多租使用者管理常見解決方案
本文是一系列文章中的第四篇,提供在 Microsoft Entra 多租用戶環境中設定及提供使用者生命週期管理的指引。 本系列中的下列文章提供詳細資訊,如所述。
- 多租使用者管理簡介 是系列中的第一個。
- 多租使用者管理案例 描述三種案例,您可以使用多租用戶使用者管理功能:使用者起始、編寫腳本和自動化。
- 多租使用者管理的 常見考慮提供下列考慮的指引:跨租使用者同步處理、目錄物件、Microsoft Entra 條件式存取、其他訪問控制和 Office 365。
本指南可協助您達到使用者生命週期管理的一致狀態。 生命週期管理包括使用 Microsoft Entra B2B 共同作業 (B2B) 和跨租使用者同步處理的可用 Azure 工具,布建、管理和取消布建使用者。
Microsoft 建議盡可能使用單一租使用者。 如果單一租用不適用於您的案例,請參考下列 Microsoft 客戶針對這些挑戰成功實作的解決方案:
- 跨租用戶自動使用者生命週期管理和資源配置
- 跨租使用者共用內部部署應用程式
跨租用戶自動使用者生命週期管理和資源配置
客戶會取得他們先前有密切業務關係的競爭對手。 組織想要維護其公司身分識別。
目前狀態
目前,組織會將彼此的使用者同步處理為郵件聯繫人物件,使其顯示在彼此的目錄中。 每個資源租使用者都已啟用其他租使用者中所有使用者的郵件聯繫人物件。 跨租用戶,無法存取應用程式。
目標
客戶有下列目標。
- 每個用戶都會出現在每個組織的 GAL 中。
- 主租使用者中的用戶帳戶生命週期變更會自動反映在資源租使用者 GAL 中。
- 家庭租使用者中的屬性變更(例如部門、名稱、簡易郵件傳輸通訊協定 (SMTP) 位址)會自動反映在資源租使用者 GAL 和首頁 GAL 中。
- 用戶可以存取資源租使用者中的應用程式和資源。
- 用戶可以自助存取資源要求。
解決方案架構
組織會使用點對點架構搭配同步處理引擎,例如 Microsoft Identity Manager (MIM)。 下圖說明此解決方案的點對點架構範例。
每個租用戶系統管理員都會執行下列步驟來建立用戶物件。
- 請確定其使用者資料庫為最新狀態。
- 部署和設定 MIM。
- 解決現有的聯繫人物件。
- 為其他租用戶的內部成員使用者建立外部成員用戶物件。
- 同步處理用戶物件屬性。
- 部署及設定 權利管理 存取套件。
- 要共用的資源。
- 到期和存取權檢閱原則。
跨租使用者共用內部部署應用程式
擁有多個對等組織的客戶必須從其中一個租使用者共用內部部署應用程式。
目前狀態
對等組織正在網格拓撲中同步處理外部使用者,讓資源配置給租用戶之間的雲端應用程式。 客戶提供下列功能。
- 在 Microsoft Entra 識別碼中共用應用程式。
- 主租用戶上資源租使用者中的自動化使用者生命週期管理(反映新增、修改和刪除)。
下圖說明此案例,其中只有公司 A 中的內部使用者可存取公司 A 的內部部署應用程式。
目標
除了目前的功能,他們想要提供下列功能。
- 為外部使用者提供公司 A 內部部署資源的存取權。
- 具有安全性判斷提示標記語言 (SAML) 驗證的應用程式。
- 具有整合式 Windows 驗證和 Kerberos 的應用程式。
解決方案架構
公司 A 使用 Azure 應用程式 Proxy,為內部部署應用程式提供單一登錄(SSO),如下圖所示。
圖表標題:Azure 應用程式 Proxy 架構解決方案。 在左上方,標示為 『https://sales.constoso.com' 的方塊包含代表網站的地球圖示。 在下方,一組圖示代表使用者,並透過從使用者到網站的箭號連接。 在右上方,標示為 Microsoft Entra ID 的雲端圖形包含標示為 應用程式 Proxy 服務的圖示。 箭號會將網站連線到雲端圖形。 在右下方,標示為 DMZ 的方塊具有內部部署副標題。 箭號會將雲端圖形連接到 DMZ 方塊,分成兩個以指向標示為 連線 or 的圖示。 在左側 連線 器圖示下方,箭頭會向下點並分割成兩個,以指向標示為 App 1 和 App 2 的圖示。 在右側 連線 或圖示下方,箭號向下指向標示為App 3的圖示。
租使用者 A 中的 管理員 會執行下列步驟,讓外部用戶能夠存取相同的內部部署應用程式。
- 設定 SAML 應用程式的存取權。
- 設定其他應用程式的存取權。
- 透過 MIM 或 PowerShell 建立內部部署使用者。
下列文章提供 B2B 共同作業的其他資訊。
- 授與 Microsoft Entra 識別碼中 B2B 使用者對內部部署資源的 存取權,說明如何提供 B2B 使用者對內部部署應用程式的存取權。
- 混合式組織的 Microsoft Entra B2B 共同作業說明如何為外部合作夥伴提供組織中應用程式和資源的存取權。
下一步
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應