Введение в многотенантное управление пользователями
Эта статья является первой в серии статей, которые предоставляют рекомендации по настройке и управлению жизненным циклом пользователей в мультитенантных средах Microsoft Entra. В следующих статьях серии приведены дополнительные сведения, как описано ниже.
- Многотенантные сценарии управления пользователями описывают три сценария, для которых можно использовать мультитенантные функции управления пользователями: инициированные пользователем, скрипты и автоматизированные.
- Общие рекомендации по управлению мультитенантными пользователями содержат рекомендации по следующим вопросам: синхронизация между клиентами, объект каталога, условный доступ Microsoft Entra, дополнительный контроль доступа и Office 365.
- Распространенные решения для мультитенантного управления пользователями, если единый клиент не работает для вашего сценария, в этой статье приводятся рекомендации по этим проблемам: автоматическое управление жизненным циклом пользователей и распределение ресурсов между клиентами, совместное использование локальных приложений между клиентами.
Это руководство помогает обеспечить согласованное состояние управления жизненным циклом пользователей. Управление жизненным циклом включает подготовку, управление и отмену подготовки пользователей между клиентами с помощью доступных средств Azure, включая совместную работу Microsoft Entra B2B (B2B) и синхронизацию между клиентами.
Подготовка пользователей в одном клиенте Microsoft Entra предоставляет единое представление ресурсов и единый набор политик и элементов управления. Такой подход обеспечивает согласованное управление жизненным циклом пользователей.
Корпорация Майкрософт рекомендует один клиент по возможности. Наличие нескольких клиентов может привести к уникальным требованиям к совместной работе и управлению несколькими клиентами. Если консолидация до одного клиента Microsoft Entra невозможна, мультитенантные организации могут охватывать два или более клиентов Microsoft Entra по причинам, которые включают следующие.
- Слияния
- Приобретения
- Дивституры
- Совместная работа между общедоступными, суверенными и региональными облаками
- Политические или организационные структуры, которые запрещают консолидацию в одном клиенте Microsoft Entra
Совместная работа Microsoft Entra B2B
Microsoft Entra B2B для совместной работы (B2B) позволяет безопасно предоставлять доступ к приложениям и службам вашей компании внешним пользователям. Когда пользователи могут поступать из любой организации, B2B помогает контролировать доступ к ИТ-среде и данным.
Вы можете использовать совместную работу B2B для предоставления внешнего доступа пользователям вашей организации для доступа к нескольким клиентам, которым вы управляете. Традиционно доступ внешнего пользователя B2B может авторизовать доступ к пользователям, которым ваша собственная организация не управляет. Однако доступ внешних пользователей может управлять доступом между несколькими клиентами, которыми управляет ваша организация.
Область путаницы с совместной работой Microsoft Entra B2B окружает свойства гостевого пользователя B2B. Разница между внутренними и внешними учетными записями пользователей и типами гостевых пользователей способствует путанице. Изначально все внутренние пользователи являются пользователями-участниками с атрибутом UserType , заданным как Member (пользователи-члены). Внутренний пользователь имеет учетную запись в идентификаторе Microsoft Entra, который является доверенным и проходит проверку подлинности в клиенте, где находится пользователь. Пользователь-член является лицензированным пользователем с разрешениями уровня участников по умолчанию в клиенте. Рассматривайте пользователей-участников как сотрудников вашей организации.
Вы можете пригласить внутреннего пользователя одного клиента в другой клиент в качестве внешнего пользователя. Внешний пользователь входит с помощью внешней учетной записи Microsoft Entra, социального удостоверения или другого внешнего поставщика удостоверений. Внешние пользователи проходят проверку подлинности за пределами клиента, в который вы приглашаете внешнего пользователя. В первом выпуске B2B все внешние пользователи были гостевого пользователя UserType (гостевые пользователи). Гостевые пользователи имеют ограниченные разрешения в клиенте. Например, гостевые пользователи не могут перечислять список всех пользователей или групп в каталоге клиента.
Для свойства UserType для пользователей B2B поддерживает перевернутый бит от внутреннего к внешнему, и наоборот, что способствует путанице.
Вы можете изменить внутреннего пользователя с пользователя-участника на гостевого пользователя. Например, вы можете иметь нелицензированного внутреннего гостевого пользователя с разрешениями гостевого уровня в клиенте, что полезно при предоставлении учетной записи пользователя и учетных данных пользователю, не являющемуся сотрудником вашей организации.
Внешний пользователь можно изменить с гостевого пользователя на пользователя-участника, предоставив внешний пользователь разрешения на уровне участников внешнему пользователю. Это изменение полезно при управлении несколькими клиентами для организации и необходимости предоставлять пользователям разрешения на уровне участников для всех клиентов. Это может произойти независимо от того, является ли пользователь внутренним или внешним в любом клиенте. Пользователям-членам может потребоваться больше лицензий.
Большая часть документации для B2B относится к внешнему пользователю в качестве гостевого пользователя. Он преобразует свойство UserType таким образом, что предполагает, что все гостевые пользователи являются внешними. Когда документация вызывает гостевого пользователя, предполагается, что это внешний гостевой пользователь. Эта статья специально и намеренно ссылается на внешних и внутренних пользователей и участников и гостевых пользователей.
Синхронизация между клиентами
Синхронизация между клиентами позволяет мультитенантным организациям обеспечить простой доступ и взаимодействие с пользователями, используя существующие возможности внешней совместной работы B2B. Эта функция не позволяет выполнять синхронизацию между клиентами в национальных облаках Майкрософт (например, Microsoft 365 us government GCC High, DOD или Office 365 в Китае). Общие рекомендации по управлению мультитенантными пользователями см. в сценариях автоматической и пользовательской синхронизации между клиентами.
Посмотрите, как Arvind Harinder говорит о возможности синхронизации между клиентами в идентификаторе Microsoft Entra (внедренном ниже).
В следующих концептуальных и практических статьях содержатся сведения о совместной работе Microsoft Entra B2B и синхронизации между клиентами.
Концептуальные статьи
- Рекомендации по рекомендациям B2B по обеспечению оптимального интерфейса для пользователей и администраторов.
- Внешний общий доступ B2B и Office 365 объясняет сходство и различия между ресурсами общего доступа через B2B, Office 365 и SharePoint/OneDrive.
- Свойства пользователя совместной работы Microsoft Entra B2B описывают свойства и состояния внешнего объекта пользователя в идентификаторе Microsoft Entra. Описание содержит сведения до и после активации приглашения.
- Условный доступ для B2B описывает, как работает условный доступ и многофакторная проверка подлинности для внешних пользователей.
- Параметры доступа между клиентами обеспечивают детальный контроль над тем, как внешние организации Microsoft Entra сотрудничают с вами (входящий доступ) и как пользователи сотрудничают с внешними организациями Microsoft Entra (исходящий доступ).
- Общие сведения о синхронизации между клиентами объясняют, как автоматизировать создание, обновление и удаление пользователей совместной работы Microsoft Entra B2B в организации.
Статьи о руководствах
- Использование PowerShell для массового приглашения пользователей службы совместной работы Microsoft Entra B2B описывает, как использовать PowerShell для отправки массовых приглашений внешним пользователям.
- Принудительное применение многофакторной проверки подлинности для гостевых пользователей B2B объясняет, как использовать политики условного доступа и многофакторной проверки подлинности для принудительного применения уровней проверки подлинности клиента, приложения или отдельных внешних пользователей.
- Проверка подлинности однократного секретного кода электронной почты описывает, как функция однократного секретного кода электронной почты выполняет проверку подлинности внешних пользователей, если они не могут пройти проверку подлинности с помощью других средств, таких как Идентификатор Microsoft Entra, учетная запись Майкрософт или Федерация Google.
Терминология
Следующие термины в содержимом Майкрософт относятся к мультитенантной совместной работе в идентификаторе Microsoft Entra.
- Клиент ресурсов: клиент Microsoft Entra, содержащий ресурсы, которым пользователи хотят предоставить общий доступ другим пользователям.
- Домашний клиент: клиент Microsoft Entra, содержащий пользователей, которым требуется доступ к ресурсам в клиенте ресурсов.
- Внутренний пользователь: у внутреннего пользователя есть учетная запись, которая является авторитетной и проходит проверку подлинности в клиенте, где находится пользователь.
- Внешний пользователь: внешний пользователь имеет внешнюю учетную запись Microsoft Entra, социальное удостоверение или другого внешнего поставщика удостоверений для входа. Внешний пользователь проходит проверку подлинности где-то за пределами клиента, к которому вы пригласили внешнего пользователя.
- Пользователь-член: внутренний или внешний пользователь-член является лицензированным пользователем с разрешениями на уровне участников по умолчанию в клиенте. Рассматривайте пользователей-участников как сотрудников вашей организации.
- Гостевой пользователь: внутренний или внешний гостевой пользователь имеет ограниченные разрешения в клиенте. Гостевые пользователи не являются сотрудниками вашей организации (например, пользователями для партнеров). Большая часть документации B2B относится к гостям B2B, который в основном относится к внешним учетным записям гостевых пользователей.
- Управление жизненным циклом пользователей: процесс подготовки, управления и отмены доступа пользователей к ресурсам.
- Единая gal: каждый пользователь в каждом клиенте может видеть пользователей из каждой организации в глобальном списке адресов (GAL).
Выбор соответствия вашим требованиям
Уникальные требования вашей организации влияют на стратегию управления пользователями в клиентах. Чтобы создать эффективную стратегию, рассмотрите следующие требования.
- Количество клиентов
- Тип организации
- Текущие топологии
- Конкретные потребности синхронизации пользователей
Общие требования
Организации изначально сосредоточены на требованиях, которые им нужны для немедленной совместной работы. Иногда называются требованиями Day One , они сосредоточены на том, чтобы конечные пользователи могли плавно объединяться без прерывания их способности создавать значение. Определяя требования day One и административные требования, рассмотрите возможность включения следующих требований и потребностей.
Требования к обмену данными
- Единый глобальный список адресов: каждый пользователь может видеть всех остальных пользователей в gal в домашнем клиенте.
- Сведения о доступности и доступности: разрешить пользователям обнаруживать доступность друг друга. Это можно сделать с помощью связей организации в Exchange Online.
- Чат и присутствие: позволяет пользователям определять присутствие других пользователей и инициировать мгновенные сообщения. Настройте внешний доступ в Microsoft Teams.
- Забронировать ресурсы, такие как конференц-залы: разрешить пользователям забронировать конференц-залы или другие ресурсы в организации. Межтенантное резервирование конференц-зала в настоящее время недоступно в Exchange Online.
- Один домен электронной почты: разрешить всем пользователям отправлять и получать почту из одного домена электронной почты (например,
users@contoso.com
). Для отправки требуется решение для перезаписи адреса электронной почты.
Требования к доступу
- Доступ к документам. Предоставление пользователям общего доступа к документам из SharePoint, OneDrive и Teams.
- Администрирование. Позволяет администраторам управлять конфигурацией подписок и служб, развернутых в нескольких клиентах.
- Доступ к приложениям: разрешить конечным пользователям получать доступ к приложениям в организации.
- Единый вход: Разрешить пользователям получать доступ к ресурсам в организации без необходимости вводить дополнительные учетные данные.
Шаблоны для создания учетной записи
Механизмы Майкрософт для создания жизненного цикла внешних учетных записей пользователей и управления ими соответствуют трем общим шаблонам. Эти шаблоны можно использовать для определения и реализации требований. Выберите шаблон, который лучше всего соответствует вашему сценарию, а затем сосредоточьтесь на деталях шаблона.
Механизм | Описание | Лучшее, когда |
---|---|---|
Инициированный пользователем | Администраторы клиента ресурсов делегирует возможность приглашать внешних пользователей в клиент, приложение или ресурс пользователям в клиенте ресурса. Вы можете пригласить пользователей из домашнего клиента или самостоятельно зарегистрироваться. | Единый глобальный список адресов в день один не требуется. |
Сценарий | Администраторы клиента ресурсов развертывают скриптовый процесс извлечения для автоматизации обнаружения и подготовки внешних пользователей для поддержки сценариев общего доступа. | Небольшое количество клиентов (например, два). |
Автоматизированный | Администраторы клиента ресурсов используют систему подготовки удостоверений для автоматизации процессов подготовки и отмены подготовки. | Вам нужен единый глобальный список адресов для клиентов. |
Дальнейшие действия
- Многотенантные сценарии управления пользователями описывают три сценария, для которых можно использовать мультитенантные функции управления пользователями: инициированные пользователем, скрипты и автоматизированные.
- Общие рекомендации по управлению мультитенантными пользователями содержат рекомендации по следующим вопросам: синхронизация между клиентами, объект каталога, условный доступ Microsoft Entra, дополнительный контроль доступа и Office 365.
- Распространенные решения для мультитенантного управления пользователями, если единый клиент не работает для вашего сценария, в этой статье приводятся рекомендации по этим проблемам: автоматическое управление жизненным циклом пользователей и распределение ресурсов между клиентами, совместное использование локальных приложений между клиентами.
- Многотенантная синхронизация из Active Directory описывает различные локальные топологии и топологии Microsoft Entra, использующие Microsoft Entra Connect Sync в качестве решения интеграции с ключами.