Soluções comuns para gerenciamento de usuários multilocatários

Este artigo é o quarto de uma série de artigos que fornecem orientação para configurar e fornecer gerenciamento do ciclo de vida do usuário em ambientes multilocatários do Microsoft Entra. Os seguintes artigos da série fornecem mais informações conforme descrito.

• A introdução ao gerenciamento de usuários multilocatários é a primeira da série.
• Os cenários de gerenciamento de usuários multilocatários descrevem três cenários para os quais você pode usar recursos de gerenciamento de usuários multilocatário: iniciado pelo usuário final, com script e automatizado.
• Considerações comuns para gerenciamento de usuários multilocatários fornecem orientação para estas considerações: sincronização entre locatários, objeto de diretório, Acesso Condicional do Microsoft Entra, controle de acesso adicional e Office 365.

As orientações ajudam a alcançar um estado consistente de gerenciamento do ciclo de vida do usuário. O gerenciamento do ciclo de vida inclui provisionamento, gerenciamento e desprovisionamento de usuários entre locatários usando as ferramentas disponíveis do Azure que incluem colaboração B2B (B2B ) do Microsoft Entra e sincronização entre locatários.

A Microsoft recomenda um único locatário sempre que possível. Se a locação única não funcionar para o seu cenário, consulte as seguintes soluções que os clientes da Microsoft implementaram com êxito para esses desafios:

• Gerenciamento automático do ciclo de vida do usuário e alocação de recursos entre locatários
• Partilhar aplicações no local entre inquilinos

Gerenciamento automático do ciclo de vida do usuário e alocação de recursos entre locatários

Um cliente adquire um concorrente com quem anteriormente mantinha relações comerciais estreitas. As organizações querem manter suas identidades corporativas.

Estado atual

Atualmente, as organizações estão sincronizando os usuários uns dos outros como objetos de contato de email para que eles apareçam nos diretórios uns dos outros. Cada locatário de recurso habilitou objetos de contato de email para todos os usuários no outro locatário. Entre locatários, nenhum acesso a aplicativos é possível.

Objetivos

O cliente tem os seguintes objetivos.

• Cada usuário aparece na GAL de cada organização.
  • As alterações no ciclo de vida da conta de usuário no locatário doméstico refletidas automaticamente na GAL do locatário de recurso.
  • Alterações de atributos em locatários domésticos (como departamento, nome, endereço SMTP (Simple Mail Transfer Protocol)) refletidas automaticamente na GAL do locatário de recursos e na GAL inicial.
• Os usuários podem acessar aplicativos e recursos no locatário do recurso.
• Os usuários podem autosservir solicitações de acesso a recursos.

Arquitetura de soluções

As organizações usam uma arquitetura ponto a ponto com um mecanismo de sincronização, como o Microsoft Identity Manager (MIM). O diagrama a seguir ilustra um exemplo de arquitetura ponto a ponto para esta solução.

Título do diagrama: Solução de arquitetura ponto-a-ponto. À esquerda, uma caixa rotulada Empresa A contém usuários internos e usuários externos. À direita, uma caixa rotulada Empresa B contém usuários internos e usuários externos. Entre a empresa A e a empresa B, as interações do mecanismo de sincronização vão da empresa A para a empresa B e da empresa B para a empresa A.

Cada administrador de locatário executa as seguintes etapas para criar os objetos de usuário.

1. Certifique-se de que seu banco de dados de usuários esteja atualizado.
2. Implante e configure o MIM.
   1. Endereçe objetos de contato existentes.
   2. Crie objetos de usuário de membro externo para os usuários membros internos do outro locatário.
   3. Sincronize atributos de objeto do usuário.
3. Implante e configure pacotes de acesso do Gerenciamento de Direitos.
   1. Recursos a partilhar.
   2. Políticas de expiração e revisão de acesso.

Partilhar aplicações no local entre inquilinos

Um cliente com várias organizações pares precisa compartilhar aplicativos locais de um dos locatários.

Estado atual

As organizações pares estão sincronizando usuários externos em uma topologia de malha, permitindo a alocação de recursos para aplicativos em nuvem entre locatários. O cliente oferece a seguinte funcionalidade.

• Partilhe aplicações no Microsoft Entra ID.
• Gerenciamento automatizado do ciclo de vida do usuário no locatário de recursos no locatário doméstico (refletindo adicionar, modificar e excluir).

O diagrama a seguir ilustra esse cenário, em que apenas usuários internos da Empresa A acessam os aplicativos locais da Empresa A.

Título do diagrama: Topologia de malha. No canto superior esquerdo, uma caixa chamada Empresa A contém usuários internos e externos. No canto superior direito, uma caixa rotulada Empresa B contém usuários internos e usuários externos. No canto inferior esquerdo, uma caixa rotulada Empresa C contém usuários internos e usuários externos. No canto inferior direito, uma caixa rotulada Empresa D contém usuários internos e usuários externos. Entre a empresa A e a empresa B e entre a empresa C e a empresa D, as interações do mecanismo de sincronização ocorrem entre as empresas à esquerda e as empresas à direita.

Objetivos

Junto com a funcionalidade atual, eles querem oferecer o seguinte.

• Fornecer acesso aos recursos locais da Empresa A para os usuários externos.
• Aplicativos com autenticação SAML (Security Assertion Markup Language).
• Aplicativos com Autenticação Integrada do Windows e Kerberos.

Arquitetura de soluções

A empresa A fornece logon único (SSO) para aplicativos locais para seus próprios usuários internos usando o Proxy de Aplicativo do Azure, conforme ilustrado no diagrama a seguir.

Título do diagrama: Solução de arquitetura do Proxy de Aplicativo do Azure. No canto superior esquerdo, uma caixa chamada 'https://sales.constoso.com' contém um ícone de globo para representar um site. Abaixo dele, um grupo de ícones representam o Usuário e são conectados por uma seta do Usuário ao site. No canto superior direito, uma forma de nuvem rotulada Microsoft Entra ID contém um ícone chamado Serviço de Proxy de Aplicativo. Uma seta conecta o site à forma de nuvem. No canto inferior direito, uma caixa rotulada DMZ tem o subtítulo On-premises. Uma seta conecta a forma da nuvem à caixa DMZ, dividindo-se em duas para apontar para ícones rotulados como Conector. Abaixo do ícone Conector à esquerda, uma seta aponta para baixo e se divide em dois para apontar para os ícones rotulados como Aplicativo 1 e Aplicativo 2. Abaixo do ícone Conector à direita, uma seta aponta para baixo para um ícone chamado App 3.

Os administradores no locatário A executam as etapas a seguir para permitir que seus usuários externos acessem os mesmos aplicativos locais.

1. Configure o acesso a aplicativos SAML.
2. Configure o acesso a outros aplicativos.
3. Crie usuários locais por meio do MIM ou PowerShell.

Os artigos a seguir fornecem informações adicionais sobre a colaboração B2B.

• Conceder aos usuários B2B no Microsoft Entra ID acesso aos seus recursos locais descreve como você pode fornecer aos usuários B2B acesso a aplicativos locais.
• A colaboração B2B do Microsoft Entra para organizações híbridas descreve como você pode dar aos seus parceiros externos acesso a aplicativos e recursos em sua organização.

Próximos passos

• A introdução ao gerenciamento de usuários multilocatários é a primeira da série de artigos que fornecem orientação para configurar e fornecer gerenciamento do ciclo de vida do usuário em ambientes multilocatários do Microsoft Entra.
• Os cenários de gerenciamento de usuários multilocatários descrevem três cenários para os quais você pode usar recursos de gerenciamento de usuários multilocatário: iniciado pelo usuário final, com script e automatizado.
• Considerações comuns para gerenciamento de usuários multilocatários fornecem orientação para estas considerações: sincronização entre locatários, objeto de diretório, Acesso Condicional do Microsoft Entra, controle de acesso adicional e Office 365.