Cenários de gerenciamento de usuários multilocatários

Este artigo é o segundo de uma série de artigos que fornecem orientação para configurar e fornecer gerenciamento do ciclo de vida do usuário em ambientes multilocatários do Microsoft Entra. Os seguintes artigos da série fornecem mais informações conforme descrito.

• A introdução ao gerenciamento de usuários multilocatários é a primeira da série de artigos que fornecem orientação para configurar e fornecer gerenciamento do ciclo de vida do usuário em ambientes multilocatários do Microsoft Entra.
• Considerações comuns para gerenciamento de usuários multilocatários fornecem orientação para estas considerações: sincronização entre locatários, objeto de diretório, Acesso Condicional do Microsoft Entra, controle de acesso adicional e Office 365.
• Soluções comuns para gerenciamento de usuários multilocatários Quando a locação única não funciona para o seu cenário, este artigo fornece orientação para esses desafios: gerenciamento automático do ciclo de vida do usuário e alocação de recursos entre locatários, compartilhamento de aplicativos locais entre locatários.

As orientações ajudam a alcançar um estado consistente de gerenciamento do ciclo de vida do usuário. O gerenciamento do ciclo de vida inclui provisionamento, gerenciamento e desprovisionamento de usuários entre locatários usando as ferramentas disponíveis do Azure que incluem colaboração B2B (B2B ) do Microsoft Entra e sincronização entre locatários.

Este artigo descreve três cenários para os quais você pode usar recursos de gerenciamento de usuário multilocatário.

• Iniciado pelo usuário final
• Com script
• Automatizado

Cenário iniciado pelo usuário final

Em cenários iniciados pelo usuário final, os administradores de locatários de recursos delegam determinadas habilidades aos usuários no locatário. Os administradores permitem que os usuários finais convidem usuários externos para o locatário, um aplicativo ou um recurso. Você pode convidar usuários do locatário doméstico ou eles podem se inscrever individualmente.

Por exemplo, uma empresa global de serviços profissionais colabora com subcontratados em projetos. Os subcontratantes (utilizadores externos) necessitam de ter acesso às candidaturas e documentos da empresa. Os administradores da empresa podem delegar aos seus usuários finais a capacidade de convidar subcontratados ou configurar o autosserviço para acesso a recursos de subcontratados.

Contas de provisionamento

Aqui estão as maneiras mais usadas para convidar usuários finais para acessar recursos de locatário.

• Convites baseados em aplicativos. Os aplicativos da Microsoft (como o Teams e o SharePoint) podem habilitar convites de usuários externos. Configure as configurações de convite B2B no Microsoft Entra B2B e nos aplicativos relevantes.
• MyApps. Os usuários podem convidar e atribuir usuários externos a aplicativos usando MyApps. A conta de usuário deve ter permissões de aprovador de inscrição de autoatendimento do aplicativo. Os proprietários de grupos podem convidar usuários externos para seus grupos.
• Gestão de direitos. Permita que administradores ou proprietários de recursos criem pacotes de acesso com recursos, organizações externas permitidas, expiração de usuários externos e políticas de acesso. Publique pacotes de acesso para habilitar a inscrição de autoatendimento de usuário externo para acesso a recursos.
• Portal do Azure. Os usuários finais com a função Guest Inviter podem entrar no portal do Azure e convidar usuários externos no menu Usuários na ID do Microsoft Entra.
• Programático (PowerShell, Graph API). Os usuários finais com a função Guest Inviter podem usar o PowerShell ou a API do Graph para convidar usuários externos.

Resgatar convites

Quando você provisiona contas para acessar um recurso, os convites por e-mail vão para o endereço de e-mail do usuário convidado.

Quando um usuário convidado recebe um convite, ele pode seguir o link contido no e-mail para o URL de resgate. Ao fazer isso, o usuário convidado pode aprovar ou negar o convite e, se necessário, criar uma conta de usuário externo.

Os usuários convidados também podem tentar acessar diretamente o recurso, conhecido como resgate just-in-time (JIT), se um dos cenários a seguir for verdadeiro.

• O utilizador convidado já tem uma ID do Microsoft Entra ou uma conta Microsoft, ou
• Os administradores ativaram as senhas de e-mail de uso único.

Durante o resgate da EIC, as seguintes considerações podem ser aplicadas.

• Se os administradores não tiverem suprimido os prompts de consentimento, o usuário deverá consentir antes de acessar o recurso.
• Você pode permitir ou bloquear convites para usuários externos de organizações específicas usando uma lista de permissões ou uma lista de bloqueio.

Para obter mais informações, consulte Resgate de convite de colaboração B2B do Microsoft Entra.

Habilitando a autenticação de senha única

Em cenários em que você permite B2B ad hoc, habilite a autenticação de senha única de e-mail. Esse recurso autentica usuários externos quando você não pode autenticá-los por outros meios, como:

• ID do Microsoft Entra.
• Conta Microsoft.
• Conta do Gmail através da Federação Google.
• Conta de um SAML (Security Assertion Markup Language)/WS-Fed IDP através da Federação Direta.

Com a autenticação de código de acesso monouso, não é necessário criar uma conta Microsoft. Quando o usuário externo resgata um convite ou acessa um recurso compartilhado, ele recebe um código temporário em seu endereço de e-mail. Em seguida, inserem o código para continuar a iniciar sessão.

Gerir contas

No cenário iniciado pelo usuário final, o administrador de locatário de recurso gerencia contas de usuário externo no locatário de recurso (não atualizadas com base nos valores atualizados no locatário inicial). Os únicos atributos visíveis recebidos incluem o endereço de e-mail e o nome para exibição.

Você pode configurar mais atributos em objetos de usuário externos para facilitar diferentes cenários (como cenários de direitos). Você pode incluir o preenchimento do catálogo de endereços com detalhes de contato. Por exemplo, considere os seguintes atributos.

• HiddenFromAddressListsEnabled [ShowInAddressList]
• Nome próprio [GivenName]
• Sobrenome [Sobrenome]
• Título
• Departamento
• Número de telefone

Você pode definir esses atributos para adicionar usuários externos à lista de endereços global (GAL) e à pesquisa de pessoas (como o Seletor de Pessoas do SharePoint). Outros cenários podem exigir atributos diferentes (como definir direitos e permissões para Pacotes de Acesso, Associação de Grupo Dinâmico e Declarações SAML).

Por padrão, a GAL oculta usuários externos convidados. Defina os atributos de usuário externo a serem desocultados para incluí-los na GAL unificada. A seção Microsoft Exchange Online de Considerações comuns para gerenciamento de usuários multilocatários descreve como você pode diminuir os limites criando usuários membros externos em vez de usuários convidados externos.

Desprovisionamento de contas

Os cenários iniciados pelo usuário final descentralizam as decisões de acesso, o que pode criar o desafio de decidir quando remover um usuário externo e seu acesso associado. O gerenciamento de direitos e as revisões de acesso permitem que você revise e remova usuários externos existentes e seu acesso a recursos.

Ao convidar usuários fora do gerenciamento de direitos, você deve criar um processo separado para revisar e gerenciar seu acesso. Por exemplo, se você convidar diretamente um usuário externo por meio do SharePoint no Microsoft 365, ele não estará no seu processo de gerenciamento de direitos.

Cenário com script

No cenário com script, os administradores de locatários de recursos implantam um processo pull com script para automatizar a descoberta e o provisionamento de usuários externos.

Por exemplo, uma empresa adquire um concorrente. Cada empresa tem um único locatário do Microsoft Entra. Eles querem que os cenários seguintes do primeiro dia funcionem sem que os usuários precisem executar nenhuma etapa de convite ou resgate. Todos os utilizadores devem ser capazes de:

• Use o logon único para todos os recursos provisionados.
• Encontre uns aos outros e recursos em uma GAL unificada.
• Determine a presença uns dos outros e inicie o bate-papo.
• Aceda a aplicações com base em grupos dinâmicos de membros.

Nesse cenário, o locatário de cada organização é o locatário doméstico para seus funcionários existentes, enquanto é o locatário de recursos para os funcionários da outra organização.

Contas de provisionamento

Com o Delta Query, os administradores de locatários podem implantar um processo pull com script para automatizar a descoberta e o provisionamento de identidade para oferecer suporte ao acesso a recursos. Esse processo verifica se há novos usuários no locatário doméstico. Ele usa as APIs do B2B Graph para provisionar novos usuários como usuários externos no locatário de recursos, conforme ilustrado no diagrama de topologia multilocatário a seguir.

Título do diagrama: diagrama de topologia multilocatário. À esquerda, uma caixa rotulada Empresa A contém usuários internos e usuários externos. À direita, uma caixa rotulada Empresa B contém usuários internos e usuários externos. Entre a empresa A e a empresa B, uma interação vai da empresa A para a empresa B com o rótulo, Script para puxar os usuários A para B. Outra interação vai da Empresa B para a Empresa A com o rótulo, Script para puxar os usuários B para A.

• Os administradores de locatários pré-organizam as credenciais e consentem para permitir que cada locatário leia.
• Os administradores de locatários automatizam a enumeração e a extração de usuários com escopo para o locatário de recurso.
• Use a API do Microsoft Graph com permissões consentidas para ler e provisionar usuários com a API de convite.
• O provisionamento inicial pode ler atributos de origem e aplicá-los ao objeto de usuário de destino.

Gerir contas

A organização de recursos pode aumentar os dados de perfil para dar suporte a cenários de compartilhamento atualizando os atributos de metadados do usuário no locatário do recurso. No entanto, se a sincronização contínua for necessária, uma solução sincronizada pode ser uma opção melhor.

Desprovisionamento de contas

O Delta Query pode sinalizar quando um usuário externo precisa ser desprovisionado. O gerenciamento de direitos e as revisões de acesso podem fornecer uma maneira de revisar e remover usuários externos existentes e seu acesso aos recursos.

Se você convidar usuários fora do gerenciamento de direitos, crie um processo separado para revisar e gerenciar o acesso de usuários externos. Por exemplo, se você convidar o usuário externo diretamente por meio do SharePoint no Microsoft 365, ele não estará no seu processo de gerenciamento de direitos.

Cenário automatizado

O compartilhamento sincronizado entre locatários é o mais complexo dos padrões descritos neste artigo. Esse padrão permite mais opções automatizadas de gerenciamento e desprovisionamento do que as iniciadas pelo usuário final ou com script.

Em cenários automatizados, os administradores de locatários de recursos usam um sistema de provisionamento de identidade para automatizar os processos de provisionamento e desprovisionamento. Em cenários dentro da instância Commercial Cloud da Microsoft, temos sincronização entre locatários. Em cenários que abrangem instâncias do Microsoft Sovereign Cloud, você precisa de outras abordagens, pois a sincronização entre locatários ainda não oferece suporte a várias nuvens.

Por exemplo, dentro de uma instância do Microsoft Commercial Cloud, um conglomerado multinacional/regional tem várias subsidiárias com os seguintes requisitos.

• Cada um tem seu próprio locatário do Microsoft Entra e precisa trabalhar em conjunto.
• Além de sincronizar novos usuários entre locatários, sincronize automaticamente as atualizações de atributos e automatize o desprovisionamento.
• Se um funcionário não estiver mais em uma subsidiária, remova sua conta de todos os outros locatários durante a próxima sincronização.

Em um cenário expandido e entre nuvens, um contratante da Base Industrial de Defesa (DIB) tem uma subsidiária baseada em defesa e comercial. Estes têm requisitos regulamentares concorrentes:

• O negócio de defesa dos EUA reside em um locatário da Nuvem Soberana dos EUA, como o Microsoft 365 US Government GCC High e o Azure Government.
• O negócio comercial reside em um locatário separado do Microsoft Entra em Comercial, como um ambiente Microsoft Entra em execução na nuvem global do Azure.

Para agir como uma única empresa implantada em uma arquitetura entre nuvens, todos os usuários sincronizam com ambos os locatários. Essa abordagem permite a disponibilidade unificada da GAL entre ambos os locatários e pode garantir que os usuários sincronizados automaticamente com ambos os locatários incluam direitos e restrições a aplicativos e conteúdo. Exemplos de requisitos incluem:

• Os funcionários dos EUA podem ter acesso ubíquo a ambos os inquilinos.
• Os funcionários que não são dos EUA aparecem na GAL unificada de ambos os locatários, mas não têm acesso ao conteúdo protegido no locatário Alto do GCC.

Esse cenário requer sincronização automática e gerenciamento de identidades para configurar os usuários em ambos os locatários e, ao mesmo tempo, associá-los às políticas adequadas de direitos e proteção de dados.

O B2B entre nuvens exige que você configure as configurações de acesso entre locatários para cada organização com a qual deseja colaborar na instância de nuvem remota.

Contas de provisionamento

Esta seção descreve três técnicas para automatizar o provisionamento de contas no cenário automatizado.

Técnica 1: Usar o recurso interno de sincronização entre locatários no Microsoft Entra ID

Essa abordagem só funciona quando todos os locatários que você precisa sincronizar estão na mesma instância de nuvem (como Comercial para Comercial).

Técnica 2: Provisionar contas com o Microsoft Identity Manager

Use uma solução externa de Gerenciamento de Identidade e Acesso (IAM), como o Microsoft Identity Manager (MIM), como um mecanismo de sincronização.

Essa implantação avançada usa o MIM como um mecanismo de sincronização. O MIM chama a API do Microsoft Graph e o PowerShell do Exchange Online. Implementações alternativas podem incluir a oferta de serviço gerenciado ADSS (Ative Directory Synchronization Service) hospedado na nuvem da Microsoft Industry Solutions. Há ofertas que não são da Microsoft que você pode criar do zero com outras ofertas do IAM (como SailPoint, Omada e OKTA).

Você executa uma sincronização de nuvem para nuvem de identidade (usuários, contatos e grupos) de um locatário para outro, conforme ilustrado no diagrama a seguir.

Título do diagrama: Sincronização de identidade de nuvem para nuvem. À esquerda, uma caixa rotulada Empresa A contém usuários internos e usuários externos. À direita, uma caixa rotulada Empresa B contém usuários internos e usuários externos. Entre a empresa A e a empresa B, as interações do mecanismo de sincronização vão da empresa A para a empresa B e da empresa B para a empresa A.

As considerações que estão fora do escopo deste artigo incluem a integração de aplicativos locais.

Técnica 3: Provisionar contas com o Microsoft Entra Connect

Essa técnica só se aplica a organizações complexas que gerenciam toda a identidade nos Serviços de Domínio Ative Directory (AD DS) tradicionais baseados no Windows Server. A abordagem usa o Microsoft Entra Connect como o mecanismo de sincronização, conforme ilustrado no diagrama a seguir.

Título do diagrama: Provisionar contas com o Microsoft Entra Connect. O diagrama mostra quatro componentes principais. Uma caixa à esquerda representa o Cliente. Uma forma de nuvem à direita representa a conversão B2B. No centro superior, uma caixa contendo uma forma de nuvem representa o Microsoft Commercial Cloud. No centro inferior, uma caixa contendo uma forma de nuvem representa a Microsoft US Government Sovereign Cloud. Dentro da caixa Cliente, um ícone do Ative Directory do Windows Server se conecta a duas caixas, cada uma com um rótulo do Microsoft Entra Connect. As conexões são linhas vermelhas tracejadas com setas em ambas as extremidades e um ícone de atualização. Dentro da forma Microsoft Commercial Cloud está outra forma de nuvem que representa o Microsoft Azure Commercial. Dentro está outra forma de nuvem que representa o Microsoft Entra ID. À direita da forma de nuvem comercial do Microsoft Azure está uma caixa que representa o Office 365 com um rótulo, Multilocatário Público. Uma linha vermelha sólida com setas em ambas as extremidades conecta a caixa do Office 365 com o formato de nuvem comercial do Microsoft Azure e um rótulo, Cargas de trabalho híbridas. Duas linhas tracejadas se conectam da caixa do Office 365 à forma de nuvem do Microsoft Entra. Um tem uma seta na extremidade que se conecta ao Microsoft Entra ID. O outro tem setas em ambas as extremidades. Uma linha tracejada com setas em ambas as extremidades conecta a forma de nuvem do Microsoft Entra à caixa superior do Microsoft Entra Connect do cliente. Uma linha tracejada com setas em ambas as extremidades conecta a forma da Microsoft Commercial Cloud à forma da nuvem de Conversão B2B. Dentro da caixa Microsoft US Government Sovereign Cloud está outra forma de nuvem que representa o Microsoft Azure Government. Dentro está outra forma de nuvem que representa o Microsoft Entra ID. À direita da forma de nuvem comercial do Microsoft Azure está uma caixa que representa o Office 365 com um rótulo, US Gov GCC-High L4. Uma linha vermelha sólida com setas em ambas as extremidades conecta a caixa do Office 365 com o formato de nuvem do Microsoft Azure Government e um rótulo, Cargas de trabalho híbridas. Duas linhas tracejadas se conectam da caixa do Office 365 à forma de nuvem do Microsoft Entra. Um tem uma seta na extremidade que se conecta ao Microsoft Entra ID. O outro tem setas em ambas as extremidades. Uma linha tracejada com setas em ambas as extremidades conecta a forma de nuvem do Microsoft Entra à caixa inferior do Microsoft Entra Connect. Uma linha tracejada com setas em ambas as extremidades conecta a forma da Microsoft Commercial Cloud à forma da nuvem de Conversão B2B.

Ao contrário da técnica MIM, todas as fontes de identidade (usuários, contatos e grupos) vêm dos Serviços de Domínio Ative Directory (AD DS) tradicionais baseados no Windows Server. O diretório do AD DS normalmente é uma implantação local para uma organização complexa que gerencia a identidade de vários locatários. A identidade somente na nuvem não está no escopo dessa técnica. Todas as identidades devem estar no AD DS para incluí-las no escopo de sincronização.

Conceitualmente, essa técnica sincroniza um usuário em um locatário doméstico como um usuário membro interno (comportamento padrão). Como alternativa, ele pode sincronizar um usuário em um locatário de recurso como um usuário externo (comportamento personalizado).

A Microsoft oferece suporte a essa técnica de usuário de sincronização dupla com considerações cuidadosas sobre quais modificações ocorrem na configuração do Microsoft Entra Connect. Por exemplo, se você fizer modificações na configuração de instalação orientada por assistente, precisará documentar as alterações se precisar reconstruir a configuração durante um incidente de suporte.

Fora da caixa, o Microsoft Entra Connect não pode sincronizar um usuário externo. Você deve aumentá-lo com um processo externo (como um script do PowerShell) para converter os usuários de contas internas para externas.

Os benefícios dessa técnica incluem a sincronização da identidade do Microsoft Entra Connect com atributos armazenados no AD DS. A sincronização pode incluir atributos de catálogo de endereços, atributos de gerente, associações de grupo e outros atributos de identidade híbrida em todos os locatários dentro do escopo. Ele desprovisiona a identidade em alinhamento com o AD DS. Não é necessária uma solução IAM mais complexa para gerenciar a identidade na nuvem para essa tarefa específica.

Há uma relação um-para-um do Microsoft Entra Connect por locatário. Cada locatário tem sua própria configuração do Microsoft Entra Connect que você pode alterar individualmente para oferecer suporte à sincronização de conta de membro ou usuário externo.

Escolhendo a topologia certa

A maioria dos clientes usa uma das topologias a seguir em cenários automatizados.

• Uma topologia de malha permite o compartilhamento de todos os recursos em todos os locatários. Você cria usuários de outros locatários em cada locatário de recurso como usuários externos.
• Uma topologia de locatário de recurso único usa um único locatário (o locatário de recurso), no qual os usuários de outros locatários são usuários externos.

Faça referência à tabela a seguir como uma árvore de decisão enquanto projeta sua solução. Seguindo a tabela, os diagramas ilustram ambas as topologias para ajudá-lo a determinar qual é o certo para sua organização.

Comparação de topologias de malha versus locatário de recurso único

Consideração	Topologia em malha	Locatário de recurso único
Cada empresa tem um locatário do Microsoft Entra separado com usuários e recursos	Sim	Sim
Localização e colaboração de recursos
Os aplicativos compartilhados e outros recursos permanecem em seu locatário residencial atual	Sim	N.º Você pode compartilhar apenas aplicativos e outros recursos no locatário do recurso. Não é possível compartilhar aplicativos e outros recursos restantes em outros locatários.
Tudo visível nas GALs de cada empresa (GAL Unificada)	Sim	No
Acesso e administração de recursos
Você pode compartilhar TODOS os aplicativos conectados ao Microsoft Entra ID entre todas as empresas.	Sim	N.º Somente os aplicativos no locatário do recurso são compartilhados. Não é possível compartilhar aplicativos restantes em outros locatários.
Administração global de recursos	Continue no nível do inquilino.	Consolidado no locatário do recurso.
Licenciamento: Office 365 SharePoint no Microsoft 365, GAL unificada, o Teams acessa todos os convidados de suporte; no entanto, outros cenários do Exchange Online não.	Continua ao nível do inquilino.	Continua ao nível do inquilino.
Licenciamento: Microsoft Entra ID (premium)	Os primeiros 50 K Utilizadores Ativos Mensais são gratuitos (por inquilino).	Os primeiros 50 K Utilizadores Ativos Mensais são gratuitos.
Licenciamento: aplicações de software como serviço (SaaS)	Permanecer em locatários individuais, pode exigir licenças por usuário por locatário.	Todos os recursos compartilhados residem no locatário de recurso único. Você pode investigar a consolidação de licenças para o único locatário, se apropriado.

Topologia em malha

O diagrama a seguir ilustra a topologia de malha.

Título do diagrama: Topologia de malha. No canto superior esquerdo, uma caixa chamada Empresa A contém usuários internos e externos. No canto superior direito, uma caixa rotulada Empresa B contém usuários internos e usuários externos. No canto inferior esquerdo, uma caixa rotulada Empresa C contém usuários internos e usuários externos. No canto inferior direito, uma caixa rotulada Empresa D contém usuários internos e usuários externos. Entre a empresa A e a empresa B e entre a empresa C e a empresa D, as interações do mecanismo de sincronização ocorrem entre as empresas à esquerda e as empresas à direita.

Em uma topologia de malha, cada usuário em cada locatário doméstico sincroniza com cada um dos outros locatários, que se tornam locatários de recursos.

• Você pode compartilhar qualquer recurso dentro de um locatário com usuários externos.
• Cada organização pode ver todos os usuários do conglomerado. No diagrama acima, há quatro GALs unificadas, cada uma das quais contém os usuários domésticos e os usuários externos dos outros três locatários.

Considerações comuns para o gerenciamento de usuários multilocatários fornecem informações sobre provisionamento, gerenciamento e desprovisionamento de usuários nesse cenário.

Topologia de malha para nuvem cruzada

Você pode usar a topologia de malha em apenas dois locatários, como no cenário para um contratante de defesa DIB em uma solução de nuvem entre soberanas. Assim como acontece com a topologia de malha, cada usuário em cada locatário doméstico sincroniza com o outro locatário, que se torna um locatário de recurso. No diagrama de seção da Técnica 3, o usuário interno do locatário comercial público sincroniza com o locatário soberano do GCC dos EUA como uma conta de usuário externo. Ao mesmo tempo, o usuário interno do GCC High sincroniza com o Commercial como uma conta de usuário externo.

O diagrama também ilustra os locais de armazenamento de dados. A categorização e a conformidade de dados estão fora do escopo deste artigo, mas você pode incluir direitos e restrições a aplicativos e conteúdo. O conteúdo pode incluir locais onde residem os dados de propriedade do usuário de um usuário interno (como dados armazenados em uma caixa de correio do Exchange Online ou no OneDrive). O conteúdo pode estar em seu locatário doméstico e não no locatário de recurso. Os dados compartilhados podem residir em qualquer locatário. Você pode restringir o acesso ao conteúdo por meio de controle de acesso e políticas de Acesso Condicional.

Topologia de locatário de recurso único

O diagrama a seguir ilustra a topologia de locatário de recurso único.

Título do diagrama: Topologia de locatário de recurso único. Na parte superior, uma caixa que representa a empresa A contém três caixas. À esquerda, uma caixa representa todos os recursos compartilhados. No meio, uma caixa representa os usuários internos. À direita, uma caixa representa os usuários externos. Abaixo da caixa Empresa A há uma caixa que representa o mecanismo de sincronização. Três setas conectam o mecanismo de sincronização à Empresa A. Abaixo da caixa do mecanismo de sincronização, na parte inferior do diagrama, há três caixas que representam a Empresa B, a Empresa C e a Empresa D. Uma seta conecta cada um deles à caixa do mecanismo de sincronização. Dentro de cada uma das caixas inferiores da empresa há um rótulo, Microsoft Graph API Exchange Online PowerShell e ícones que representam usuários internos.

Em uma topologia de locatário de recurso único, os usuários e seus atributos são sincronizados com o locatário de recurso (Empresa A no diagrama acima).

• Todos os recursos compartilhados entre as organizações membros devem residir no locatário de recurso único. Se várias subsidiárias tiverem assinaturas para os mesmos aplicativos SaaS, há uma oportunidade de consolidar essas assinaturas.
• Somente a GAL no locatário de recursos exibe usuários de todas as empresas.

Gerir contas

Esta solução deteta e sincroniza alterações de atributos de usuários locatários de origem para usuários externos locatários de recursos. Você pode usar esses atributos para tomar decisões de autorização (como quando estiver usando grupos dinâmicos de associação).

Desprovisionamento de contas

A automação deteta a exclusão de objetos no ambiente de origem e exclui o objeto de usuário externo associado no ambiente de destino.

Considerações comuns para gerenciamento de usuários multilocatários fornecem informações adicionais sobre provisionamento, gerenciamento e desprovisionamento de usuários nesse cenário.

Próximos passos

• A introdução ao gerenciamento de usuários multilocatários é a primeira da série de artigos que fornecem orientação para configurar e fornecer gerenciamento do ciclo de vida do usuário em ambientes multilocatários do Microsoft Entra.
• Considerações comuns para gerenciamento de usuários multilocatários fornecem orientação para estas considerações: sincronização entre locatários, objeto de diretório, Acesso Condicional do Microsoft Entra, controle de acesso adicional e Office 365.
• Soluções comuns para gerenciamento de usuários multilocatários Quando a locação única não funciona para o seu cenário, este artigo fornece orientação para esses desafios: gerenciamento automático do ciclo de vida do usuário e alocação de recursos entre locatários, compartilhamento de aplicativos locais entre locatários.