Funcionalidades de la organización multiinquilino en Microsoft Entra ID
En este artículo se proporciona información general sobre el escenario de organización multiinquilino y las funcionalidades relacionadas de Microsoft Entra ID.
¿Qué es un inquilino?
Un inquilino es una instancia de Microsoft Entra ID donde reside la información sobre una sola organización, incluidos los objetos de la organización, como usuarios, grupos y dispositivos, y los registros de aplicaciones, como Microsoft 365 y aplicaciones de terceros. Un inquilino también contiene directivas de acceso y cumplimiento para los recursos, como las aplicaciones registradas en el directorio. Las funciones principales que proporciona un inquilino incluyen la autenticación de identidades y la administración del acceso a los recursos.
Desde una perspectiva de Microsoft Entra, un inquilino forma un ámbito de administración de identidad y acceso. Por ejemplo, el administrador de un inquilino pone una aplicación a disposición de algunos o todos los usuarios del inquilino y aplica directivas de acceso a esa aplicación para los usuarios de ese inquilino. Además, un inquilino contiene datos de personalización de marca de la organización que impulsan experiencias de usuario final, como los dominios de correo electrónico de las organizaciones y las direcciones URL de SharePoint que usan los empleados de esa organización. Desde una perspectiva de Microsoft 365, un inquilino constituye el límite de colaboración y concesión de licencias predeterminado. Por ejemplo, los usuarios de Microsoft Teams o Microsoft Outlook pueden buscar y colaborar fácilmente con otros usuarios de su inquilino, pero no pueden buscar ni ver usuarios de otros inquilinos.
Los inquilinos contienen datos privilegiados de la organización y están aislados de otros inquilinos de forma segura. Además, los inquilinos se pueden configurar para que los datos se conserven y procesen en una región o nube específica, lo que permite a las organizaciones usar inquilinos como mecanismo para satisfacer los requisitos de cumplimiento normativo respecto a la residencia y el control de los datos.
¿Qué es una organización multiinquilino?
Una organización multiinquilino es una organización que tiene más de una instancia de Microsoft Entra ID. Estos son los principales motivos por los que una organización puede tener varios inquilinos:
- Conglomerados: organizaciones con varias subsidiarias o unidades de negocio que operan de forma independiente.
- Fusiones y adquisiciones: organizaciones que fusionan o adquieren empresas.
- Desinversión: en una desinversión, una organización divide parte de su negocio para formar una nueva organización o venderla a otra organización.
- Varias nubes: organizaciones que, por razones de cumplimiento normativo, deben existir en varios entornos de nube.
- Varios límites geográficos: organizaciones que operan en varias ubicaciones geográficas con diversas normativas sobre la residencia de los datos.
- Inquilinos de prueba o ensayo: organizaciones que necesitan varios inquilinos con fines de prueba o ensayo antes de realizar implementaciones de una forma más amplia en los inquilinos principales.
- Inquilinos creados por departamentos o empleados: organizaciones en las que los departamentos o empleados han creado inquilinos con fines de desarrollo, pruebas o control aparte.
Desafíos multiinquilino
Es posible que su organización haya adquirido recientemente una nueva empresa, se haya fusionado con otra empresa o se haya reestructurado en función de nuevas unidades de negocio. Si tiene sistemas de administración de la identidad dispares, puede resultar complicado que los usuarios de distintos inquilinos accedan a los recursos y colaboren.
En el siguiente diagrama se muestra cómo es posible que los usuarios de otros inquilinos no puedan acceder a las aplicaciones de otros inquilinos de su organización.
A medida que su organización evoluciona, el equipo de TI debe adaptarse para satisfacer las necesidades cambiantes. Esto suele incluir la integración con un inquilino que ya existía o la creación de uno nuevo. Independientemente de cómo se administre la infraestructura de la identidad, es fundamental que los usuarios tengan una experiencia fluida de acceso a los recursos y de colaboración. Puede que actualmente estén usando scripts personalizados o soluciones locales para unir a los inquilinos con el fin de proporcionar una experiencia fluida entre inquilinos.
Conexión directa B2B
Para permitir que los usuarios de distintos inquilinos colaboren en canales compartidos de Teams Connect, puede usar la conexión directa B2B de Microsoft Entra. La conexión directa B2B es una característica de External Identities que permite configurar una relación de confianza mutua con otra organización de Microsoft Entra para poder colaborar de manera fluida en Teams. Cuando se establece la confianza, el usuario de conexión directa B2B tiene acceso por medio del inicio de sesión único con las credenciales de su inquilino principal.
La principal restricción del uso de la conexión directa B2B entre varios inquilinos es la siguiente:
- Actualmente, la conexión directa B2B funciona solo con los canales compartidos de Teams Connect.
Para obtener más información, consulte Introducción a la conexión directa B2B.
Colaboración B2B
Para permitir la colaboración entre usuarios de distintos inquilinos, puede usar la colaboración B2B de Microsoft Entra. La colaboración B2B es una característica de External Identities que permite invitar a usuarios a colaborar con una organización. Una vez que el usuario externo ha canjeado su invitación o completado el registro, se representa en el inquilino como un objeto de usuario. La colaboración B2B le permite compartir de forma segura las aplicaciones y los servicios de la empresa con usuarios externos, al tiempo que mantiene el control sobre sus propios datos corporativos.
Las restricciones principales para el uso de la colaboración B2B entre varios inquilinos son las siguientes:
- Los administradores deben invitar a los usuarios usando el proceso de invitación B2B o crear una experiencia de incorporación con el administrador de invitaciones de colaboración B2B.
- Es posible que los administradores tengan que sincronizar los usuarios utilizando scripts personalizados.
- En función de la configuración de canje automático, puede que los usuarios tengan que aceptar un mensaje de petición de consentimiento y seguir un proceso de canje en cada inquilino.
- De forma predeterminada, los usuarios son de tipo invitado externo, que tiene permisos diferentes a los miembros externos y puede que no sea la experiencia de usuario deseada.
Para obtener más información, consulte Información general sobre la colaboración B2B.
Sincronización entre inquilinos
Si quiere que los usuarios tengan una experiencia de colaboración más fluida entre inquilinos, puede usar la sincronización entre inquilinos. La sincronización entre inquilinos es un servicio de sincronización unidireccional en Microsoft Entra ID que automatiza la creación, la actualización y la eliminación de usuarios de colaboración B2B entre inquilinos de una organización. La sincronización entre inquilinos se basa en la funcionalidad de colaboración B2B y utiliza la configuración de acceso entre inquilinos B2B existente. Los usuarios se representan en el inquilino de destino como un objeto de usuario de colaboración B2B.
Las principales ventajas del uso de la sincronización entre inquilinos son las siguientes:
- Permite crear automáticamente usuarios de colaboración B2B en su organización y proporcionarles acceso a las aplicaciones que necesitan, sin crear ni mantener scripts personalizados.
- Mejora la experiencia del usuario y asegura que los usuarios puedan acceder a los recursos, sin recibir ninguna invitación por correo electrónico ni tener que aceptar un mensaje de petición de consentimiento en cada inquilino.
- Los usuarios se actualizan automáticamente y se quitan cuando dejan la organización.
Las principales restricciones del uso de la sincronización entre inquilinos son las siguientes:
- No mejora las experiencias actuales de Teams o Microsoft 365. Los usuarios sincronizados tendrán las mismas experiencias entre inquilinos de Teams y Microsoft 365 que están disponibles para cualquier otro usuario de colaboración B2B.
- No se sincronizan los grupos, los dispositivos ni los contactos.
Para obtener más información, consulte ¿Qué es la sincronización entre inquilinos?.
Organización multiinquilino
La organización multiinquilino es una característica de Microsoft Entra ID y Microsoft 365 que le permite formar un grupo de inquilinos dentro de su organización. Cada par de inquilinos del grupo se rige por la configuración de acceso entre inquilinos que puede usar para configurar la sincronización B2B o entre inquilinos.
Estas son las principales ventajas de una organización multiinquilino:
- Diferenciar los usuarios externos dentro y fuera de la organización
- Experiencia colaborativa mejorada en nuevas instancias de Microsoft Teams
- Mejora de la experiencia de búsqueda de personas entre inquilinos
Para más información, consulte ¿Qué es una organización multiinquilino en Microsoft Entra ID?.
Comparación de las funcionalidades multiinquilino
En función de las necesidades de su organización, puede usar cualquier combinación de conexión directa B2B, colaboración B2B, sincronización entre inquilinos y funcionalidades de organización multiinquilino. La conexión directa B2B y la colaboración B2B son funcionalidades independientes, mientras que las funcionalidades de sincronización entre inquilinos y organización multiinquilino son independientes entre sí, aunque ambas dependen de la colaboración B2B subyacente.
En la tabla siguiente se indica la funcionalidad de cada característica. Para obtener más información sobre diferentes escenarios de identidad externa, consulte Comparación de los conjuntos de características de External Identities.
| Conexión directa B2B (Organización a organización externa o interna) |
Colaboración B2B (Organización a organización externa o interna) |
Sincronización entre inquilinos (Organización interna) |
Organización multiinquilino (Organización interna) |
|
|---|---|---|---|---|
| Propósito | Los usuarios pueden acceder a los canales compartidos de Teams Connect hospedados en inquilinos externos. | Los usuarios pueden acceder a las aplicaciones o los recursos hospedados en inquilinos externos, normalmente con privilegios de invitado limitados. En función de la configuración de canje automático, es posible que los usuarios tengan que aceptar un mensaje de petición de consentimiento en cada inquilino. | Los usuarios pueden acceder sin problemas a las aplicaciones o los recursos dentro de la misma organización, incluso si se hospedan en inquilinos diferentes. | Los usuarios pueden colaborar mejor y sin problemas en una organización multiinquilino en nuevas instancias de Teams y búsqueda de personas. |
| Valor | Habilita la colaboración externa solo en los canales compartidos de Teams Connect. Es más cómodo para los administradores, porque no tienen que administrar usuarios B2B. | Habilita la colaboración externa. Más control y supervisión para los administradores mediante la administración de los usuarios de colaboración B2B. Los administradores pueden limitar el acceso que estos usuarios externos tienen a sus aplicaciones o recursos. | Permite la colaboración entre inquilinos de la organización. Los administradores no tienen que invitar y sincronizar manualmente a los usuarios entre inquilinos para asegurar el acceso continuo a las aplicaciones o los recursos dentro de la organización. | Permite la colaboración entre inquilinos de la organización. Los administradores siguen teniendo la capacidad de configuración completa a través de la configuración de acceso entre inquilinos. Las plantillas de acceso entre inquilinos opcionales permiten la configuración previa de la configuración de acceso entre inquilinos. |
| Flujo de trabajo del administrador principal | Configurar el acceso entre inquilinos para proporcionar a los usuarios externos acceso de entrada al inquilino con las credenciales de su inquilino principal. | Agregar usuarios externos al inquilino del recurso mediante el proceso de invitación B2B o crear su propia experiencia de incorporación con el administrador de invitaciones de colaboración B2B. | Configurar el motor de sincronización entre inquilinos para sincronizar usuarios entre varios inquilinos como usuarios de colaboración B2B. | Cree una organización multiinquilino, agregue (invite) inquilinos, únase a una organización multiinquilino. Aproveche los usuarios de colaboración B2B existentes o use la sincronización entre inquilinos para aprovisionar usuarios de colaboración B2B. |
| Nivel de confianza | Confianza media. Hacer un seguimiento de los usuarios de conexión directa B2B no es tan sencillo, lo que exige un cierto nivel de confianza con la organización externa. | Confianza de baja a media. Se puede hacer un seguimiento de los objetos de usuario fácilmente y se pueden administrar con controles pormenorizados. | Confianza alta. Todos los inquilinos forman parte de la misma organización y normalmente se concede a los usuarios acceso de miembro a todas las aplicaciones o recursos. | Confianza alta. Todos los inquilinos forman parte de la misma organización y normalmente se concede a los usuarios acceso de miembro a todas las aplicaciones o recursos. |
| Efecto en los usuarios | Los usuarios acceden al inquilino del recurso con las credenciales de su inquilino principal. No se crean objetos de usuario en el inquilino del recurso. | Los usuarios externos se agregan a un inquilino como usuarios de colaboración B2B. | Dentro de la misma organización, los usuarios se sincronizan entre su inquilino principal y el inquilino del recurso como usuarios de colaboración B2B. | Dentro de la misma organización multiinquilino, los usuarios de colaboración B2B, especialmente los usuarios miembro, se benefician de la colaboración mejorada y sin problemas en Microsoft 365. |
| Tipo de usuario | Usuarios de conexión directa B2B - N/A |
Usuario de colaboración B2B - Miembro externo - Invitado externo (predeterminado) |
Usuario de colaboración B2B - Miembro externo (predeterminado) - Invitado externo |
Usuario de colaboración B2B - Miembro externo (predeterminado) - Invitado externo |
En el diagrama siguiente se muestra cómo se podrían usar en conjunto las funcionalidades de conexión directa B2B, colaboración B2B y sincronización entre inquilinos.
Terminología
Para comprender mejor los escenarios de organización multiinquilino relacionados con las funcionalidades de Microsoft Entra, puede volver a consultar la siguiente lista de términos.
| Término | Definición |
|---|---|
| tenant | Una instancia de Microsoft Entra ID. |
| organization | Nivel superior de una jerarquía empresarial. |
| organización multiinquilino | Una organización que tenga más de una instancia de Microsoft Entra ID, así como una capacidad para agrupar esas instancias en Microsoft Entra ID. |
| inquilino del creador | Inquilino que creó la organización multiinquilino. |
| inquilino propietario | Un inquilino con el rol de propietario. Inicialmente, el inquilino del creador. |
| inquilino agregado | Un inquilino agregado por un inquilino propietario. |
| inquilino de un usuario que se une | Un inquilino que se une a la organización multiinquilino. |
| solicitud de unión | Un usuario que se une o un inquilino agregado envía una solicitud de unión para unirse a la organización multiinquilino. |
| inquilino pendiente | Un inquilino agregado por un propietario, pero que aún no se ha unido. |
| inquilino activo | Un inquilino que creó o se unió a la organización multiinquilino. |
| inquilino de miembro | Un inquilino con el rol de miembro. La mayoría de los inquilinos de usuarios que se unen inician como miembros. |
| inquilino de organización multiinquilino | Un inquilino activo de la organización multiinquilino, no pendiente. |
| sincronización entre inquilinos | Un servicio de sincronización unidireccional en Microsoft Entra ID que automatice la creación, la actualización y la eliminación de usuarios de colaboración B2B entre inquilinos de una organización. |
| configuración del acceso entre inquilinos | Configuración para administrar la colaboración con organizaciones de Microsoft Entra específicas. |
| plantilla de configuración de acceso entre inquilinos | Una plantilla opcional para configurar previamente los valores de acceso entre inquilinos que se aplica a cualquier inquilino asociado recién unido a la organización multiinquilino. |
| configuración de la organización | Configuración de acceso entre inquilinos para organizaciones de Microsoft Entra específicas. |
| configuración | Una aplicación y una entidad de servicio subyacente en Microsoft Entra ID que incluye la configuración (por ejemplo, el inquilino de destino, el ámbito de usuario y las asignaciones de atributos) necesaria para la sincronización entre inquilinos. |
| Aprovisionamiento | Proceso de creación o sincronización automática de objetos más allá de un límite. |
| canje automático | Configuración B2B para canjear invitaciones automáticamente, de modo que los nuevos usuarios que se crean no reciben una invitación por correo electrónico ni tienen que aceptar un mensaje de petición de consentimiento cuando se agregan a un inquilino de destino. |