Introdução ao gerenciamento de usuários multilocatários
Este artigo é o primeiro de uma série de artigos que fornecem orientação para configurar e fornecer gerenciamento do ciclo de vida do usuário em ambientes multilocatários do Microsoft Entra. Os seguintes artigos da série fornecem mais informações conforme descrito.
- Os cenários de gerenciamento de usuários multilocatários descrevem três cenários para os quais você pode usar recursos de gerenciamento de usuários multilocatário: iniciado pelo usuário final, com script e automatizado.
- Considerações comuns para gerenciamento de usuários multilocatários fornecem orientação para estas considerações: sincronização entre locatários, objeto de diretório, Acesso Condicional do Microsoft Entra, controle de acesso adicional e Office 365.
- Soluções comuns para gerenciamento de usuários multilocatários Quando a locação única não funciona para o seu cenário, este artigo fornece orientação para esses desafios: gerenciamento automático do ciclo de vida do usuário e alocação de recursos entre locatários, compartilhamento de aplicativos locais entre locatários.
As orientações ajudam a alcançar um estado consistente de gerenciamento do ciclo de vida do usuário. O gerenciamento do ciclo de vida inclui provisionamento, gerenciamento e desprovisionamento de usuários entre locatários usando as ferramentas disponíveis do Azure que incluem colaboração B2B (B2B ) do Microsoft Entra e sincronização entre locatários.
O provisionamento de usuários em um único locatário do Microsoft Entra fornece uma exibição unificada de recursos e um único conjunto de políticas e controles. Essa abordagem permite o gerenciamento consistente do ciclo de vida do usuário.
A Microsoft recomenda um único locatário quando possível. Ter vários locatários pode resultar em requisitos exclusivos de colaboração e gerenciamento entre locatários. Quando a consolidação para um único locatário do Microsoft Entra não é possível, as organizações multilocatárias podem abranger dois ou mais locatários do Microsoft Entra por motivos que incluem o seguinte.
- Concentrações
- Aquisições
- Alienações
- Colaboração entre nuvens públicas, soberanas e regionais
- Estruturas políticas ou organizacionais que proíbem a consolidação para um único locatário do Microsoft Entra
Colaboração B2B do Microsoft Entra
A colaboração B2B (B2B) do Microsoft Entra permite que você compartilhe com segurança os aplicativos e serviços da sua empresa com usuários externos. Quando os usuários podem vir de qualquer organização, o B2B ajuda você a manter o controle sobre o acesso ao seu ambiente e dados de TI.
Você pode usar a colaboração B2B para fornecer acesso externo para os usuários da sua organização acessarem vários locatários que você gerencia. Tradicionalmente, o acesso de usuário externo B2B pode autorizar o acesso a usuários que sua própria organização não gerencia. No entanto, o acesso de usuário externo pode gerenciar o acesso entre vários locatários gerenciados pela sua organização.
Uma área de confusão com a colaboração B2B do Microsoft Entra envolve as propriedades de um usuário convidado B2B. A diferença entre contas de usuário internas versus externas e tipos de membro versus usuário convidado contribui para a confusão. Inicialmente, todos os usuários internos são usuários membros com o atributo UserType definido como Member (usuários membros). Um usuário interno tem uma conta em sua ID do Microsoft Entra que é autoritativa e se autentica no locatário onde o usuário reside. Um usuário membro é um usuário licenciado com permissões padrão de nível de membro no locatário. Trate os usuários membros como funcionários da sua organização.
Você pode convidar um usuário interno de um locatário para outro locatário como um usuário externo. Um usuário externo entra com uma conta externa do Microsoft Entra, identidade social ou outro provedor de identidade externo. Os usuários externos são autenticados fora do locatário para o qual você convida o usuário externo. Na primeira versão B2B, todos os usuários externos eram de UserType Guest (usuários convidados). Os usuários convidados têm permissões restritas no locatário. Por exemplo, os usuários convidados não podem enumerar a lista de todos os usuários nem grupos no diretório do locatário.
Para a propriedade UserType em usuários, B2B suporta inverter o bit de interno para externo e vice-versa, o que contribui para a confusão.
Você pode alterar um usuário interno de usuário membro para usuário convidado. Por exemplo, você pode ter um Usuário Convidado interno não licenciado com permissões de nível de convidado no locatário, o que é útil quando você fornece uma conta de usuário e credenciais a uma pessoa que não é um funcionário da sua organização.
Você pode alterar um usuário externo de Usuário convidado para usuário membro, dando permissões de nível de membro para o usuário externo. Fazer essa alteração é útil quando você gerencia vários locatários para sua organização e precisa conceder permissões de nível de membro a um usuário em todos os locatários. Essa necessidade pode ocorrer independentemente de o usuário ser interno ou externo em um determinado locatário. Os usuários membros podem precisar de mais licenças.
A maioria da documentação para B2B refere-se a um usuário externo como um usuário convidado. Ele confunde a propriedade UserType de uma forma que pressupõe que todos os usuários convidados são externos. Quando a documentação chama um Usuário Convidado, ela assume que ele é um Usuário Convidado externo. Este artigo refere-se específica e intencionalmente a usuário externo versus interno e usuário membro versus usuário convidado.
Sincronização entre locatários
A sincronização entre locatários permite que organizações multilocatárias forneçam acesso contínuo e experiências de colaboração aos usuários finais, usando recursos de colaboração externa B2B existentes. O recurso não permite sincronização entre locatários entre nuvens soberanas da Microsoft (como Microsoft 365, Governo dos EUA, GCC High, DOD ou Office 365 na China). Consulte Considerações comuns para gerenciamento de usuários multilocatários para obter ajuda com cenários de sincronização entre locatários automatizados e personalizados.
Assista Arvind Harinder falar sobre o recurso de sincronização entre locatários no Microsoft Entra ID (incorporado abaixo).
Os seguintes artigos conceituais e de instruções fornecem informações sobre a colaboração B2B do Microsoft Entra e a sincronização entre locatários.
Artigos conceptuais
- As práticas recomendadas B2B apresentam recomendações para fornecer a experiência mais suave para usuários e administradores.
- A partilha externa B2B e Office 365 explica as semelhanças e diferenças entre a partilha de recursos através de B2B, Office 365 e SharePoint/OneDrive.
- Propriedades em um usuário de colaboração B2B do Microsoft Entra descreve as propriedades e os estados do objeto de usuário externo no ID do Microsoft Entra. A descrição fornece detalhes antes e depois do resgate do convite.
- Acesso Condicional para B2B descreve como o Acesso Condicional e a autenticação multifator funcionam para usuários externos.
- As configurações de acesso entre locatários fornecem controle granular sobre como as organizações externas do Microsoft Entra colaboram com você (acesso de entrada) e como seus usuários colaboram com organizações externas do Microsoft Entra (acesso de saída).
- Visão geral da sincronização entre locatários explica como automatizar a criação, atualização e exclusão de usuários de colaboração B2B do Microsoft Entra entre locatários em uma organização.
Artigos de instruções
- Usar o PowerShell para convidar usuários de colaboração B2B do Microsoft Entra em massa descreve como usar o PowerShell para enviar convites em massa para usuários externos.
- Enforce multifactor authentication for B2B guest users explica como você pode usar o Acesso Condicional e as políticas de autenticação multifator para impor níveis de autenticação de locatários, aplicativos ou usuários externos individuais.
- A autenticação de senha única de e-mail descreve como o recurso de senha única de e-mail autentica usuários externos quando eles não podem se autenticar por outros meios, como o ID do Microsoft Entra, uma conta da Microsoft ou a Federação do Google.
Terminologia
Os seguintes termos no conteúdo da Microsoft referem-se à colaboração multilocatária no Microsoft Entra ID.
- Locatário de recurso: o locatário do Microsoft Entra que contém os recursos que os usuários desejam compartilhar com outras pessoas.
- Locatário inicial: o locatário do Microsoft Entra que contém usuários que exigem acesso aos recursos no locatário de recurso.
- Usuário interno: um usuário interno tem uma conta autoritativa e autenticada no locatário onde o usuário reside.
- Usuário externo: um usuário externo tem uma conta externa do Microsoft Entra, identidade social ou outro provedor de identidade externo para entrar. O usuário externo autentica em algum lugar fora do locatário para o qual você convidou o usuário externo.
- Usuário membro: um usuário membro interno ou externo é um usuário licenciado com permissões padrão no nível de membro no locatário. Trate os usuários membros como funcionários da sua organização.
- Usuário convidado: um usuário convidado interno ou externo tem permissões restritas no locatário. Os usuários convidados não são funcionários da sua organização (como usuários para parceiros). A maioria da documentação B2B refere-se a Convidados B2B, que se refere principalmente a contas externas de Usuário Convidado.
- Gerenciamento do ciclo de vida do usuário: o processo de provisionamento, gerenciamento e desprovisionamento do acesso do usuário aos recursos.
- GAL unificada: cada usuário em cada locatário pode ver usuários de cada organização em sua Lista de Endereços Global (GAL).
Decidir como atender às suas necessidades
Os requisitos exclusivos da sua organização influenciam a sua estratégia de gestão de utilizadores entre inquilinos. Para criar uma estratégia eficaz, considere os seguintes requisitos.
- Número de inquilinos
- Tipo de organização
- Topologias atuais
- Necessidades específicas de sincronização do usuário
Requisitos comuns
Inicialmente, as organizações concentram-se nos requisitos que desejam implementar para uma colaboração imediata. Às vezes chamados de requisitos do primeiro dia , eles se concentram em permitir que os usuários finais se fundam sem problemas, sem interromper sua capacidade de gerar valor. Ao definir o primeiro dia e os requisitos administrativos, considere incluir os seguintes requisitos e necessidades.
Requisitos em matéria de comunicações
- Lista de endereços global unificada: cada usuário pode ver todos os outros usuários na GAL em seu locatário doméstico.
- Informações de disponibilidade: permita que os usuários descubram a disponibilidade uns dos outros. Você pode fazer isso com os relacionamentos da Organização no Exchange Online.
- Bate-papo e presença: permita que os usuários determinem a presença de outras pessoas e iniciem mensagens instantâneas. Configure através de acesso externo no Microsoft Teams.
- Reservar recursos, como salas de reunião: permita que os usuários reservem salas de conferência ou outros recursos em toda a organização. A reserva de sala de conferência entre locatários não está disponível no momento no Exchange Online.
- Domínio de e-mail único: permite que todos os usuários enviem e recebam emails de um único domínio de e-mail (por exemplo,
users@contoso.com
). O envio requer uma solução de reconfiguração de endereço de e-mail.
Requisitos de acesso
- Acesso a documentos: permita que os usuários compartilhem documentos do SharePoint, OneDrive e Teams.
- Administração: permite que os administradores gerenciem a configuração de assinaturas e serviços implantados em vários locatários.
- Acesso a aplicativos: permita que os usuários finais acessem aplicativos em toda a organização.
- Logon único: permita que os usuários acessem recursos em toda a organização sem a necessidade de inserir mais credenciais.
Padrões para criação de conta
Os mecanismos da Microsoft para criar e gerenciar o ciclo de vida de suas contas de usuário externo seguem três padrões comuns. Você pode usar esses padrões para ajudar a definir e implementar seus requisitos. Escolha o padrão que melhor se alinha com o seu cenário e, em seguida, concentre-se nos detalhes do padrão.
Mecanismo | Descrição | Melhor quando |
---|---|---|
Iniciado pelo usuário final | Os administradores de locatários de recursos delegam a capacidade de convidar usuários externos para o locatário, um aplicativo ou um recurso para usuários dentro do locatário de recurso. Você pode convidar usuários do locatário doméstico ou eles podem se inscrever individualmente. | Lista de endereços global unificada no primeiro dia não é necessária. |
Com script | Os administradores de locatários de recursos implantam um processo de pull com script para automatizar a descoberta e o provisionamento de usuários externos para dar suporte a cenários de compartilhamento. | Pequeno número de inquilinos (como dois). |
Automatizado | Os administradores de locatários de recursos usam um sistema de provisionamento de identidade para automatizar os processos de provisionamento e desprovisionamento. | Você precisa da Lista de Endereços Global Unificada entre locatários. |
Próximos passos
- Os cenários de gerenciamento de usuários multilocatários descrevem três cenários para os quais você pode usar recursos de gerenciamento de usuários multilocatário: iniciado pelo usuário final, com script e automatizado.
- Considerações comuns para gerenciamento de usuários multilocatários fornecem orientação para estas considerações: sincronização entre locatários, objeto de diretório, Acesso Condicional do Microsoft Entra, controle de acesso adicional e Office 365.
- Soluções comuns para gerenciamento de usuários multilocatários Quando a locação única não funciona para o seu cenário, este artigo fornece orientação para esses desafios: gerenciamento automático do ciclo de vida do usuário e alocação de recursos entre locatários, compartilhamento de aplicativos locais entre locatários.
- A sincronização multilocatária do Ative Directory descreve várias topologias locais e do Microsoft Entra que usam o Microsoft Entra Connect Sync como a principal solução de integração.