Çok kiracılı kullanıcı yönetimi senaryoları

Bu makale, Microsoft Entra çok kiracılı ortamlarda kullanıcı yaşam döngüsü yönetimi yapılandırmak ve sağlamak için rehberlik sağlayan bir dizi makalenin ikincisidir. Serideki aşağıdaki makaleler, açıklandığı gibi daha fazla bilgi sağlar.

• Çok kiracılı kullanıcı yönetimine giriş , Microsoft Entra çok kiracılı ortamlarda kullanıcı yaşam döngüsü yönetimi yapılandırma ve sağlama konusunda rehberlik sağlayan makale serisinin ilkidir.
• Çok kiracılı kullanıcı yönetimiyle ilgili sık dikkat edilmesi gerekenler şu noktalar için rehberlik sağlar: kiracılar arası eşitleme, dizin nesnesi, Microsoft Entra Koşullu Erişim, ek erişim denetimi ve Office 365.
• Senaryonuzda tek kiracılı çalışmadığında çok kiracılı kullanıcı yönetimi için yaygın çözümler sunan bu makalede şu zorluklara yönelik yönergeler sağlanır: kiracılar arasında otomatik kullanıcı yaşam döngüsü yönetimi ve kaynak ayırma, şirket içi uygulamaları kiracılar arasında paylaşma.

Bu kılavuz, tutarlı bir kullanıcı yaşam döngüsü yönetimi durumuna ulaşmanıza yardımcı olur. Yaşam döngüsü yönetimi, Microsoft Entra B2B işbirliği (B2B) ve kiracılar arası eşitleme içeren kullanılabilir Azure araçlarını kullanarak kiracılar arasında kullanıcıların sağlanmasını, yönetilmesini ve sağlamasını kaldırmayı içerir.

Bu makalede, çok kiracılı kullanıcı yönetimi özelliklerini kullanabileceğiniz üç senaryo açıklanmaktadır.

• Son kullanıcı tarafından başlatılan
• Komut dosyası
• Otomatik

Son kullanıcı tarafından başlatılan senaryo

Kullanıcı tarafından başlatılan son senaryolarda, kaynak kiracı yöneticileri belirli yetenekleri kiracıdaki kullanıcılara devreder. Yöneticiler, son kullanıcıların dış kullanıcıları kiracıya, uygulamaya veya kaynağa davet etmelerini sağlar. Ev kiracısından kullanıcıları davet edebilir veya bireysel olarak kaydolabilir.

Örneğin, küresel bir profesyonel hizmet firması projeler üzerinde taşeronlarla işbirliği içindedir. Taşeronlar (dış kullanıcılar) firmanın başvuru ve belgelerine erişim gerektirir. Firma yöneticileri, son kullanıcılarına alt yüklenicileri davet etme veya alt yüklenici kaynak erişimi için self servis yapılandırma yetkisi verebilir.

Sağlama hesapları

Son kullanıcıları kiracı kaynaklarına erişmeye davet etmek için en yaygın kullanılan yöntemler aşağıdadır.

• Uygulama tabanlı davetler. Microsoft uygulamaları (Teams ve SharePoint gibi) dış kullanıcı davetlerini etkinleştirebilir. B2B davet ayarlarını hem Microsoft Entra B2B'de hem de ilgili uygulamalarda yapılandırın.
• MyApps. Kullanıcılar MyApps kullanarak dış kullanıcıları davet edebilir ve uygulamalara atayabilir. Kullanıcı hesabının uygulama self servis kaydolma onaylayıcı izinlerine sahip olması gerekir. Grup sahipleri dış kullanıcıları gruplarına davet edebilir.
• Yetkilendirme yönetimi. Yöneticilerin veya kaynak sahiplerinin kaynaklar, izin verilen dış kuruluşlar, dış kullanıcı süre sonu ve erişim ilkeleriyle erişim paketleri oluşturmasına olanak tanıyın. Dış kullanıcı self servis kaynak erişimine kaydolmayı etkinleştirmek için erişim paketlerini yayımlayın.
• Azure portalı. Konuk Davet Eden rolüne sahip son kullanıcılar Azure portalında oturum açabilir ve Microsoft Entra Id'deki Kullanıcılar menüsünden dış kullanıcıları davet edebilir.
• Program aracılığıyla (PowerShell, Graph API). Konuk Davet Eden rolüne sahip son kullanıcılar dış kullanıcıları davet etmek için PowerShell veya Graph API'sini kullanabilir.

Davetleri kullanma

Bir kaynağa erişmek için hesaplar sağladığınızda, e-posta davetleri davet edilen kullanıcının e-posta adresine gider.

Davet edilen bir kullanıcı davet aldığında, e-postada yer alan bağlantıyı kullanarak kullanım URL'sine gidebilir. Bunu yaparken, davet edilen kullanıcı daveti onaylayabilir veya reddedebilir ve gerekirse bir dış kullanıcı hesabı oluşturabilir.

Davet edilen kullanıcılar, aşağıdaki senaryolardan biri doğruysa tam zamanında (JIT) kullanım olarak adlandırılan kaynağa doğrudan erişmeyi de deneyebilir.

• Davet edilen kullanıcının zaten bir Microsoft Entra Kimliği veya Microsoft hesabı var veya
• Yöneticiler tek seferlik e-posta geçiş kodlarını etkinleştirdi.

JIT kullanım sırasında aşağıdaki noktalar geçerli olabilir.

• Yöneticiler onay istemlerini engellemediyse, kullanıcının kaynağa erişmeden önce onay vermesi gerekir.
• İzin verilenler listesi veya engelleme listesi kullanarak belirli kuruluşların dış kullanıcıların davetlerine izin verebilir veya davetleri engelleyebilirsiniz.

Daha fazla bilgi için bkz . Microsoft Entra B2B işbirliği daveti kullanımı.

Tek seferlik geçiş kodu kimlik doğrulamasını etkinleştirme

Geçici B2B'ye izin verebileceğiniz senaryolarda, e-postanın tek seferlik geçiş kodu kimlik doğrulamasını etkinleştirin. Bu özellik, aşağıdakiler gibi başka yollarla kimliklerini doğrulayamazsanız dış kullanıcıların kimliklerini doğrular:

• Microsoft Entra ID.
• Microsoft hesabı.
• Google Federasyonu aracılığıyla Gmail hesabı.
• Doğrudan Federasyon aracılığıyla Güvenlik Onaylama İşaretleme Dili (SAML)/WS-Fed IDP'sinden hesap.

Bir kerelik geçiş kodu kimlik doğrulamasıyla, Microsoft hesabı oluşturmak gerekmez. Dış kullanıcı bir daveti aldığında veya paylaşılan bir kaynağa eriştiğinde, e-posta adresinde geçici bir kod alır. Ardından oturum açmaya devam etmek için kodu girerler.

Firmaları yönetme

Son kullanıcı tarafından başlatılan senaryoda, kaynak kiracı yöneticisi kaynak kiracıdaki dış kullanıcı hesaplarını yönetir (ana kiracıdaki güncelleştirilmiş değerlere göre güncelleştirilmez). Alınan tek görünür öznitelikler e-posta adresi ve görünen addır.

Farklı senaryoları (yetkilendirme senaryoları gibi) kolaylaştırmak için dış kullanıcı nesnelerinde daha fazla öznitelik yapılandırabilirsiniz. Adres defterini kişi ayrıntılarıyla doldurmayı da ekleyebilirsiniz. Örneğin, aşağıdaki öznitelikleri göz önünde bulundurun.

• HiddenFromAddressListsEnabled [ShowInAddressList]
• Ad [GivenName]
• Soyadı [Soyadı]
• Başlık
• Departman
• TelephoneNumber

Dış kullanıcıları genel adres listesine (GAL) ve kişi aramasına (SharePoint Kişi Seçicisi gibi) eklemek için bu öznitelikleri ayarlayabilirsiniz. Diğer senaryolar farklı öznitelikler (erişim paketleri için yetkilendirmeleri ve izinleri ayarlama, Dinamik Grup Üyeliği ve SAML Talepleri gibi) gerektirebilir.

Varsayılan olarak GAL, davet edilen dış kullanıcıları gizler. Dış kullanıcı özniteliklerini birleşik GAL'ye dahil etmek için gizli olmayacak şekilde ayarlayın. Çok kiracılı kullanıcı yönetimiyle ilgili sık dikkat edilmesi gerekenler bölümünün Microsoft Exchange Online bölümünde, dış konuk kullanıcılar yerine dış üye kullanıcılar oluşturarak sınırları nasıl azaltabileceğiniz açıklanır.

Hesapların sağlamasını kaldırma

Kullanıcı tarafından başlatılan son senaryolar, erişim kararlarını merkezi olmayan bir şekilde belirler ve bu da dış kullanıcının ve ilişkili erişiminin ne zaman kaldırılacağına karar verme zorluğuna neden olabilir. Yetkilendirme yönetimi ve erişim gözden geçirmeleri , mevcut dış kullanıcıları ve bunların kaynak erişimini gözden geçirmenize ve kaldırmanıza olanak sağlar.

Yetkilendirme yönetimi dışındaki kullanıcıları davet ettiğinizde, erişimlerini gözden geçirmek ve yönetmek için ayrı bir işlem oluşturmanız gerekir. Örneğin, Microsoft 365'te SharePoint aracılığıyla bir dış kullanıcıyı doğrudan davet ederseniz, bu yetkilendirme yönetimi sürecinizde değildir.

Betikli senaryo

Betikli senaryoda, kaynak kiracı yöneticileri bulma ve dış kullanıcı sağlamayı otomatikleştirmek için betikli bir çekme işlemi dağıtır.

Örneğin, bir şirket bir rakip alır. Her şirketin tek bir Microsoft Entra kiracısı vardır. Kullanıcılar herhangi bir davet veya kullanım adımı gerçekleştirmek zorunda kalmadan aşağıdaki Birinci Gün senaryolarının çalışmasını ister. Tüm kullanıcıların yapabilecekleri:

• Sağlanan tüm kaynaklarda çoklu oturum açma özelliğini kullanın.
• Birleşik bir GAL'de birbirinizi ve kaynakları bulun.
• Birbirinizin iletişim durumunu belirleyin ve sohbet başlatın.
• Dinamik üyelik gruplarını temel alan uygulamalara erişin.

Bu senaryoda, her kuruluşun kiracısı mevcut çalışanlarının ana kiracısı olurken, diğer kuruluşun çalışanlarının kaynak kiracısı olur.

Sağlama hesapları

Delta Query ile kiracı yöneticileri, kaynak erişimini desteklemek üzere bulma ve kimlik sağlama işlemlerini otomatikleştirmek için betikli bir çekme işlemi dağıtabilir. Bu işlem, yeni kullanıcılar için ev kiracısını denetler. Aşağıdaki çok kiracılı topoloji diyagramında gösterildiği gibi kaynak kiracısında dış kullanıcılar olarak yeni kullanıcılar sağlamak için B2B Graph API'lerini kullanır.

Diyagram başlığı: çok kiracılı topoloji diyagramı. Sol tarafta Şirket A etiketli bir kutu iç kullanıcıları ve dış kullanıcıları içerir. Sağ tarafta Şirket B etiketli bir kutu iç kullanıcıları ve dış kullanıcıları içerir. A Şirketi ile B Şirketi arasında, A kullanıcılarını B'ye çekmek için A Şirketi'nden B Şirketine, Betik etiketiyle bir etkileşim yapılır. Başka bir etkileşim, B Kullanıcılarını A'ya çekmek için Betik etiketiyle B Şirketi'nden A Şirketine gider.

• Kiracı yöneticileri, her kiracının okumasına izin vermek için kimlik bilgilerini ve onayları önceden düzenler.
• Kiracı yöneticileri numaralandırmayı otomatikleştirir ve kapsamı belirlenmiş kullanıcıları kaynak kiracıya çeker.
• Kullanıcıları davet API'siyle okumak ve sağlamak için izin verilmiş izinlerle Microsoft Graph API'sini kullanın.
• İlk sağlama, kaynak öznitelikleri okuyabilir ve bunları hedef kullanıcı nesnesine uygulayabilir.

Firmaları yönetme

Kaynak kuruluşu, kaynak kiracısında kullanıcının meta veri özniteliklerini güncelleştirerek paylaşım senaryolarını desteklemek için profil verilerini genişletebilir. Ancak, devam eden eşitleme gerekiyorsa, eşitlenmiş bir çözüm daha iyi bir seçenek olabilir.

Hesapların sağlamasını kaldırma

Delta Sorgusu , dış kullanıcının sağlamasının kaldırılması gerektiğinde sinyal verebilir. Yetkilendirme yönetimi ve erişim gözden geçirmeleri , mevcut dış kullanıcıları ve kaynaklara erişimini gözden geçirmek ve kaldırmak için bir yol sağlayabilir.

Kullanıcıları yetkilendirme yönetimi dışında davet ederseniz, dış kullanıcı erişimini gözden geçirmek ve yönetmek için ayrı bir işlem oluşturun. Örneğin, dış kullanıcıyı Doğrudan Microsoft 365'teki SharePoint aracılığıyla davet ederseniz, yetkilendirme yönetimi sürecinizde değildir.

Otomatik senaryo

Kiracılar arasında eşitlenmiş paylaşım, bu makalede açıklanan desenlerin en karmaşıkıdır. Bu düzen, son kullanıcı tarafından başlatılan veya betiklenenden daha fazla otomatik yönetim ve sağlamayı kaldırma seçeneği sağlar.

Otomatik senaryolarda, kaynak kiracı yöneticileri sağlama ve sağlamayı kaldırma işlemlerini otomatikleştirmek için bir kimlik sağlama sistemi kullanır. Microsoft'un Ticari Bulut örneği içindeki senaryolarda kiracılar arası eşitlememiz vardır. Microsoft Bağımsız Bulut örneklerine yayılan senaryolarda, kiracılar arası eşitleme henüz bulutlar arası desteği olmadığından başka yaklaşımlara ihtiyacınız vardır.

Örneğin, bir Microsoft Ticari Bulut örneğinde, çok uluslu/bölgesel bir holdingin aşağıdaki gereksinimlere sahip birden çok yan kuruluşu vardır.

• Her birinin kendi Microsoft Entra kiracısı vardır ve birlikte çalışması gerekir.
• Kiracılar arasında yeni kullanıcıları eşitlemeye ek olarak, öznitelik güncelleştirmelerini otomatik olarak eşitleyin ve sağlamayı kaldırmayı otomatikleştirin.
• Bir çalışan artık yan kuruluşta değilse, sonraki eşitleme sırasında hesabını diğer tüm kiracılardan kaldırın.

Genişletilmiş, bulutlar arası bir senaryoda Savunma Sanayi Üssü (DIB) yüklenicisi, savunma tabanlı ve ticari tabanlı bir yan kuruluşa sahiptir. Bunlar rakip düzenleme gereksinimlerine sahiptir:

• ABD savunma işletmesi, Microsoft 365 US Government GCC High ve Azure Kamu gibi bir ABD Bağımsız Bulut kiracısında yer alır.
• Ticari işletme, global Azure bulutunda çalışan bir Microsoft Entra ortamı gibi Ticari'de ayrı bir Microsoft Entra kiracısında bulunur.

Bulutlar arası mimariye dağıtılmış tek bir şirket gibi hareket etmek için tüm kullanıcılar her iki kiracıyla da eşitlenir. Bu yaklaşım, her iki kiracıda birleştirilmiş GAL kullanılabilirliği sağlar ve kullanıcıların her iki kiracıyla da otomatik olarak eşitlenmesinin uygulamalar ve içerik için yetkilendirmeler ve kısıtlamalar içermesini sağlar. Örnek gereksinimler şunlardır:

• ABD çalışanları her iki kiracıya da yaygın erişime sahip olabilir.
• ABD dışı çalışanlar her iki kiracının birleşik GAL'sinde gösterilir ancak GCC High kiracısında korumalı içeriğe erişimi yoktur.

Bu senaryo, her iki kiracıdaki kullanıcıları uygun yetkilendirme ve veri koruma ilkeleriyle ilişkilendirirken yapılandırmak için otomatik eşitleme ve kimlik yönetimi gerektirir.

Bulutlar arası B2B, uzak bulut örneğinde işbirliği yapmak istediğiniz her kuruluş için Kiracılar Arası Erişim Ayarlarını yapılandırmanızı gerektirir.

Sağlama hesapları

Bu bölümde, otomatik senaryoda hesap sağlamayı otomatikleştirmeye yönelik üç teknik açıklanmaktadır.

Teknik 1: Microsoft Entra Id'de yerleşik kiracılar arası eşitleme özelliğini kullanma

Bu yaklaşım yalnızca eşitlemeniz gereken tüm kiracılar aynı bulut örneğinde (Ticariden Ticariye gibi) olduğunda çalışır.

Teknik 2: Microsoft Identity Manager ile hesap sağlama

Eşitleme altyapısı olarak Microsoft Identity Manager (MIM) gibi bir dış Kimlik ve Erişim Yönetimi (IAM) çözümü kullanın.

Bu gelişmiş dağıtım, eşitleme altyapısı olarak MIM kullanır. MIM, Microsoft Graph API'sini ve Exchange Online PowerShell'i çağırır. Alternatif uygulamalar, Microsoft Industry Solutions'ın bulutta barındırılan Active Directory Eşitleme Hizmeti (ADSS) yönetilen hizmetini içerebilir. Diğer IAM teklifleri (SailPoint, Omada ve OKTA gibi) ile sıfırdan oluşturabileceğiniz Microsoft dışı teklifler vardır.

Aşağıdaki diyagramda gösterildiği gibi, bir kiracıdan diğerine kimlik (kullanıcılar, kişiler ve gruplar) için buluttan buluta eşitleme gerçekleştirirsiniz.

Diyagram başlığı: Buluttan buluta kimlik eşitleme. Sol tarafta Şirket A etiketli bir kutu iç kullanıcıları ve dış kullanıcıları içerir. Sağ tarafta Şirket B etiketli bir kutu iç kullanıcıları ve dış kullanıcıları içerir. A Şirketi ile B Şirketi arasında, eşitleme altyapısı etkileşimleri Şirket A'dan B Şirketine ve B Şirketi'nden A Şirketine gider.

Bu makalenin kapsamı dışında olan önemli noktalar, şirket içi uygulamaların tümleştirilmesidir.

Teknik 3: Microsoft Entra Connect ile hesap sağlama

Bu teknik yalnızca geleneksel Windows Server tabanlı Active Directory Etki Alanı Hizmetleri'nde (AD DS) tüm kimliği yöneten karmaşık kuruluşlar için geçerlidir. Yaklaşım, aşağıdaki diyagramda gösterildiği gibi eşitleme altyapısı olarak Microsoft Entra Connect'i kullanır.

Diyagram başlığı: Microsoft Entra Connect ile hesap sağlama. Diyagramda dört ana bileşen gösterilmektedir. Soldaki kutu Müşteri'yi temsil eder. Sağdaki bulut şekli B2B Dönüştürme'yi temsil eder. Üst ortada, bulut şeklini içeren bir kutu Microsoft Ticari Bulut'u temsil eder. Alt merkezde, bulut şeklini içeren bir kutu Microsoft US Government Sovereign Cloud'u temsil eder. Müşteri kutusunun içinde, bir Windows Server Active Directory simgesi her birinde Microsoft Entra Connect etiketi bulunan iki kutuya bağlanır. Bağlantılar, her iki ucunda oklar ve yenileme simgesi bulunan kesikli kırmızı çizgilerdir. Microsoft Ticari Bulutu şeklinin içinde Microsoft Azure Ticari'yi temsil eden başka bir bulut şekli yer alır. İçinde Microsoft Entra Kimliğini temsil eden başka bir bulut şekli vardır. Microsoft Azure Ticari bulut şeklinin sağındaki Kutu, Office 365'i Ortak Çok Kiracılı etiketle temsil eder. Her iki ucunda oklar bulunan düz kırmızı çizgi, Office 365 kutusunu Microsoft Azure Ticari bulut şekline ve Karma İş Yükleri etiketine bağlar. Office 365 kutusundan Microsoft Entra bulut şekline iki kesikli çizgi bağlanır. Birinin sonunda Microsoft Entra Id'ye bağlanan bir ok vardır. Diğerinin her iki ucunda oklar vardır. Her iki ucunda oklar bulunan kesikli çizgi, Microsoft Entra bulut şeklini en üstteki Müşteri Microsoft Entra Connect kutusuna bağlar. Her iki ucunda oklar bulunan kesikli çizgi, Microsoft Ticari Bulut şeklini B2B Dönüştürme bulut şekline bağlar. Microsoft US Government Sovereign Cloud kutusunun içinde Microsoft Azure Kamu temsil eden başka bir bulut şekli yer alır. İçinde Microsoft Entra Kimliğini temsil eden başka bir bulut şekli vardır. Microsoft Azure Ticari bulut şeklinin sağındaki kutu, OFFICE 365'i temsil eden ve US Gov GCC-High L4 etiketli bir kutudur. Her iki ucunda oklar bulunan düz kırmızı çizgi, Office 365 kutusunu Microsoft Azure Kamu bulut şekline ve Karma İş Yükleri etiketine bağlar. Office 365 kutusundan Microsoft Entra bulut şekline iki kesikli çizgi bağlanır. Birinin sonunda Microsoft Entra Id'ye bağlanan bir ok vardır. Diğerinin her iki ucunda oklar vardır. Her iki ucunda oklar bulunan kesikli çizgi, Microsoft Entra bulut şeklini en alttaki Müşteri Microsoft Entra Connect kutusuna bağlar. Her iki ucunda oklar bulunan kesikli çizgi, Microsoft Ticari Bulut şeklini B2B Dönüştürme bulut şekline bağlar.

MIM tekniğinden farklı olarak, tüm kimlik kaynakları (kullanıcılar, kişiler ve gruplar) geleneksel Windows Server tabanlı Active Directory Etki Alanı Hizmetleri'nden (AD DS) gelir. AD DS dizini genellikle birden çok kiracının kimliğini yöneten karmaşık bir kuruluş için şirket içi bir dağıtımdır. Yalnızca bulut kimliği bu tekniğin kapsamında değildir. Eşitleme kapsamına dahil etmek için tüm kimliğin AD DS'de olması gerekir.

Kavramsal olarak, bu teknik bir kullanıcıyı iç üye kullanıcı (varsayılan davranış) olarak bir ev kiracısına eşitler. Alternatif olarak, kullanıcıyı dış kullanıcı (özelleştirilmiş davranış) olarak bir kaynak kiracısına eşitler.

Microsoft, Microsoft Entra Connect yapılandırmasında hangi değişikliklerin gerçekleştiği konusunda dikkat edilmesi gerekenler ile bu çift eşitleme kullanıcı tekniğini destekler. Örneğin, sihirbaz temelli kurulum yapılandırmasında değişiklik yaparsanız, bir destek olayı sırasında yapılandırmayı yeniden oluşturmanız gerekiyorsa değişiklikleri belgelemeniz gerekir.

Microsoft Entra Connect, kullanıma açık bir dış kullanıcıyı eşitleyemez. Kullanıcıları iç hesaplardan dış hesaplara dönüştürmek için bunu bir dış işlemle (PowerShell betiği gibi) artırmanız gerekir.

Bu tekniğin avantajları, Microsoft Entra Connect'in kimliği AD DS'de depolanan özniteliklerle eşitlemesini içerir. Eşitleme, kapsam içindeki tüm kiracılarda adres defteri özniteliklerini, yönetici özniteliklerini, grup üyeliklerini ve diğer karma kimlik özniteliklerini içerebilir. AD DS ile uyumlu kimlik sağlamasını kaldırıyor. Bu görev için bulut kimliğini yönetmek için daha karmaşık bir IAM çözümü gerekmez.

Microsoft Entra Connect'in kiracı başına bire bir ilişkisi vardır. Her kiracının, üye veya dış kullanıcı hesabı eşitlemesini desteklemek için ayrı ayrı değiştirebileceğiniz kendi Microsoft Entra Connect yapılandırması vardır.

Doğru topolojiyi seçme

Müşterilerin çoğu otomatik senaryolarda aşağıdaki topolojilerden birini kullanır.

• Ağ topolojisi, tüm kiracılardaki tüm kaynakların paylaşılmasına olanak tanır. Her kaynak kiracısında diğer kiracılardan dış kullanıcılar olarak kullanıcılar oluşturursunuz.
• Tek bir kaynak kiracı topolojisi, diğer kiracılardaki kullanıcıların dış kullanıcılar olduğu tek bir kiracı (kaynak kiracı) kullanır.

Çözümünüzü tasarlarken aşağıdaki tabloya karar ağacı olarak başvurun. Tabloyu takip eden diyagramlar, kuruluşunuz için en uygun olanı belirlemenize yardımcı olmak için her iki topolojiyi de gösterir.

Mesh ile tek kaynak kiracı topolojilerinin karşılaştırması

Dikkat edilmesi gereken noktalar	Örgü topolojisi	Tek kaynak kiracısı
Her şirketin kullanıcılar ve kaynaklarla ayrı Microsoft Entra kiracısı vardır	Yes	Yes
Kaynak konumu ve işbirliği
Paylaşılan uygulamalar ve diğer kaynaklar geçerli ev kiracılarında kalır	Yes	Hayır Kaynak kiracısında yalnızca uygulamaları ve diğer kaynakları paylaşabilirsiniz. Diğer kiracılarda kalan uygulamaları ve diğer kaynakları paylaşamazsınız.
Tümü tek tek şirketin GAL'lerinde (Birleşik GAL) görüntülenebilir	Yes	Hayır
Kaynak erişimi ve yönetimi
Microsoft Entra Id'ye bağlı TÜM uygulamaları tüm şirketler arasında paylaşabilirsiniz.	Yes	Hayır Yalnızca kaynak kiracıdaki uygulamalar paylaşılır. Diğer kiracılarda kalan uygulamaları paylaşamazsınız.
Genel kaynak yönetimi	Kiracı düzeyinde devam edin.	Kaynak kiracısında birleştirilmiş.
Lisanslama: Microsoft 365'te Office 365 SharePoint, birleşik GAL, Teams tüm destek konuklarına erişer; ancak diğer Exchange Online senaryoları bunu yapamaz.	Kiracı düzeyinde devam eder.	Kiracı düzeyinde devam eder.
Lisanslama: Microsoft Entra Id (premium)	İlk 50 K Aylık Etkin Kullanıcılar ücretsizdir (kiracı başına).	İlk 50 K Aylık Etkin Kullanıcılar ücretsizdir.
Lisanslama: hizmet olarak yazılım (SaaS) uygulamaları	Tek tek kiracılarda kalın, her kiracı için kullanıcı başına lisans gerekebilir.	Tüm paylaşılan kaynaklar tek kaynak kiracısında bulunur. Uygunsa lisansları tek bir kiracıda birleştirmeyi araştırabilirsiniz.

Örgü topolojisi

Aşağıdaki diyagramda mesh topolojisi gösterilmektedir.

Diyagram başlığı: Mesh topolojisi. Sol üst kısımda Şirket A etiketli bir kutu iç kullanıcıları ve dış kullanıcıları içerir. Sağ üst kısımda Şirket B etiketli bir kutu iç kullanıcıları ve dış kullanıcıları içerir. Sol altta, Şirket C etiketli bir kutu iç kullanıcıları ve dış kullanıcıları içerir. Sağ alt kısımda Şirket D etiketli bir kutu iç kullanıcıları ve dış kullanıcıları içerir. A Şirketi ile B Şirketi arasında ve Şirket C ile Şirket D arasında, soldaki şirketlerle sağdaki şirketler arasında eşitleme altyapısı etkileşimleri olur.

Bir ağ topolojisinde, her ev kiracısında yer alan her kullanıcı diğer kiracıların her biri ile eşitlenir ve bu da kaynak kiracısı olur.

• Kiracı içindeki herhangi bir kaynağı dış kullanıcılarla paylaşabilirsiniz.
• Her kuruluş, şirket içindeki tüm kullanıcıları görebilir. Yukarıdaki diyagramda, her biri ev kullanıcılarını ve diğer üç kiracıdaki dış kullanıcıları içeren dört birleşik GAL vardır.

Çok kiracılı kullanıcı yönetimiyle ilgili sık dikkat edilmesi gerekenler, bu senaryoda kullanıcıların sağlanması, yönetilmesi ve sağlamasını kaldırma hakkında bilgi sağlar.

Bulutlar arası ağ topolojisi

Ağ topolojisini iki kiracıya kadar kullanabilirsiniz. Örneğin, bağımsız bulutlar arası çözüme sahip bir DIB savunma yüklenicisi senaryosunda olduğu gibi. Mesh topolojisinde olduğu gibi, her bir ev kiracısında yer alan her kullanıcı diğer kiracıyla eşitlenir ve bu da bir kaynak kiracısı olur. Teknik 3 bölüm diyagramında genel Ticari kiracı iç kullanıcı, ABD bağımsız GCC High kiracısına dış kullanıcı hesabı olarak eşitlenir. Aynı zamanda GCC High iç kullanıcısı, Ticari ile dış kullanıcı hesabı olarak eşitlenir.

Diyagramda veri depolama konumları da gösterilmektedir. Veri kategorilere ayırma ve uyumluluk bu makalenin kapsamı dışındadır, ancak uygulamalara ve içeriğe yetkilendirmeler ve kısıtlamalar ekleyebilirsiniz. İçerik, bir iç kullanıcının kullanıcıya ait verilerinin bulunduğu konumları (exchange online posta kutusunda veya OneDrive'da depolanan veriler gibi) içerebilir. İçerik, kaynak kiracısında değil kendi ev kiracısında olabilir. Paylaşılan veriler iki kiracıda da yer alabilir. Erişim denetimi ve Koşullu Erişim ilkeleri aracılığıyla içeriğe erişimi kısıtlayabilirsiniz.

Tek kaynak kiracı topolojisi

Aşağıdaki diyagramda tek kaynak kiracı topolojisi gösterilmektedir.

Diyagram başlığı: Tek kaynak kiracı topolojisi. En üstte, Şirket A'yı temsil eden bir kutu üç kutu içerir. Sol tarafta, bir kutu tüm paylaşılan kaynakları temsil eder. Ortada bir kutu iç kullanıcıları temsil eder. Sağ tarafta bir kutu dış kullanıcıları temsil eder. Şirket A kutusunun altında eşitleme altyapısını temsil eden bir kutu bulunur. Eşitleme altyapısını Şirket A'ya bağlayan üç ok vardır. Eşitleme altyapısı kutusunun altında, diyagramın alt kısmında Şirket B, Şirket C ve Şirket D'yi temsil eden üç kutu bulunur. Ok, bunların her birini eşitleme altyapısı kutusuna bağlar. Alttaki şirket kutularının her birinin içinde bir etiket, Microsoft Graph API Exchange Online PowerShell ve iç kullanıcıları temsil eden simgeler bulunur.

Tek bir kaynak kiracı topolojisinde kullanıcılar ve öznitelikleri kaynak kiracısı ile eşitlenir (Yukarıdaki diyagramda A Şirketi).

• Üye kuruluşlar arasında paylaşılan tüm kaynakların tek kaynak kiracısında bulunması gerekir. Birden çok yan kuruluşun aynı SaaS uygulamalarına aboneliği varsa, bu abonelikleri birleştirme fırsatı vardır.
• Yalnızca kaynak kiracıdaki GAL tüm şirketlerin kullanıcılarını görüntüler.

Firmaları yönetme

Bu çözüm, kaynak kiracı kullanıcılarından kaynak kiracı dış kullanıcılara öznitelik değişikliklerini algılar ve eşitler. Yetkilendirme kararları almak için bu öznitelikleri kullanabilirsiniz (örneğin, dinamik üyelik gruplarını kullanırken).

Hesapların sağlamasını kaldırma

Otomasyon, kaynak ortamda nesne silme işlemini algılar ve hedef ortamda ilişkili dış kullanıcı nesnesini siler.

Çok kiracılı kullanıcı yönetimiyle ilgili sık dikkat edilmesi gerekenler, bu senaryoda kullanıcıların sağlanması, yönetilmesi ve sağlamasını kaldırma hakkında ek bilgiler sağlar.

Sonraki adımlar

• Çok kiracılı kullanıcı yönetimine giriş , Microsoft Entra çok kiracılı ortamlarda kullanıcı yaşam döngüsü yönetimi yapılandırma ve sağlama konusunda rehberlik sağlayan makale serisinin ilkidir.
• Çok kiracılı kullanıcı yönetimiyle ilgili sık dikkat edilmesi gerekenler şu noktalar için rehberlik sağlar: kiracılar arası eşitleme, dizin nesnesi, Microsoft Entra Koşullu Erişim, ek erişim denetimi ve Office 365.
• Senaryonuzda tek kiracılı çalışmadığında çok kiracılı kullanıcı yönetimi için yaygın çözümler sunan bu makalede şu zorluklara yönelik yönergeler sağlanır: kiracılar arasında otomatik kullanıcı yaşam döngüsü yönetimi ve kaynak ayırma, şirket içi uygulamaları kiracılar arasında paylaşma.