Introducción a la administración de usuarios multiinquilino
Este artículo es el primero de una serie de artículos que proporcionan una guía para configurar y proporcionar la administración del ciclo de vida de los usuarios en entornos multiinquilino de Microsoft Entra. En los artículos siguientes de la serie se proporciona más información, como se describe.
- Escenarios de administración de usuarios multiinquilino describe tres escenarios en los que se pueden usar las características de la administración de usuarios multiinquilino: iniciada por el usuario final, con scripts y automatizada.
- En Consideraciones comunes para la administración de usuarios multiinquilino se proporciona una guía sobre estas consideraciones: sincronización entre inquilinos, objeto de directorio, acceso condicional de Microsoft Entra, control de acceso adicional y Office 365.
- Soluciones comunes para la administración de usuarios multiinquilino cuando el inquilino único no funciona en el escenario. En este artículo se proporcionan instrucciones para hacer frente a estos problemas: administración automática del ciclo de vida de los usuarios y asignación de recursos entre inquilinos, así como el uso compartido de aplicaciones locales entre inquilinos.
Las instrucciones le permiten alcanzar un estado coherente de la administración del ciclo de vida de los usuarios. La administración del ciclo de vida comprende el aprovisionamiento, la administración y el desaprovisionamiento de usuarios entre inquilinos mediante las herramientas de Azure disponibles que incluyen la colaboración B2B de Microsoft Entra (B2B) y la sincronización entre inquilinos.
El aprovisionamiento de usuarios en un solo inquilino de Microsoft Entra proporciona una vista unificada de los recursos y un conjunto único de directivas y controles. Este enfoque permite una administración coherente del ciclo de vida de los usuarios.
Cuando sea posible, Microsoft recomienda un usuario único. Tener varios inquilinos puede resultar en requisitos únicos de administración y colaboración entre inquilinos. Cuando no es posible la consolidación en un solo inquilino de Microsoft Entra, las organizaciones multiinquilino pueden abarcar dos o más inquilinos de Microsoft Entra por algunas de las siguientes razones.
- Fusiones mediante combinación
- Adquisiciones
- Desinversiones
- Colaboración entre nubes públicas, soberanas y regionales
- Estructuras políticas u organizativas que prohíben la consolidación en un único inquilino de Microsoft Entra.
Colaboración B2B de Microsoft Entra
La colaboración B2B de Microsoft Entra le permite compartir de forma segura las aplicaciones y los servicios de su empresa con usuarios externos. Cuando los usuarios provengan de cualquier organización, B2B lo ayuda a mantener el control sobre el acceso al entorno de TI y a los datos.
Puede usar la colaboración B2B para proporcionar acceso externo a los usuarios de la organización para acceder a varios inquilinos que administra. Tradicionalmente, el acceso de usuarios externos B2B puede autorizar el acceso a usuarios que su propia organización no administra. Sin embargo, el acceso de usuarios externos puede administrar el acceso mediante varios inquilinos que administra su organización.
Un área de confusión con la colaboración B2B de Microsoft Entra gira en torno a las propiedades de un usuario invitado B2B. La diferencia entre las cuentas de usuario internas y externas y los tipos de usuario miembro e invitado contribuye a la confusión. Inicialmente, todos los usuarios internos son usuarios miembros con el atributo UserType establecido en Member (usuarios miembros). Un usuario interno tiene una cuenta en su instancia de Microsoft Entra ID que tiene autoridad y se autentica en el inquilino donde reside el usuario. Un usuario miembro es un usuario con licencia con permisos de nivel de miembro predeterminados en el inquilino. Trate a los usuarios miembros como empleados de su organización.
Puede invitar a un usuario interno de un inquilino a otro inquilino como usuario externo. Un usuario externo inicia sesión con una cuenta externa de Microsoft Entra, una identidad social u otro proveedor de identidades externo. Los usuarios externos se autentican fuera del inquilino al que invita al usuario externo. En la primera versión B2B, todos los usuarios externos eran UserTypeGuest (usuarios invitados). Los usuarios invitados tienen permisos restringidos en el inquilino. Por ejemplo, los usuarios invitados no pueden enumerar la lista de todos los usuarios ni grupos en el directorio de inquilinos.
Para la propiedad UserType en los usuarios, B2B admite cambiar el bit de interno a externo y viceversa, lo que contribuye a la confusión.
Puede cambiar un usuario interno de un usuario miembro a un usuario invitado. Por ejemplo, puede tener un usuario invitado interno sin licencia con permisos de nivel de invitado en el inquilino, lo que resulta útil cuando se proporciona una cuenta de usuario y credenciales a una persona que no es un empleado de su organización.
Puede cambiar un usuario externo de usuario invitado a usuario miembro, lo que proporciona permisos de nivel de miembro al usuario externo. Realizar este cambio es útil cuando administra varios inquilinos para su organización y necesita conceder permisos de nivel de miembro a un usuario en todos los inquilinos. Esta necesidad puede producirse independientemente de si el usuario es interno o externo en cualquier inquilino determinado. Los usuarios miembros pueden requerir más licencias.
La mayoría de la documentación de B2B hace referencia a un usuario externo como usuario invitado. Combina la propiedad UserType de una manera que asume que todos los usuarios invitados son externos. Cuando la documentación llama a un usuario invitado, se supone que es un usuario invitado externo. En este artículo se hace referencia específicamente e intencionadamente a usuarios externos frente a usuarios internos y miembros frente a usuarios invitados.
Sincronización entre inquilinos
La sincronización entre inquilinos permite a las organizaciones multiinquilinos proporcionar experiencias de colaboración y acceso sin problemas a los usuarios finales, mediante las capacidades de colaboración externa B2B existentes. La característica no permite la sincronización entre inquilinos en nubes soberanas de Microsoft (como GCC High, DOD u Office 365 de Microsoft 365 para la Administración Pública de Estados Unidos en China). Consulte Consideraciones comunes para la administración de usuarios multiinquilinos para obtener ayuda con escenarios de sincronización entre inquilinos automatizados y personalizados.
Vea cómo Arvind Harinder habla sobre la capacidad de sincronización entre inquilinos en Microsoft Entra ID (insertado a continuación).
Los siguientes artículos conceptuales y de procedimientos proporcionan información sobre la colaboración B2B de Microsoft Entra y la sincronización entre inquilinos.
Artículos conceptuales
- Los procedimientos recomendados de B2B incluyen recomendaciones para brindar la mejor experiencia a usuarios y administradores.
- El uso compartido externo de B2B y Office 365 explica las similitudes y diferencias entre compartir recursos mediante B2B, Office 365 y SharePoint/OneDrive.
- En Propiedades en un usuario de colaboración B2B de Microsoft Entra se describen las propiedades y los estados del objeto de usuario externo en Microsoft Entra ID. La descripción proporciona detalles antes y después del canje de invitación.
- Los tokens de usuario B2B brindan ejemplos de tokens de portador para B2B para un usuario externo.
- El acceso condicional para B2B describe cómo funcionan el acceso condicional y la autenticación multifactor para usuarios externos.
- En Configuración de acceso entre inquilinos se proporciona un control pormenorizado sobre cómo las organizaciones externas de Microsoft Entra colaboran con usted (acceso de entrada) y cómo colaboran los usuarios con organizaciones externas de Microsoft Entra (acceso saliente).
- En Introducción a la sincronización entre inquilinos se explica cómo automatizar la creación, la actualización y la eliminación de usuarios de colaboración B2B de Microsoft Entra entre inquilinos de una organización.
Artículos de procedimientos
- En Uso de PowerShell para invitar de forma masiva a usuarios de colaboración B2B de Microsoft Entra se describe cómo usar PowerShell para enviar invitaciones masivas a usuarios externos.
- Hacer cumplir la autenticación multifactor para los usuarios invitados B2B explica cómo puede usar el acceso condicional y las directivas de la autenticación multifactor para hacer cumplir los niveles de autenticación de inquilinos, aplicaciones o usuarios externos individuales.
- En Autenticación con código de acceso de un solo uso por correo electrónico se describe cómo la característica de código de acceso de un solo uso por correo electrónico autentica a los usuarios externos cuando no pueden autenticarse mediante otros medios como Microsoft Entra ID, una cuenta de Microsoft o Google Federation.
Terminología
Los términos siguientes del contenido de Microsoft hacen referencia a la colaboración multiinquilino en Microsoft Entra ID.
- Inquilino de recursos: el inquilino de Microsoft Entra que contiene los recursos que los usuarios quieren compartir con otros.
- Inquilino principal: el inquilino de Microsoft Entra ID que contiene usuarios que necesitan acceso a los recursos del inquilino de recursos.
- Usuario interno: Un usuario interno tiene una cuenta autorizada y se autentica en el inquilino donde reside el usuario.
- Usuario externo: un usuario externo tiene una cuenta de Microsoft Entra externa, una identidad social u otro proveedor de identidades externo para iniciar sesión. El usuario externo se autentica en algún lugar fuera del inquilino al que ha invitado al usuario externo.
- Usuario miembro: Un usuario miembro interno o externo es un usuario con licencia con permisos de nivel de miembro predeterminados en el inquilino. Trate a los usuarios miembros como empleados de su organización.
- Usuario invitado: Un usuario invitado interno o externo tiene permisos restringidos en el inquilino. Los usuarios invitados no son empleados de su organización (por ejemplo, usuarios para asociados). La mayoría de la documentación B2B hace referencia a invitados B2B, que se refiere principalmente a cuentas de usuario invitado externas.
- Administración del ciclo de vida de los usuarios: El proceso de aprovisionar, administrar y desaprovisionar el acceso de los usuarios a los recursos.
- GAL unificada: Todos los usuarios de cada inquilino pueden ver a los usuarios de cada organización en su lista de direcciones global (GAL).
Cumplimiento de los requisitos
Los requisitos únicos de su organización influyen en su estrategia para administrar usuarios en todos los inquilinos. Para crear una estrategia eficaz, tenga en cuenta los siguientes requisitos.
- Cantidad de inquilinos
- Tipo de organización
- Topologías actuales
- Necesidades específicas de sincronización de usuarios
Requisitos comunes
Inicialmente, las organizaciones se centran en los requisitos que quieren implementar para una colaboración inmediata. A veces llamados requisitos del Día Uno, se centran en permitir que los usuarios finales se fusionen sin problemas sin interrumpir su capacidad de generar valor. A medida que defina los requisitos administrativos y de Día Uno, considere la posibilidad de incluir los siguientes requisitos y necesidades.
Requisitos de comunicaciones
- Lista de direcciones global unificada: Cada usuario puede ver a todos los demás usuarios de la GAL en su inquilino principal.
- Información de disponibilidad: Facilita que los usuarios descubran la disponibilidad de los demás. Puede hacerlo con las relaciones de la organización en Exchange Online.
- Chat y presencia: Permite que los usuarios determinen la presencia de otros e inicien la mensajería instantánea. Configure mediante acceso externo en Microsoft Teams.
- Reserva de recursos como salas de reuniones: Permite a los usuarios reservar salas de conferencias u otros recursos en toda la organización. La reserva de salas de conferencias entre inquilinos no está disponible actualmente en Exchange Online.
- Dominio de correo electrónico único: Permite que todos los usuarios envíen y reciban correo desde un único dominio de correo electrónico (por ejemplo,
users@contoso.com). El envío requiere una solución de reescritura de direcciones de correo electrónico.
Requisitos de acceso
- Acceso a documentos: Permite a los usuarios compartir documentos desde SharePoint, OneDrive y Teams.
- Administración: Permite que los administradores administren la configuración de las suscripciones y los servicios implementados en varios inquilinos.
- Acceso a la aplicación: Permite a los usuarios finales acceder a las aplicaciones en toda la organización.
- Inicio de sesión único: Permite que los usuarios accedan a los recursos de toda la organización sin necesidad de ingresar más credenciales.
Patrones para la creación de cuentas
Los mecanismos de Microsoft para crear y administrar el ciclo de vida de las cuentas de usuario externas siguen tres patrones comunes. Puede usar estos patrones para ayudar a definir e implementar los requisitos. Elija el patrón que mejor se alinee con su escenario y, a continuación, céntrese en los detalles del patrón.
| Mechanism | Descripción | Mejor en estas circunstancias |
|---|---|---|
| Iniciado por el usuario | Los administradores de inquilinos de recursos delegan la capacidad de invitar a usuarios externos al inquilino, una aplicación o un recurso a usuarios dentro del inquilino de recursos. Puede invitar a los usuarios desde el inquilino principal o pueden registrarse individualmente. | La lista global unificada de direcciones del día uno no es necesaria. |
| Incluido en script | Los administradores de inquilinos de recursos implementan un proceso de extracción con script para automatizar el descubrimiento y el aprovisionamiento de usuarios externos para admitir escenarios de uso compartido. | Número pequeño de inquilinos (por ejemplo, dos). |
| Automatizado | Los administradores de inquilinos de recursos usan un sistema de aprovisionamiento de identidades para automatizar los procesos de aprovisionamiento y desaprovisionamiento. | Necesita una lista global unificada de direcciones entre inquilinos. |
Pasos siguientes
- Escenarios de administración de usuarios multiinquilino describe tres escenarios en los que se pueden usar las características de la administración de usuarios multiinquilino: iniciada por el usuario final, con scripts y automatizada.
- En Consideraciones comunes para la administración de usuarios multiinquilino se proporciona una guía sobre estas consideraciones: sincronización entre inquilinos, objeto de directorio, acceso condicional de Microsoft Entra, control de acceso adicional y Office 365.
- Soluciones comunes para la administración de usuarios multiinquilino cuando el inquilino único no funciona en el escenario. En este artículo se proporcionan instrucciones para hacer frente a estos problemas: administración automática del ciclo de vida de los usuarios y asignación de recursos entre inquilinos, así como el uso compartido de aplicaciones locales entre inquilinos.
- En Sincronización multiinquilino desde Active Directory se describen varias topologías locales y de Microsoft Entra que usan la sincronización de Microsoft Entra Connect como solución de integración clave.