Introduktion till användarhantering för flera klientorganisationer
Den här artikeln är den första i en serie artiklar som ger vägledning för att konfigurera och tillhandahålla användarlivscykelhantering i Microsoft Entra-miljöer med flera klientorganisationer. Följande artiklar i serien innehåller mer information enligt beskrivningen.
- Scenarier för hantering av flera klientanvändare beskriver tre scenarier där du kan använda funktioner för användarhantering med flera klientorganisationer: slutanvändarinitierade, skriptade och automatiserade.
- Vanliga överväganden för hantering av flera klienter ger vägledning för följande överväganden: synkronisering mellan klientorganisationer, katalogobjekt, villkorsstyrd åtkomst i Microsoft Entra, ytterligare åtkomstkontroll och Office 365.
- Vanliga lösningar för hantering av flera klienter när en enskild klientorganisation inte fungerar för ditt scenario. Den här artikeln innehåller vägledning för dessa utmaningar: automatisk hantering av användarlivscykel och resursallokering mellan klienter, delning av lokala appar mellan klientorganisationer.
Vägledningen hjälper dig att uppnå ett konsekvent tillstånd för användarlivscykelhantering. Livscykelhantering omfattar etablering, hantering och avetablering av användare mellan klienter med hjälp av tillgängliga Azure-verktyg som omfattar Microsoft Entra B2B-samarbete (B2B) och synkronisering mellan klientorganisationer.
Etablering av användare i en enda Microsoft Entra-klientorganisation ger en enhetlig vy över resurser och en enda uppsättning principer och kontroller. Den här metoden möjliggör konsekvent hantering av användarlivscykeln.
Microsoft rekommenderar en enskild klient när det är möjligt. Att ha flera klienter kan resultera i unika samarbets- och hanteringskrav för flera klienter. När konsolidering till en enskild Microsoft Entra-klientorganisation inte är möjlig kan flera klientorganisationer sträcka sig över två eller flera Microsoft Entra-klienter av orsaker som inkluderar följande.
- Fusioner
- Förvärv
- Avyttringar
- Samarbete mellan offentliga, nationella och regionala moln
- Politiska eller organisatoriska strukturer som förbjuder konsolidering till en enda Microsoft Entra-klientorganisation
Microsoft Entra B2B-samarbete
Med Microsoft Entra B2B-samarbete (B2B) kan du på ett säkert sätt dela företagets program och tjänster med externa användare. När användare kan komma från valfri organisation hjälper B2B dig att behålla kontrollen över åtkomsten till din IT-miljö och dina data.
Du kan använda B2B-samarbete för att ge organisationens användare extern åtkomst för att få åtkomst till flera klienter som du hanterar. Traditionellt kan B2B-extern användaråtkomst auktorisera åtkomst till användare som din egen organisation inte hanterar. Extern användaråtkomst kan dock hantera åtkomst över flera klientorganisationer som din organisation hanterar.
Ett område av förvirring med Microsoft Entra B2B-samarbete omger egenskaperna för en B2B-gästanvändare. Skillnaden mellan interna och externa användarkonton och medlemstyper jämfört med gästanvändare bidrar till förvirring. Till en början är alla interna användare medlemsanvändare med UserType-attributet inställt på Medlem (medlemsanvändare). En intern användare har ett konto i ditt Microsoft Entra-ID som är auktoritativt och autentiserar till klientorganisationen där användaren finns. En medlemsanvändare är en licensierad användare med standardbehörigheter på medlemsnivå i klientorganisationen. Behandla medlemsanvändare som anställda i din organisation.
Du kan bjuda in en intern användare av en klientorganisation till en annan klientorganisation som en extern användare. En extern användare loggar in med ett externt Microsoft Entra-konto, en social identitet eller en annan extern identitetsprovider. Externa användare autentiseras utanför klientorganisationen som du bjuder in den externa användaren till. Vid den första B2B-versionen var alla externa användare av UserType Guest (gästanvändare). Gästanvändare har begränsade behörigheter i klientorganisationen. Gästanvändare kan till exempel inte räkna upp listan över alla användare eller grupper i klientkatalogen.
För egenskapen UserType för användare har B2B stöd för att vända biten från intern till extern, och vice versa, vilket bidrar till förvirringen.
Du kan ändra en intern användare från medlemsanvändare till Gästanvändare. Du kan till exempel ha en olicensierad intern gästanvändare med behörigheter på gästnivå i klientorganisationen, vilket är användbart när du anger ett användarkonto och autentiseringsuppgifter till en person som inte är anställd i din organisation.
Du kan ändra en extern användare från gästanvändare till medlemsanvändare, vilket ger den externa användaren behörighet på medlemsnivå. Att göra den här ändringen är användbart när du hanterar flera klientorganisationer för din organisation och behöver ge en användare behörighet på medlemsnivå för alla klienter. Det här behovet kan inträffa oavsett om användaren är intern eller extern i en viss klientorganisation. Medlemsanvändare kan kräva fler licenser.
De flesta dokumentationen för B2B refererar till en extern användare som gästanvändare. Den sammanför egenskapen UserType på ett sätt som förutsätter att alla gästanvändare är externa. När dokumentationen anropar en gästanvändare förutsätter den att det är en extern gästanvändare. Den här artikeln refererar specifikt och avsiktligt till extern kontra intern användare och medlemsanvändare jämfört med gästanvändare.
Synkronisering mellan klientorganisationer
Synkronisering mellan klientorganisationer gör det möjligt för organisationer med flera klienter att tillhandahålla sömlös åtkomst och samarbetsupplevelse till slutanvändare med hjälp av befintliga funktioner för externt B2B-samarbete. Funktionen tillåter inte synkronisering mellan klientorganisationer i Microsofts nationella moln (till exempel Microsoft 365 US Government GCC High, DOD eller Office 365 i Kina). Se Vanliga överväganden för hantering av flera klienter för hjälp med automatiserade och anpassade synkroniseringsscenarier för flera klientorganisationer.
Se Arvind Harinder prata om synkroniseringen mellan klientorganisationer i Microsoft Entra ID (inbäddat nedan).
Följande konceptuella och instruktionsartiklar innehåller information om Microsoft Entra B2B-samarbete och synkronisering mellan klientorganisationer.
Konceptuella artiklar
- B2B-metodtips innehåller rekommendationer för att tillhandahålla den smidigaste upplevelsen för användare och administratörer.
- Extern delning i B2B och Office 365 förklarar likheterna och skillnaderna mellan delning av resurser via B2B, Office 365 och SharePoint/OneDrive.
- Egenskaper för en Microsoft Entra B2B-samarbetsanvändare beskriver egenskaperna och tillstånden för det externa användarobjektet i Microsoft Entra-ID. Beskrivningen innehåller information före och efter inlösen av inbjudan.
- Villkorsstyrd åtkomst för B2B beskriver hur villkorsstyrd åtkomst och multifaktorautentisering fungerar för externa användare.
- Åtkomstinställningar mellan klientorganisationer ger detaljerad kontroll över hur externa Microsoft Entra-organisationer samarbetar med dig (inkommande åtkomst) och hur dina användare samarbetar med externa Microsoft Entra-organisationer (utgående åtkomst).
- Översikt över synkronisering mellan klientorganisationer förklarar hur du automatiserar skapande, uppdatering och borttagning av Microsoft Entra B2B-samarbetsanvändare mellan klientorganisationer i en organisation.
Instruktioner för artiklar
- Använd PowerShell för att massinbjuda Microsoft Entra B2B-samarbetsanvändare beskriver hur du använder PowerShell för att skicka massinbjudningar till externa användare.
- Framtvinga multifaktorautentisering för B2B-gästanvändare förklarar hur du kan använda principer för villkorlig åtkomst och multifaktorautentisering för att framtvinga klient-, app- eller enskilda externa användarautentiseringsnivåer.
- E-postautentisering med engångslösenord beskriver hur funktionen E-postlösenord autentiserar externa användare när de inte kan autentisera på andra sätt som Microsoft Entra-ID, ett Microsoft-konto eller Google Federation.
Terminologi
Följande termer i Microsoft-innehåll refererar till samarbete med flera klientorganisationer i Microsoft Entra-ID.
- Resursklient: Microsoft Entra-klientorganisationen som innehåller de resurser som användarna vill dela med andra.
- Hemklientorganisation: Microsoft Entra-klientorganisationen som innehåller användare som kräver åtkomst till resurserna i resursklientorganisationen.
- Intern användare: En intern användare har ett konto som är auktoritativt och autentiserar till klientorganisationen där användaren finns.
- Extern användare: En extern användare har ett externt Microsoft Entra-konto, en social identitet eller en annan extern identitetsprovider för att logga in. Den externa användaren autentiserar någonstans utanför klientorganisationen som du har bjudit in den externa användaren till.
- Medlemsanvändare: En intern eller extern medlemsanvändare är en licensierad användare med standardbehörigheter på medlemsnivå i klientorganisationen. Behandla medlemsanvändare som anställda i din organisation.
- Gästanvändare: En intern eller extern gästanvändare har begränsade behörigheter i klientorganisationen. Gästanvändare är inte anställda i din organisation (till exempel användare för partner). De flesta B2B-dokumentationen avser B2B-gäster, som främst refererar till externa gästanvändarkonton.
- Användarlivscykelhantering: Processen för etablering, hantering och avetablering av användaråtkomst till resurser.
- Enhetlig GAL: Varje användare i varje klientorganisation kan se användare från varje organisation i sin globala adresslista (GAL).
Bestämma hur du ska uppfylla dina krav
Organisationens unika krav påverkar din strategi för att hantera användare mellan klienter. Tänk på följande krav för att skapa en effektiv strategi.
- Antal klienter
- Typ av organisation
- Aktuella topologier
- Specifika användarsynkroniseringsbehov
Vanliga krav
Organisationer fokuserar inledningsvis på de krav som de vill ha för omedelbart samarbete. Ibland kallas dag ett-krav , de fokuserar på att göra det möjligt för slutanvändare att smidigt slå samman utan att avbryta sin förmåga att generera värde. När du definierar dag ett och administrativa krav bör du överväga att inkludera följande krav och behov.
Kommunikationskrav
- Enhetlig global adresslista: Varje användare kan se alla andra användare i GAL i sin hemklientorganisation.
- Ledig/upptagen-information: Gör det möjligt för användare att identifiera varandras tillgänglighet. Du kan göra det med organisationsrelationer i Exchange Online.
- Chatt och närvaro: Gör det möjligt för användare att fastställa andras närvaro och initiera snabbmeddelanden. Konfigurera via extern åtkomst i Microsoft Teams.
- Boka resurser som mötesrum: Gör det möjligt för användare att boka konferensrum eller andra resurser i organisationen. Bokning av konferensrum mellan innehavare är för närvarande inte tillgängligt i Exchange Online.
- Domän för enskild e-post: Gör det möjligt för alla användare att skicka och ta emot e-post från en enda e-postdomän (till exempel
users@contoso.com). För att skicka krävs en lösning för omskrivning av e-postadress.
Åtkomstkrav
- Dokumentåtkomst: Gör det möjligt för användare att dela dokument från SharePoint, OneDrive och Teams.
- Administration: Tillåt administratörer att hantera konfigurationen av prenumerationer och tjänster som distribuerats över flera klientorganisationer.
- Programåtkomst: Tillåt slutanvändare att komma åt program i hela organisationen.
- Enkel inloggning: Gör det möjligt för användare att komma åt resurser i hela organisationen utan att behöva ange fler autentiseringsuppgifter.
Mönster för att skapa konto
Microsofts mekanismer för att skapa och hantera livscykeln för dina externa användarkonton följer tre vanliga mönster. Du kan använda dessa mönster för att definiera och implementera dina krav. Välj det mönster som bäst överensstämmer med ditt scenario och fokusera sedan på mönsterinformationen.
| Mekanism | Beskrivning | Bäst när |
|---|---|---|
| Slutanvändarinitierad | Resursklientadministratörer delegerar möjligheten att bjuda in externa användare till klientorganisationen, en app eller en resurs till användare i resursklientorganisationen. Du kan bjuda in användare från hemklientorganisationen eller registrera dem individuellt. | Enhetlig global adresslista på dag ett krävs inte. |
| Skript | Resursklientadministratörer distribuerar en skriptad pull-process för att automatisera identifiering och etablering av externa användare för att stödja delningsscenarier. | Ett litet antal klienter (till exempel två). |
| Automatiserad | Resursklientadministratörer använder ett identitetsetableringssystem för att automatisera etablerings- och avetableringsprocesserna. | Du behöver enhetlig global adresslista mellan klienter. |
Nästa steg
- Scenarier för hantering av flera klientanvändare beskriver tre scenarier där du kan använda funktioner för användarhantering med flera klientorganisationer: slutanvändarinitierade, skriptade och automatiserade.
- Vanliga överväganden för hantering av flera klienter ger vägledning för följande överväganden: synkronisering mellan klientorganisationer, katalogobjekt, villkorsstyrd åtkomst i Microsoft Entra, ytterligare åtkomstkontroll och Office 365.
- Vanliga lösningar för hantering av flera klienter när en enskild klientorganisation inte fungerar för ditt scenario. Den här artikeln innehåller vägledning för dessa utmaningar: automatisk hantering av användarlivscykel och resursallokering mellan klienter, delning av lokala appar mellan klientorganisationer.
- Multitenantsynkronisering från Active Directory beskriver olika lokala och Microsoft Entra-topologier som använder Microsoft Entra Connect Sync som nyckelintegreringslösning.