Recursos de organização multilocatária no Microsoft Entra ID
Este artigo fornece uma visão geral do cenário da organização multilocatária e os recursos relacionados no Microsoft Entra ID.
O que é um inquilino?
Um locatário é uma instância do Microsoft Entra ID na qual residem informações sobre uma única organização, incluindo objetos organizacionais, como usuários, grupos e dispositivos, e também registros de aplicativos, como o Microsoft 365 e aplicativos de terceiros. Um locatário também contém políticas de acesso e conformidade para recursos, como aplicativos registrados no diretório. As principais funções servidas por um locatário incluem autenticação de identidade, bem como gerenciamento de acesso a recursos.
De uma perspetiva do Microsoft Entra, um locatário forma um escopo de gerenciamento de identidade e acesso. Por exemplo, um administrador de locatário disponibiliza um aplicativo para alguns ou todos os usuários no locatário e impõe políticas de acesso nesse aplicativo para usuários nesse locatário. Além disso, um locatário contém dados de identidade visual organizacional que impulsionam as experiências do usuário final, como os domínios de email das organizações e as URLs do SharePoint usadas pelos funcionários dessa organização. De uma perspetiva do Microsoft 365, um locatário forma o limite padrão de colaboração e licenciamento. Por exemplo, os usuários no Microsoft Teams ou no Microsoft Outlook podem facilmente encontrar e colaborar com outros usuários em seu locatário, mas não têm a capacidade de localizar ou ver usuários em outros locatários.
Os locatários contêm dados organizacionais privilegiados e são isolados com segurança de outros locatários. Além disso, os locatários podem ser configurados para que os dados persistam e sejam processados em uma região ou nuvem específica, o que permite que as organizações usem os locatários como um mecanismo para atender aos requisitos de conformidade e residência de dados.
O que é uma organização multilocatário?
Uma organização multilocatária é uma organização que tem mais de uma instância do Microsoft Entra ID. Aqui estão os principais motivos pelos quais uma organização pode ter vários locatários:
- Conglomerados: Organizações com várias subsidiárias ou unidades de negócios que operam de forma independente.
- Fusões e aquisições: Organizações que fundem ou adquirem empresas.
- Atividade de alienação: Em uma alienação, uma organização separa parte de seu negócio para formar uma nova organização ou vendê-la a uma organização existente.
- Várias nuvens: organizações que têm conformidade ou necessidades regulatórias para existir em vários ambientes de nuvem.
- Múltiplos limites geográficos: Organizações que operam em vários locais geográficos com vários regulamentos de residência.
- Locatários de teste ou preparo: organizações que precisam de vários locatários para fins de teste ou preparo antes de implantar de forma mais ampla para locatários principais.
- Locatários criados por departamentos ou funcionários: organizações em que departamentos ou funcionários criaram locatários para desenvolvimento, teste ou controle separado.
Desafios multilocatários
Sua organização pode ter adquirido recentemente uma nova empresa, se fundido com outra empresa ou reestruturado com base em unidades de negócios recém-formadas. Se você tiver sistemas de gerenciamento de identidade diferentes, pode ser um desafio para os usuários em locatários diferentes acessar recursos e colaborar.
O diagrama a seguir mostra como os usuários em outros locatários podem não conseguir acessar aplicativos entre locatários em sua organização.
À medida que sua organização evolui, sua equipe de TI deve se adaptar para atender às necessidades em constante mudança. Isso geralmente inclui a integração com um inquilino existente ou a formação de um novo. Independentemente de como a infraestrutura de identidade é gerenciada, é fundamental que os usuários tenham uma experiência perfeita acessando recursos e colaborando. Hoje, você pode estar usando scripts personalizados ou soluções locais para reunir os locatários e fornecer uma experiência perfeita entre os locatários.
Conexão direta B2B
Para permitir que usuários entre locatários colaborem em canais compartilhados do Teams Connect, você pode usar a conexão direta B2B do Microsoft Entra. A conexão direta B2B é um recurso de Identidades Externas que permite configurar uma relação de confiança mútua com outra organização do Microsoft Entra para uma colaboração perfeita no Teams. Quando a confiança é estabelecida, o usuário B2B direct connect tem acesso de logon único usando credenciais de seu locatário doméstico.
Aqui está a principal restrição com o uso da conexão direta B2B entre vários locatários:
- Atualmente, a conexão direta B2B funciona apenas com canais compartilhados do Teams Connect.
Para obter mais informações, consulte Visão geral da conexão direta B2B.
Colaboração B2B
Para permitir que usuários entre locatários colaborem, você pode usar a colaboração B2B do Microsoft Entra. A colaboração B2B é um recurso dentro das Identidades Externas que permite convidar usuários convidados para colaborar com sua organização. Depois que o usuário externo resgatar o convite ou concluir a inscrição, ele será representado em seu locatário como um objeto de usuário. Com a colaboração B2B, você pode compartilhar com segurança os aplicativos e serviços da sua empresa com usuários externos, mantendo o controle sobre seus próprios dados corporativos.
Aqui estão as principais restrições com o uso da colaboração B2B em vários locatários:
- Os administradores devem convidar usuários usando o processo de convite B2B ou criar uma experiência de integração usando o gerenciador de convites de colaboração B2B.
- Os administradores podem ter que sincronizar os usuários usando scripts personalizados.
- Dependendo das configurações de resgate automático, os usuários podem precisar aceitar uma solicitação de consentimento e seguir um processo de resgate em cada locatário.
- Por padrão, os usuários são do tipo convidado externo, que tem permissões diferentes do membro externo e pode não ser a experiência de usuário desejada.
Para obter mais informações, consulte Visão geral da colaboração B2B.
Sincronização entre inquilinos
Se quiser que os usuários tenham uma experiência de colaboração mais perfeita entre locatários, você pode usar a sincronização entre locatários. A sincronização entre locatários é um serviço de sincronização unidirecional no Microsoft Entra ID que automatiza a criação, atualização e exclusão de usuários de colaboração B2B entre locatários em uma organização. A sincronização entre locatários baseia-se na funcionalidade de colaboração B2B e utiliza as configurações de acesso entre locatários B2B existentes. Os usuários são representados no locatário de destino como um objeto de usuário de colaboração B2B.
Aqui estão os principais benefícios do uso da sincronização entre locatários:
- Crie automaticamente usuários de colaboração B2B em sua organização e forneça-lhes acesso aos aplicativos de que precisam, sem criar e manter scripts personalizados.
- Melhore a experiência do usuário e garanta que os usuários possam acessar recursos, sem receber um e-mail de convite e ter que aceitar um prompt de consentimento em cada locatário.
- Atualize automaticamente os usuários e remova-os quando saírem da organização.
Aqui estão as principais restrições com o uso da sincronização entre locatários entre vários locatários:
- Não melhora as experiências atuais do Teams ou do Microsoft 365. Os utilizadores sincronizados terão as mesmas experiências entre inquilinos do Teams e do Microsoft 365 disponíveis para qualquer outro utilizador de colaboração B2B.
- Não sincroniza grupos, dispositivos ou contatos.
Para obter mais informações, consulte O que é sincronização entre locatários?.
Organização multilocatária
A organização multilocatária é um recurso do Microsoft Entra ID e do Microsoft 365 que permite que você forme um grupo de locatários dentro da sua organização. Cada par de locatários no grupo é regido por configurações de acesso entre locatários que você pode usar para configurar a sincronização B2B ou entre locatários.
Aqui estão os principais benefícios de uma organização multilocatário:
- Diferenciar usuários externos dentro e fora da organização
- Experiência colaborativa melhorada no novo Microsoft Teams
- Experiência de pesquisa de pessoas melhorada entre inquilinos
Para obter mais informações, consulte O que é uma organização multilocatária no Microsoft Entra ID?.
Comparar recursos multilocatários
Dependendo das necessidades da sua organização, você pode usar qualquer combinação de conexão direta B2B, colaboração B2B, sincronização entre locatários e recursos de organização multilocatário. A conexão direta B2B e a colaboração B2B são recursos independentes, enquanto a sincronização entre locatários e os recursos de organização multilocatária são independentes um do outro, embora ambos dependam da colaboração B2B subjacente.
A tabela a seguir compara os recursos de cada recurso. Para obter mais informações sobre diferentes cenários de identidade externa, consulte Comparando conjuntos de recursos de identidades externas.
| Conexão direta B2B (Org-to-org externo ou interno) |
Colaboração B2B (Org-to-org externo ou interno) |
Sincronização entre inquilinos (Organização interna) |
Organização multilocatária (Organização interna) |
|
|---|---|---|---|---|
| Objetivo | Os usuários podem acessar os canais compartilhados do Teams Connect hospedados em locatários externos. | Os usuários podem acessar aplicativos/recursos hospedados em locatários externos, geralmente com privilégios de convidado limitados. Dependendo das configurações de resgate automático, os usuários podem precisar aceitar um prompt de consentimento em cada locatário. | Os utilizadores podem aceder facilmente a aplicações/recursos na mesma organização, mesmo que estejam alojados em inquilinos diferentes. | Os usuários podem colaborar mais facilmente em uma organização multilocatária em novas equipes e pesquisa de pessoas. |
| Valor | Permite a colaboração externa apenas nos canais compartilhados do Teams Connect. Mais conveniente para administradores porque eles não precisam gerenciar usuários B2B. | Permite a colaboração externa. Mais controle e monitoramento para administradores gerenciando os usuários de colaboração B2B. Os administradores podem limitar o acesso que esses usuários externos têm aos seus aplicativos/recursos. | Permite a colaboração entre inquilinos organizacionais. Os administradores não têm de convidar e sincronizar manualmente os utilizadores entre inquilinos para garantir o acesso contínuo a aplicações/recursos na organização. | Permite a colaboração entre inquilinos organizacionais. Os administradores continuam a ter capacidade de configuração total através de definições de acesso entre inquilinos. Os modelos opcionais de acesso entre locatários permitem a pré-configuração das configurações de acesso entre locatários. |
| Fluxo de trabalho do administrador principal | Configure o acesso entre locatários para fornecer aos usuários externos acesso de entrada ao locatário as credenciais para seu locatário doméstico. | Adicione usuários externos ao locatário de recursos usando o processo de convite B2B ou crie sua própria experiência de integração usando o gerenciador de convites de colaboração B2B. | Configure o mecanismo de sincronização entre locatários para sincronizar usuários entre vários locatários como usuários de colaboração B2B. | Crie uma organização multilocatário, adicione (convide) locatários, ingresse em uma organização multilocatário. Aproveite os usuários de colaboração B2B existentes ou use a sincronização entre locatários para provisionar usuários de colaboração B2B. |
| Nível de confiança | Confiança média. Os usuários de conexão direta B2B são menos fáceis de rastrear, exigindo um certo nível de confiança com a organização externa. | Confiança baixa a média. Os objetos de usuário podem ser rastreados facilmente e gerenciados com controles granulares. | Alta confiança. Todos os locatários fazem parte da mesma organização e os usuários normalmente recebem acesso de membro a todos os aplicativos/recursos. | Alta confiança. Todos os locatários fazem parte da mesma organização e os usuários normalmente recebem acesso de membro a todos os aplicativos/recursos. |
| Efeito nos utilizadores | Os usuários acessam o locatário do recurso usando as credenciais de seu locatário doméstico. Os objetos de usuário não são criados no locatário do recurso. | Os usuários externos são adicionados a um locatário como usuários de colaboração B2B. | Dentro da mesma organização, os usuários são sincronizados de seu locatário doméstico para o locatário de recurso como usuários de colaboração B2B. | Dentro da mesma organização multilocatário, os usuários de colaboração B2B, particularmente os usuários membros, se beneficiam da colaboração aprimorada e contínua no Microsoft 365. |
| Tipo de utilizador | Usuário de conexão direta B2B - N/A |
Usuário de colaboração B2B - Membro externo - Convidado externo (padrão) |
Usuário de colaboração B2B - Membro externo (padrão) - Convidado externo |
Usuário de colaboração B2B - Membro externo (padrão) - Convidado externo |
O diagrama a seguir mostra como os recursos de conexão direta B2B, colaboração B2B e sincronização entre locatários podem ser usados juntos.
Terminologia
Para entender melhor o cenário de organização multilocatário relacionado aos recursos do Microsoft Entra, consulte a lista de termos a seguir.
| Termo | Definição |
|---|---|
| inquilino | Uma instância do Microsoft Entra ID. |
| organização | O nível superior de uma hierarquia empresarial. |
| Organização multilocatária | Uma organização que tenha mais de uma instância do Microsoft Entra ID, bem como um recurso para agrupar essas instâncias no Microsoft Entra ID. |
| inquilino criador | O locatário que criou a organização multilocatário. |
| inquilino proprietário | Um inquilino com a função de proprietário. Inicialmente, o inquilino criador. |
| inquilino adicionado | Um inquilino que foi adicionado por um inquilino proprietário. |
| inquilino marceneiro | Um locatário que está ingressando na organização multilocatário. |
| pedido de adesão | Um marceneiro ou locatário adicionado envia uma solicitação de associação para ingressar na organização multilocatário. |
| inquilino pendente | Um inquilino que foi adicionado por um proprietário, mas que ainda não aderiu. |
| inquilino ativo | Um locatário que criou ou ingressou na organização multilocatário. |
| inquilino membro | Um locatário com a função de membro. A maioria dos inquilinos marceneiros começa como membros. |
| locatário da organização multilocatária | Um locatário ativo da organização multilocatário, não pendente. |
| Sincronização entre locatários | Um serviço de sincronização unidirecional no Microsoft Entra ID que automatiza a criação, atualização e exclusão de usuários de colaboração B2B entre locatários em uma organização. |
| Configurações de acesso entre locatários | Configurações para gerenciar a colaboração para organizações específicas do Microsoft Entra. |
| Modelo de configurações de acesso entre locatários | Um modelo opcional para pré-configurar as configurações de acesso entre locatários que são aplicadas a qualquer locatário parceiro recém-ingressado na organização multilocatário. |
| configurações organizacionais | Configurações de acesso entre locatários para organizações específicas do Microsoft Entra. |
| configuração | Um aplicativo e entidade de serviço subjacente no Microsoft Entra ID que inclui as configurações (como locatário de destino, escopo do usuário e mapeamentos de atributo) necessárias para a sincronização entre locatários. |
| aprovisionamento | O processo de criação ou sincronização automática de objetos através de um limite. |
| Resgate automático | Uma configuração B2B para resgatar automaticamente convites para que os usuários recém-criados não recebam um e-mail de convite ou precisem aceitar uma solicitação de consentimento quando adicionados a um locatário de destino. |