跨租户协作的拓扑
由于合并和收购、监管要求或管理边界,组织经常发现自己管理多个租户。 无论你处于何种场景,Microsoft Entra 都提供灵活且随时可用的解决方案,可用于跨租户配置帐户并促进无缝协作。 Microsoft Entra 支持以下三种模型,并且可以适应你不断变化的组织需求。
- 中心和分支
- 网格
- 即时
中心和分支
中心和辐射型拓扑提供两种常见模式:
选项 1(应用程序中心):使用此选项,可以将常用应用程序集成到整个组织的用户都可以访问的中央中心租户中。
选项 2(用户中心):也可使用选项 2 将单个租户中的所有用户集中起来,并将其预配到托管资源的分支租户中。
让我们来看看实际场景,看看它们如何与每个模型保持一致。
合并和收购(应用程序中心)
在合并和收购期间,快速实现协作的能力至关重要,使企业能够在制定复杂的 IT 决策时协调一致地运作。 例如,当新收购的公司的员工需要立即访问应用程序(如内部技术支持票证系统或权益应用程序)时,跨租户同步经证实是非常有效的。 此同步过程允许被收购公司的用户从第一天起就被预配到应用程序中心,并授予他们对 SaaS 应用程序、本地应用程序和其他云资源的访问权限。 在目标租户中,管理员可以设置访问包,以授予对包含业务关键数据的其他应用程序(如 Salesforce 和 Amazon Web Services)的受限访问权限。 下图左侧显示了最近收购的租户,其用户被预配到母公司的租户中,后者可授予用户对必要资源的访问权限。
单独的协作和资源租户(用户中心)
随着组织扩展对 Azure 的使用,他们通常会创建专用租户来管理关键的 Azure 资源。 同时,他们依赖于中央中心租户来预配用户。 此模型使中心租户中的管理员能够建立中央安全和治理策略,同时授予开发团队更大的自主权和敏捷性来部署所需的 Azure 资源。 跨租户同步支持此拓扑,使管理员能够将部分用户配置到分支租户中并管理这些用户的生命周期。
网格
虽然有些公司会将用户集中在单个租户中,但也有其他一些公司采用更加分散的结构,将应用程序、HR 系统和 Active Directory 域集成到每个租户中。 跨租户同步可以灵活地选择预配到每个租户的用户。
在投资组合公司(部分网格)中进行协作
在此场景中,每个租户代表同一父组织内的不同公司。 每个租户中的管理员选择要预配到目标租户中的一部分用户。 此解决方案为每个租户提供独立操作的灵活性,同时在用户需要访问关键资源时促进协作。
跨租户同步是单向的。 一个内部成员用户可以作为外部用户同步到多个租户中。 当拓扑显示双向同步时,它在每个方向上都是一组不同的用户,每个箭头都是一个单独的配置。
跨业务部门(完整网格)进行协作
在此方案中,组织为每个业务部门指定不同的租户。 业务部门密切协作,具体而言,是使用 Microsoft Teams 进行协作。 因此,每个租户选择在组织的四个租户中预配所有用户。 当新用户加入公司或离职时,预配服务将负责创建和删除用户。 组织还配置了一个包含所有四个租户的多租户组织。 现在,当用户需要在 Teams 中进行协作时,他们可以轻松地在整个公司查找用户,并与这些用户开始聊天和举行会议。
即时
虽然到目前为止讨论的场景介绍的是组织内部的协作,但在某些情况下跨组织协作也至关重要。 这一点适合合资企业或独立法人实体组织的情况。 通过采用连接的组织和权利管理,你可以制定跨连接的组织访问资源的策略,并使用户能够请求访问他们所需的资源。
合资
以 Contoso 和 Litware 为例,这两家独立的组织已组建成合资企业多年。 他们需要密切协作。 Contoso 的管理员定义了包含 Litware 用户所需资源的访问包。 当 Litware 新员工需要访问 Contoso 的资源时,他们可以请求访问访问包。 经批准后,他们将被预配所需资源。 访问可能有时间限制并接受定期审查,以确保符合 Contoso 的治理要求。
下图显示了两个组织如何通过使用连接的组织和权利管理进行即时协作。
