o padrão que melhor se alinha ao seu cenário e concentre-se nos detalhes do padrão.
Mecanismo | Descrição | Melhor quando |
---|---|---|
Iniciado pelo usuário final | Os administradores de locatários de recursos delegam a capacidade de convidar usuários externos para o locatário, um aplicativo ou um recurso para usuários dentro do locatário do recurso. Você pode convidar os usuários do locatário de origem ou eles podem se inscrever individualmente. | Não é necessária uma Lista de Endereços Global Unificada no primeiro dia. |
Com script | Os administradores de locatários de recursos implantam um processo pull com script para automatizar a descoberta e o provisionamento de usuários externos para oferecer suporte a cenários de compartilhamento. | Pequeno número de locatários (como dois). |
Automatizados | Os administradores de locatário de recursos usam um sistema de provisionamento de identidade para automatizar os processos de provisionamento e desprovisionamento. | Você precisa da Lista de Endereços Global Unificada entre os locatários. |
Próximas etapas
- Os Cenários de gerenciamento de usuários multilocatário descrevem três cenários para os quais você pode usar os recursos de gerenciamento de usuários multilocatários: iniciados pelo usuário final, com script e automatizados.
- Considerações comuns para gerenciamento de usuários multilocatários fornece diretrizes para essas considerações: sincronização entre locatários, objeto do directoy, acesso condicional do Microsoft Entra, controle de acesso adicional e Office 365.
- Soluções comuns para gerenciamento de usuários multilocatários quando a locação única não funciona para o seu cenário, esse artigo fornece diretrizes para estes desafios: gerenciamento automático do ciclo de vida do usuário e alocação de recursos entre locatários, compartilhando aplicativos locais entre locatários.
- A Sincronização de multilocatários do Active Directory descreve várias topologias locais e do Microsoft Entra que usam a sincronização do Microsoft Entra Connect como a principal solução de integração.