Funktioner för flera klientorganisationer i Microsoft Entra-ID

  • Artikel

Den här artikeln innehåller en översikt över scenariot med flera klientorganisationer och relaterade funktioner i Microsoft Entra-ID.

Vad är en klientorganisation?

En klientorganisation är en instans av Microsoft Entra-ID där information om en enskild organisation finns, inklusive organisationsobjekt som användare, grupper och enheter samt programregistreringar, till exempel Microsoft 365- och tredjepartsprogram. En klientorganisation innehåller också åtkomst- och efterlevnadsprinciper för resurser, till exempel program som är registrerade i katalogen. De primära funktionerna som hanteras av en klientorganisation omfattar identitetsautentisering samt resursåtkomsthantering.

Ur ett Microsoft Entra-perspektiv utgör en klientorganisation ett omfång för identitets- och åtkomsthantering. En klientadministratör gör till exempel ett program tillgängligt för vissa eller alla användare i klientorganisationen och tillämpar åtkomstprinciper för programmet för användare i den klientorganisationen. Dessutom innehåller en klientorganisation organisationsanpassningsdata som driver slutanvändarupplevelser, till exempel organisationens e-postdomäner och SharePoint-URL:er som används av anställda i organisationen. Från ett Microsoft 365-perspektiv utgör en klientorganisation standardgränsen för samarbete och licensiering. Användare i Microsoft Teams eller Microsoft Outlook kan till exempel enkelt hitta och samarbeta med andra användare i klientorganisationen, men de kan inte hitta eller se användare i andra klientorganisationer.

Klientorganisationer innehåller privilegierade organisationsdata och är säkert isolerade från andra klienter. Dessutom kan klientorganisationer konfigureras så att data bevaras och bearbetas i en viss region eller ett visst moln, vilket gör det möjligt för organisationer att använda klienter som en mekanism för att uppfylla kraven på datahemvist och hantering av efterlevnad.

Vad är en organisation med flera klientorganisationer?

En organisation med flera klientorganisationer är en organisation som har mer än en instans av Microsoft Entra-ID. Här är de främsta orsakerna till varför en organisation kan ha flera klienter:

  • Konglomerat: Organisationer med flera dotterbolag eller affärsenheter som arbetar oberoende av varandra.
  • Fusioner och förvärv: Organisationer som slår samman eller förvärvar företag.
  • Avyttringsaktivitet: I en avyttring delar en organisation upp en del av sin verksamhet för att bilda en ny organisation eller sälja den till en befintlig organisation.
  • Flera moln: Organisationer som har efterlevnad eller regelkrav måste finnas i flera molnmiljöer.
  • Flera geografiska gränser: Organisationer som arbetar på flera geografiska platser med olika regler för hemvist.
  • Testa eller mellanlagringsklientorganisationer: Organisationer som behöver flera klientorganisationer för testning eller mellanlagring innan de distribueras bredare till primära klienter.
  • Avdelnings- eller medarbetarskapade klienter: Organisationer där avdelningar eller anställda har skapat klienter för utveckling, testning eller separat kontroll.

Utmaningar för flera klientorganisationer

Din organisation kan nyligen ha förvärvat ett nytt företag, slagits samman med ett annat företag eller omstrukturerats baserat på nybildade affärsenheter. Om du har olika identitetshanteringssystem kan det vara svårt för användare i olika klienter att komma åt resurser och samarbeta.

Följande diagram visar hur användare i andra klienter kanske inte kan komma åt program mellan klientorganisationer i din organisation.

Diagram som visar användare som inte kan komma åt program mellan klientorganisationer.

I takt med att din organisation utvecklas måste IT-teamet anpassa sig efter de föränderliga behoven. Detta omfattar ofta integrering med en befintlig klientorganisation eller att skapa en ny. Oavsett hur identitetsinfrastrukturen hanteras är det viktigt att användarna får en smidig upplevelse av att komma åt resurser och samarbeta. I dag kanske du använder anpassade skript eller lokala lösningar för att sammanföra klientorganisationer för att ge en sömlös upplevelse mellan klientorganisationer.

B2B-direktanslutning

Om du vill att användare mellan klienter ska kunna samarbeta i Teams Anslut delade kanaler kan du använda Microsoft Entra B2B direct connect. B2B Direct Connect är en funktion i externa identiteter som gör att du kan konfigurera en ömsesidig förtroenderelation med en annan Microsoft Entra-organisation för sömlöst samarbete i Teams. När förtroendet har upprättats har B2B Direct Connect-användaren enkel inloggningsåtkomst med autentiseringsuppgifter från sin hemklientorganisation.

Här är den primära begränsningen med att använda B2B-direktanslutning mellan flera klienter:

  • För närvarande fungerar B2B-direktanslutning endast med Teams Anslut delade kanaler.

Diagram som visar hur du använder B2B-direktanslutning mellan klienter.

Mer information finns i översikten över B2B-direktanslutning.

B2B-samarbete

Om du vill att användare mellan klienter ska kunna samarbeta kan du använda Microsoft Entra B2B-samarbete. B2B-samarbete är en funktion i externa identiteter som gör att du kan bjuda in gästanvändare att samarbeta med din organisation. När den externa användaren har löst in sin inbjudan eller slutfört registreringen representeras de i din klientorganisation som ett användarobjekt. Med B2B-samarbete kan du på ett säkert sätt dela företagets program och tjänster med externa användare, samtidigt som du behåller kontrollen över dina egna företagsdata.

Här är de primära begränsningarna med att använda B2B-samarbete mellan flera klienter:

  • Administratörer måste bjuda in användare med B2B-inbjudan eller skapa en registreringsupplevelse med hjälp av B2B-samarbetsinbjudan.
  • Administratörer kan behöva synkronisera användare med hjälp av anpassade skript.
  • Beroende på inställningar för automatisk inlösning kan användarna behöva godkänna en medgivandeprompt och följa en inlösningsprocess i varje klientorganisation.
  • Som standard är användare av typen extern gäst, som har andra behörigheter än extern medlem och kanske inte är önskad användarupplevelse.

Diagram som visar hur du använder B2B-samarbete mellan klienter.

Mer information finns i översikten över B2B-samarbete.

Synkronisering mellan klienter

Om du vill att användarna ska ha en smidigare samarbetsupplevelse mellan klientorganisationer kan du använda synkronisering mellan klientorganisationer. Synkronisering mellan klientorganisationer är en enkelriktad synkroniseringstjänst i Microsoft Entra-ID som automatiserar skapande, uppdatering och borttagning av B2B-samarbetsanvändare mellan klientorganisationer i en organisation. Synkronisering mellan klientorganisationer bygger på B2B-samarbetsfunktionerna och använder befintliga B2B-åtkomstinställningar för flera klientorganisationer. Användare representeras i målklientorganisationen som ett B2B-samarbetsanvändarobjekt.

Här är de främsta fördelarna med att använda synkronisering mellan klientorganisationer:

  • Skapa automatiskt B2B-samarbetsanvändare i din organisation och ge dem åtkomst till de program de behöver, utan att skapa och underhålla anpassade skript.
  • Förbättra användarupplevelsen och se till att användarna kan komma åt resurser, utan att få en e-postinbjudan och måste acceptera en medgivandeprompt i varje klientorganisation.
  • Uppdatera användare automatiskt och ta bort dem när de lämnar organisationen.

Här är de primära begränsningarna med att använda synkronisering mellan klientorganisationer mellan flera klienter:

  • Förbättrar inte de aktuella Teams- eller Microsoft 365-upplevelserna. Synkroniserade användare kommer att ha samma Teams- och Microsoft 365-upplevelser mellan klienterna som alla andra B2B-samarbetsanvändare.
  • Synkroniserar inte grupper, enheter eller kontakter.

Diagram som visar hur du använder synkronisering mellan klientorganisationer mellan klienter.

Mer information finns i Vad är synkronisering mellan klientorganisationer?.

Organisation för flera klientorganisationer

Multitenant-organisation är en funktion i Microsoft Entra-ID och Microsoft 365 som gör att du kan bilda en klientgrupp i din organisation. Varje par med klienter i gruppen styrs av åtkomstinställningar mellan klientorganisationer som du kan använda för att konfigurera B2B- eller synkronisering mellan klientorganisationer.

Här är de främsta fördelarna med en organisation med flera klientorganisationer:

  • Särskilja externa användare i organisationen och utanför organisationen
  • Förbättrad samarbetsupplevelse i nya Microsoft Teams
  • Förbättrad personsökningsupplevelse mellan klienter

Diagram som visar en topologi för flera klientorganisationer och inställningar för åtkomst mellan klientorganisationer.

Mer information finns i Vad är en organisation med flera klientorganisationer i Microsoft Entra-ID?.

Jämföra funktioner för flera klientorganisationer

Beroende på organisationens behov kan du använda valfri kombination av B2B-direktanslutning, B2B-samarbete, synkronisering mellan klientorganisationer och funktioner för flera klientorganisationer. B2B-direktanslutning och B2B-samarbete är oberoende funktioner, medan synkronisering mellan klientorganisationer och funktioner för flera klientorganisationer är oberoende av varandra, även om båda förlitar sig på underliggande B2B-samarbete.

I följande tabell jämförs funktionerna i varje funktion. Mer information om olika externa identitetsscenarier finns i Jämföra funktionsuppsättningar för externa identiteter.

B2B-direktanslutning
(Org-to-org externt eller internt)		 B2B-samarbete
(Org-to-org externt eller internt)		 Synkronisering mellan klienter
(Internt i organisationen)		 Organisation för flera klientorganisationer
(Internt i organisationen)
Syfte Användare kan komma åt Teams Anslut delade kanaler som finns i externa klientorganisationer. Användare kan komma åt appar/resurser som finns i externa klientorganisationer, vanligtvis med begränsade gästbehörigheter. Beroende på inställningar för automatisk inlösning kan användarna behöva godkänna en medgivandeprompt i varje klientorganisation. Användare kan sömlöst komma åt appar/resurser i samma organisation, även om de finns i olika klientorganisationer. Användare kan samarbeta sömlöst i en organisation med flera klientorganisationer i nya Teams och personsökningar.
Värde Möjliggör externt samarbete i Teams Anslut endast delade kanaler. Enklare för administratörer eftersom de inte behöver hantera B2B-användare. Möjliggör externt samarbete. Mer kontroll och övervakning för administratörer genom att hantera B2B-samarbetsanvändare. Administratörer kan begränsa åtkomsten som dessa externa användare har till sina appar/resurser. Möjliggör samarbete mellan organisationens klientorganisationer. Administratörerna behöver inte bjuda in och synkronisera användare manuellt mellan klientorganisationerna för att säkerställa kontinuerlig åtkomst till appar/resurser i organisationen. Möjliggör samarbete mellan organisationens klientorganisationer. Administratörer fortsätter att ha fullständig konfigurationsförmåga via inställningar för åtkomst mellan klientorganisationer. Valfria åtkomstmallar mellan klientorganisationer tillåter förkonfiguration av åtkomstinställningar mellan klientorganisationer.
Arbetsflöde för primär administratör Konfigurera åtkomst mellan klientorganisationer för att ge externa användare inkommande åtkomst till klientorganisationens autentiseringsuppgifter för sin hemklientorganisation. Lägg till externa användare i resursklientorganisationen med hjälp av B2B-inbjudan eller skapa en egen introduktionsupplevelse med hjälp av B2B-samarbetsinbjudan. Konfigurera synkroniseringsmotorn mellan klientorganisationer för att synkronisera användare mellan flera klienter som B2B-samarbetsanvändare. Skapa en organisation med flera klienter, lägg till (bjud in) klienter, gå med i en organisation med flera klienter. Utnyttja befintliga B2B-samarbetsanvändare eller använd synkronisering mellan klientorganisationer för att etablera B2B-samarbetsanvändare.
Förtroendenivå Mitt förtroende. B2B-direktanslutningsanvändare är mindre lätta att spåra, vilket ger en viss förtroendenivå hos den externa organisationen. Lågt till mitten förtroende. Användarobjekt kan spåras enkelt och hanteras med detaljerade kontroller. Högt förtroende. Alla klienter är en del av samma organisation och användare beviljas vanligtvis medlemsåtkomst till alla appar/resurser. Högt förtroende. Alla klienter är en del av samma organisation och användare beviljas vanligtvis medlemsåtkomst till alla appar/resurser.
Effekt på användare Användare får åtkomst till resursklientorganisationen med hjälp av autentiseringsuppgifterna för sin hemklientorganisation. Användarobjekt skapas inte i resursklientorganisationen. Externa användare läggs till i en klientorganisation som B2B-samarbetsanvändare. Inom samma organisation synkroniseras användare från sin hemklientorganisation till resursklientorganisationen som B2B-samarbetsanvändare. Inom samma organisation för flera klientorganisationer kan B2B-samarbetsanvändare, särskilt medlemsanvändare, dra nytta av förbättrat och sömlöst samarbete i Microsoft 365.
Användartyp B2B-direktanslutningsanvändare
- Ej tillämpligt		 B2B-samarbetsanvändare
- Extern medlem
– Extern gäst (standard)		 B2B-samarbetsanvändare
– Extern medlem (standard)
- Extern gäst		 B2B-samarbetsanvändare
– Extern medlem (standard)
- Extern gäst

Följande diagram visar hur funktioner för B2B-direktanslutning, B2B-samarbete och synkronisering mellan klientorganisationer kan användas tillsammans.

Diagram som visar olika funktioner för flera klientorganisationer.

Terminologi

För att bättre förstå multitenant-organisationsscenario relaterade Microsoft Entra-funktioner kan du gå tillbaka till följande lista med termer.

Period Definition
tenant En instans av Microsoft Entra-ID.
organization Den översta nivån i en affärshierarki.
organisation för flera klientorganisationer En organisation som har mer än en instans av Microsoft Entra-ID, samt en möjlighet att gruppera dessa instanser i Microsoft Entra-ID.
skaparklient Klientorganisationen som skapade organisationen för flera klienter.
ägarklientorganisation En klientorganisation med ägarrollen. Ursprungligen skaparens klientorganisation.
lade till klientorganisation En klientorganisation som har lagts till av en ägarklientorganisation.
joiner-klientorganisation En klientorganisation som ansluter till organisationen för flera klienter.
join-begäran En anslutningsprogram eller en tillagd klient skickar en anslutningsbegäran för att ansluta till organisationen med flera klienter.
väntande klientorganisation En klientorganisation som har lagts till av en ägare men som ännu inte har anslutits.
aktiv klientorganisation En klientorganisation som har skapat eller anslutit till organisationen för flera klienter.
medlemsklientorganisation En klientorganisation med medlemsrollen. De flesta anslutningsklientorganisationer börjar som medlemmar.
klientorganisation för flera klienter En aktiv klientorganisation för organisationen med flera klienter som inte väntar.
synkronisering mellan klientorganisationer En enkelriktad synkroniseringstjänst i Microsoft Entra-ID som automatiserar skapande, uppdatering och borttagning av B2B-samarbetsanvändare mellan klientorganisationer i en organisation.
Åtkomstinställningar för flera klientorganisationer Inställningar för att hantera samarbete för specifika Microsoft Entra-organisationer.
Mall för inställningar för åtkomst mellan klientorganisationer En valfri mall för att förkonfigurera åtkomstinställningar mellan klientorganisationer som tillämpas på alla partnerklientorganisationer som nyligen anslutit till organisationen för flera klientorganisationer.
organisationsinställningar Åtkomstinställningar mellan klientorganisationer för specifika Microsoft Entra-organisationer.
konfiguration Ett program och ett underliggande huvudnamn för tjänsten i Microsoft Entra-ID som innehåller de inställningar (till exempel målklientorganisation, användaromfång och attributmappningar) som behövs för synkronisering mellan klientorganisationer.
etablering Processen att automatiskt skapa eller synkronisera objekt över en gräns.
automatisk inlösen En B2B-inställning för att automatiskt lösa in inbjudningar så att nyskapade användare inte får ett e-postmeddelande med inbjudan eller måste acceptera en medgivandeprompt när de läggs till i en målklientorganisation.

Nästa steg