Možnosti víceklientských organizací v Microsoft Entra ID

Tento článek obsahuje přehled scénáře víceklientských organizací a souvisejících funkcí v Microsoft Entra ID.

Jaký je scénář víceklientských organizací?

Scénář víceklientských organizací nastane, když má organizace více než jednu instanci tenanta Microsoft Entra ID. Tady jsou hlavní důvody, proč může mít organizace více tenantů:

  • Conglomeráty: Organizace s více pobočkami nebo obchodními jednotkami, které fungují nezávisle.
  • Fúze a akvizice: Organizace, které sloučí nebo získávají společnosti.
  • Aktivita divestiture: V podrobné dokumentaci se jedna organizace rozdělí mimo svou firmu a vytvoří novou organizaci nebo ji prodává stávající organizaci.
  • Více cloudů: Organizace, které mají dodržování předpisů nebo zákonné požadavky, musí existovat v několika cloudových prostředích.
  • Více geografických hranic: Organizace, které pracují v několika geografických lokalitách s různými předpisy o rezidenci.
  • Testovací nebo přípravní tenanti: Organizace, které potřebují více tenantů pro účely testování nebo přípravy před nasazením do primárních tenantů.
  • Tenanti vytvořená oddělením nebo zaměstnanci: Organizace, ve kterých oddělení nebo zaměstnanci vytvořili tenanty pro vývoj, testování nebo samostatné řízení.

Co je tenant Microsoft Entra?

Tenant je instance ID Microsoft Entra, ve kterém se nacházejí informace o jedné organizaci, včetně organizačních objektů, jako jsou uživatelé, skupiny a zařízení, a také registrace aplikací, jako jsou aplikace Microsoft 365 a aplikace třetích stran. Tenant také obsahuje zásady přístupu a dodržování předpisů pro prostředky, jako jsou aplikace zaregistrované v adresáři. Mezi primární funkce obsluhované tenantem patří ověřování identit a správa přístupu k prostředkům.

Z pohledu Microsoft Entra tvoří tenant obor správy identit a přístupu. Správce tenanta například zpřístupní aplikaci některým nebo všem uživatelům v tenantovi a vynucuje zásady přístupu pro tuto aplikaci pro uživatele v daném tenantovi. Tenant navíc obsahuje data brandingu organizace, která řídí prostředí koncových uživatelů, jako jsou e-mailové domény organizací a adresy URL SharePointu používané zaměstnanci v této organizaci. Z pohledu Microsoftu 365 tenant tvoří výchozí hranici spolupráce a licencování. Uživatelé v Microsoft Teams nebo Microsoft Outlooku můžou například snadno najít a spolupracovat s ostatními uživateli ve svém tenantovi, ale nemají možnost najít nebo zobrazit uživatele v jiných tenantech.

Tenanti obsahují privilegovaná data organizace a jsou bezpečně izolovaní od jiných tenantů. Kromě toho je možné tenanty nakonfigurovat tak, aby data trvala a zpracovávala v konkrétní oblasti nebo cloudu, což organizacím umožňuje používat tenanty jako mechanismus pro splnění požadavků na rezidenci dat a zpracování požadavků na dodržování předpisů.

Problémy s více tenanty

Vaše organizace mohla nedávno získat novou společnost, sloučenou s jinou společností nebo restrukturalizovat na základě nově vytvořených organizačních jednotek. Pokud máte různorodé systémy správy identit, může být pro uživatele v různých tenantech obtížné přistupovat k prostředkům a spolupracovat.

Následující diagram ukazuje, jak uživatelé v jiných tenantech nemusí mít přístup k aplikacím napříč tenanty ve vaší organizaci.

Diagram znázorňující, jak uživatelé nemůžou přistupovat k aplikacím napříč tenanty

Jak se vaše organizace vyvíjí, musí se váš IT tým přizpůsobit měnícím se potřebám. To často zahrnuje integraci s existujícím tenantem nebo vytvoření nového tenanta. Bez ohledu na to, jak je infrastruktura identit spravovaná, je důležité, aby uživatelé měli bezproblémové prostředí pro přístup k prostředkům a spolupráci. V současné chvíli možná používáte vlastní skripty nebo místní řešení k propojení tenantů, abyste zajistili bezproblémové prostředí napříč tenanty.

Víceklientských možností pro víceklientských organizací

Víceklientských organizací v Microsoft Entra ID nabízí portfolio víceklientských funkcí, které můžete použít k bezpečné interakci s uživateli ve vaší organizaci více tenantů a k automatickému zřizování a správě těchto uživatelů napříč vašimi tenanty.

Několik z těchto víceklientských funkcí sdílí společný technologický zásobník s Microsoft Entra Externí ID pro obchodní hosty a zřizování aplikací v Microsoft Entra ID, takže můžete často najít křížové odkazy na tyto další oblasti. Microsoft 365 for Enterprise využívá víceklientských funkcí k povolení nebo usnadnění bezproblémové spolupráce s více tenanty v Microsoft Teams a v aplikacích Microsoft 365.

Následující sada víceklientských funkcí podporuje potřeby víceklientských organizací:

  • Nastavení přístupu mezi tenanty – Spravuje, jak váš tenant povoluje nebo zakáže přístup k vašemu tenantovi z jiných tenantů ve vaší organizaci nebo naopak. Řídí spolupráci B2B, přímé připojení B2B, synchronizaci mezi tenanty a indikují, jestli je další tenant vaší organizace známý jako součást vaší organizace s více tenanty.

  • Přímé propojení B2B – Vytvoří vzájemnou obousměrnou důvěru s jiným tenantem Microsoft Entra pro bezproblémovou spolupráci. Uživatelé přímého připojení B2B nejsou ve vašem adresáři reprezentováni, ale jsou viditelné v Teams pro spolupráci ve sdílených kanálech Teams.

  • Spolupráce B2B – Poskytuje přístup k aplikacím a spolupráci s externími uživateli. Uživatelé spolupráce B2B jsou ve vašem adresáři reprezentováni. Pokud je tato možnost povolená, jsou k dispozici v Microsoft Teams pro spolupráci. Jsou také dostupné napříč aplikacemi Microsoftu 365.

  • Synchronizace mezi tenanty – poskytuje synchronizační službu, která automatizuje vytváření, aktualizaci a odstraňování uživatelů spolupráce B2B ve vaší organizaci více tenantů. Službu je možné použít k určení rozsahu vyhledávání uživatelů Microsoftu 365 v cílových tenantech. Služba se řídí nastavením synchronizace mezi tenanty v nastavení přístupu mezi tenanty.

  • Hledání víceklientských uživatelů Microsoftu 365 – Spolupráce s uživateli spolupráce B2B Pokud se zobrazí v seznamu adres, uživatelé spolupráce B2B jsou v Outlooku k dispozici jako kontakty. Pokud je uživatel se zvýšenými oprávněními na typ Člen, jsou členové spolupráce B2B k dispozici ve většině aplikací Microsoftu 365.

  • Víceklientské organizace – definuje hranici kolem tenantů Microsoft Entra, které vaše organizace vlastní, což usnadňuje tok pozvání a přijetí. Ve spojení se zřizováním členů B2B umožňuje bezproblémové možnosti spolupráce v aplikacích Microsoft Teams a Microsoft 365, jako je Microsoft Viva Engage. Nastavení přístupu mezi tenanty poskytují příznak pro tenanty s více tenanty organizace.

  • Centrum pro správu Microsoftu 365 pro spolupráci s více tenanty – poskytuje intuitivní prostředí portálu pro správu pro vytvoření víceklientské organizace. Pro menší víceklientské organizace poskytuje také zjednodušené prostředí pro synchronizaci uživatelů s tenanty s více tenanty organizace jako alternativu k používání Centra pro správu Microsoft Entra.

Následující části popisují jednotlivé funkce podrobněji.

Nastavení přístupu mezi tenanty

Správci tenantů Microsoft Entra, kteří zůstávají pod kontrolou prostředků v oboru tenanta, je hlavní princip, a to i v rámci vaší organizace více tenantů. Nastavení přístupu mezi tenanty se proto vyžaduje pro každou relaci mezi tenanty a správci tenantů explicitně nakonfigurují jednotlivé relace přístupu mezi tenanty podle potřeby.

Následující diagram znázorňuje základní možnosti příchozího a odchozího přístupu mezi tenanty.

Přehledový diagram nastavení přístupu mezi tenanty

Další informace najdete v tématu Přehled přístupu mezi tenanty.

Přímé připojení B2B

Pokud chcete uživatelům napříč tenanty umožnit spolupráci v Propojení Teams sdílených kanálech, můžete použít přímé připojení Microsoft Entra B2B. Přímé připojení B2B je funkce externího ID, která umožňuje nastavit vzájemný vztah důvěryhodnosti s jiným tenantem Microsoft Entra pro bezproblémovou spolupráci v Teams. Po navázání vztahu důvěryhodnosti má uživatel přímého připojení B2B přístup k jednotnému přihlašování pomocí přihlašovacích údajů ze svého domovského tenanta.

Tady je primární omezení s použitím přímého připojení B2B napříč více tenanty:

  • Přímé připojení B2B v současné době funguje jenom s Propojení Teams sdílenými kanály.

Diagram znázorňující přímé připojení B2B napříč tenanty

Další informace najdete v tématu Přehled přímého připojení B2B.

Spolupráce B2B

Pokud chcete uživatelům umožnit spolupráci mezi tenanty, můžete použít spolupráci Microsoft Entra B2B. Spolupráce B2B je funkce v rámci externího ID, která umožňuje pozvat uživatele typu host, aby spolupracovali s vaší organizací. Jakmile externí uživatel uplatní pozvánku nebo dokončí registraci, bude ve vašem tenantovi reprezentován jako objekt uživatele. Díky spolupráci B2B můžete bezpečně sdílet aplikace a služby tenanta s externími uživateli a současně udržovat kontrolu nad daty tenanta.

Tady jsou primární omezení při použití spolupráce B2B napříč několika tenanty:

  • Správci musí pozvat uživatele pomocí procesu pozvání B2B nebo vytvořit prostředí pro onboarding pomocí správce pozvánek na spolupráci B2B.
  • Správci můžou muset synchronizovat uživatele pomocí vlastních skriptů.
  • V závislosti na nastavení automatického uplatnění může být potřeba, aby uživatelé přijali výzvu k vyjádření souhlasu a postup uplatnění v každém tenantovi.

Diagram znázorňující použití spolupráce B2B napříč tenanty

Další informace najdete v tématu Přehled spolupráce B2B.

Synchronizace mezi tenanty

Pokud chcete, aby uživatelé měli plynulejší prostředí pro spolupráci napříč tenanty, můžete použít synchronizaci mezi tenanty v Microsoft Entra ID. Synchronizace mezi tenanty je jednosměrná synchronizační služba v Microsoft Entra ID, která automatizuje vytváření, aktualizaci a odstraňování uživatelů spolupráce B2B napříč tenanty v organizaci. Synchronizace mezi tenanty vychází z funkcí spolupráce B2B a využívá stávající nastavení přístupu mezi tenanty B2B. Uživatelé jsou v cílovém tenantovi reprezentováni jako objekt uživatele spolupráce B2B.

Tady jsou hlavní výhody při použití synchronizace mezi tenanty:

  • Automaticky vytvářet uživatele spolupráce B2B ve vaší organizaci a poskytovat jim přístup k potřebným aplikacím bez vytváření a údržby vlastních skriptů.
  • Vylepšete uživatelské prostředí a zajistěte, aby uživatelé měli přístup k prostředkům, aniž by dostali e-mail s pozvánkou a museli v každém tenantovi přijmout výzvu k vyjádření souhlasu.
  • Automaticky aktualizujte uživatele a odeberte je, když opustí organizaci.

Tady jsou primární omezení s použitím synchronizace mezi tenanty mezi tenanty mezi tenanty:

  • Synchronizovaní uživatelé budou mít mezi tenanty k dispozici stejná prostředí Teams a Microsoft 365 jako jakýkoli jiný uživatel spolupráce B2B.
  • Nesynchronizuje skupiny, zařízení ani kontakty.

Diagram znázorňující použití synchronizace mezi tenanty napříč tenanty

Další informace najdete v tématu Co je synchronizace mezi tenanty?.

Uživatelům spolupráce B2B je teď možné povolit spolupráci v Microsoftu 365 nad rámec známého uživatelského prostředí hosta pro spolupráci B2B.

Vyhledávání lidí ve víceklientských organizacích je funkce pro spolupráci, která umožňuje vyhledávání a zjišťování lidí ve více tenantech. Pokud se zobrazí v seznamu adres, uživatelé spolupráce B2B jsou v Outlooku k dispozici jako kontakty. Kromě zobrazení v seznamu adres jsou členové spolupráce B2B ve většině aplikací Microsoftu 365 k dispozici i v případě dalšího zvýšení úrovně na typ uživatele.

Tady jsou hlavní výhody používání vyhledávání uživatelů Microsoftu 365 ve více tenantech:

Tady jsou hlavní omezení používání vyhledávání uživatelů Microsoftu 365 napříč více tenanty:

Další informace najdete v tématu Microsoft 365 pro víceklientských lidí, kteří hledají.

Víceklientová organizace

Víceklientské organizace je funkce v Microsoft Entra ID a Microsoft 365, která umožňuje definovat hranici kolem tenantů Microsoft Entra, které vlastní vaše organizace. V adresáři má formu skupiny tenantů, která představuje vaši organizaci. Každá dvojice tenantů ve skupině se řídí nastavením přístupu mezi tenanty, která můžete použít ke konfiguraci spolupráce B2B.

Tady jsou hlavní výhody víceklientských organizací:

  • Rozlišení externích uživatelů mimo organizaci a mimo organizaci
  • Vylepšené prostředí pro spolupráci v novém Microsoft Teams
  • Vylepšené prostředí pro spolupráci v aplikaci Viva Engage

Tady jsou primární omezení s použitím víceklientských organizací:

  • Pokud už máte členy spolupráce B2B v tenantech, kteří jsou součástí víceklientských organizací, stanou se tito uživatelé okamžitě členy víceklientských organizací při vytváření víceklientských organizací. Aplikace s prostředím pro víceklientských organizací proto budou rozpoznávat stávající uživatele členů spolupráce B2B jako víceklientských uživatelů organizace.
  • Vylepšená spolupráce v Microsoft Teams závisí na vzájemném zřizování uživatelů členů spolupráce B2B.
  • Vylepšená spolupráce Viva Engage spoléhá na centralizované zřizování členů spolupráce B2B.
  • Další omezení najdete v tématu Omezení ve víceklientských organizacích.

Diagram znázorňující topologii víceklientských organizací a nastavení přístupu mezi tenanty

Další informace naleznete v tématu Co je víceklientských organizací v Microsoft Entra ID?.

Centrum pro správu Microsoftu 365 pro spolupráci s více tenanty

Centrum pro správu Microsoftu 365 pro spolupráci s více tenanty poskytuje intuitivní prostředí portálu pro správu pro vytvoření víceklientské organizace.

Po vytvoření víceklientské organizace nabízí Microsoft dvě metody zřizování zaměstnanců do sousedních tenantů víceklientské organizace ve velkém měřítku.

  • Pro podnikové organizace s komplexní topologií identit doporučujeme použít synchronizaci mezi tenanty v Microsoft Entra ID. Synchronizace mezi tenanty je vysoce konfigurovatelná a umožňuje zřizování jakékoli topologie více paprskových identit s více rozbočovači.
  • V případě menších organizací s více tenanty, ve kterých mají být zaměstnanci zřízeni ve všech tenantech, doporučujeme zůstat v Centrum pro správu Microsoftu 365 současně synchronizovat uživatele do několika tenantů vaší víceklientských organizací.

Pokud už máte vlastní modul zřizování uživatelů ve velkém měřítku, můžete využívat nové výhody víceklientských organizací a zároveň nadále používat vlastní modul ke správě životního cyklu zaměstnanců.

Tady jsou hlavní výhody použití Centrum pro správu Microsoftu 365 k vytvoření víceklientských organizací a zřizování zaměstnanců.

  • Centrum pro správu Microsoftu 365 poskytuje grafické uživatelské prostředí pro vytvoření víceklientských organizací.
  • Centrum pro správu Microsoftu 365 předem nakonfigurují vaše tenanty pro automatické uplatnění pozvánek na spolupráci B2B.
  • Centrum pro správu Microsoftu 365 předem nakonfiguruje vaše tenanty pro příchozí synchronizaci uživatelů, i když použití synchronizace mezi tenanty zůstává volitelné.
  • Centrum pro správu Microsoftu 365 umožňuje snadné zřizování zaměstnanců do více tenantů vaší organizace s více tenanty.

Tady jsou primární omezení použití Centrum pro správu Microsoftu 365 k vytvoření víceklientských organizací nebo zřizování zaměstnanců:

  • Centrum pro správu Microsoftu 365 předem nakonfiguruje, ale nespustí úlohy synchronizace mezi tenanty, i když máte v úmyslu použít synchronizaci mezi tenanty v Centru pro správu Microsoft Entra.
  • Topologie komplexní identity, jako jsou multi-hub, multi-paprskové systémy, jsou lépe zřízeny pomocí synchronizace mezi tenanty na portálu pro správu Microsoft Entra.

Další informace najdete v tématu Spolupráce s více tenanty Microsoftu 365.

Porovnání víceklientských možností

V závislosti na potřebách vaší organizace můžete použít libovolnou kombinaci přímého připojení B2B, spolupráce B2B, synchronizace mezi tenanty a možností víceklientských organizací. Přímé připojení B2B a spolupráce B2B jsou nezávislé možnosti, zatímco synchronizace mezi tenanty a možnosti víceklientských organizací jsou nezávislé na sobě, i když oba spoléhají na základní spolupráci B2B.

Následující tabulka porovnává možnosti jednotlivých funkcí. Další informace o různých scénářích externí identity najdete v tématu Porovnání sad funkcí externího ID.

Přímé připojení B2B
(externí nebo interní organizace)
Spolupráce B2B
(externí nebo interní organizace)
Synchronizace mezi tenanty
(Interní organizace)
Víceklientová organizace
(Interní organizace)
Účel Uživatelé mají přístup k Propojení Teams sdíleným kanálům hostovaným v externích tenantech. Uživatelé mají přístup k aplikacím nebo prostředkům hostovaným v externích tenantech, obvykle s omezenými oprávněními hosta. V závislosti na nastavení automatického uplatnění může být potřeba, aby uživatelé v každém tenantovi přijali výzvu k vyjádření souhlasu. Uživatelé můžou bezproblémově přistupovat k aplikacím a prostředkům ve stejné organizaci, i když jsou hostovaní v různých tenantech. Uživatelé můžou bezproblémově spolupracovat v rámci víceklientských organizací v nových Teams a Viva Engage.
Hodnota Umožňuje externí spolupráci jenom ve sdílených kanálech Propojení Teams. Pohodlnější pro správce, protože nemusí spravovat uživatele B2B. Umožňuje externí spolupráci. Větší kontrola a monitorování pro správce prostřednictvím správy uživatelů spolupráce B2B. Správci můžou omezit přístup, který tito externí uživatelé mají ke svým aplikacím nebo prostředkům. Umožňuje spolupráci mezi tenanty organizace. Správci nemusí ručně zvát uživatele a synchronizovat je mezi tenanty, aby zajistili nepřetržitý přístup k aplikacím nebo prostředkům v rámci organizace. Umožňuje spolupráci mezi tenanty organizace. Správci budou mít nadále plnou možnost konfigurace pomocí nastavení přístupu mezi tenanty. Volitelné šablony přístupu mezi tenanty umožňují předkonfiguraci nastavení přístupu mezi tenanty.
Pracovní postup primárního správce Nakonfigurujte přístup mezi tenanty tak, aby externím uživatelům poskytoval příchozí přístup k tenantovi přihlašovací údaje pro svého domácího tenanta. Přidejte externí uživatele do tenanta prostředků pomocí procesu pozvání B2B nebo vytvořte vlastní prostředí pro onboarding pomocí správce pozvánek na spolupráci B2B. Nakonfigurujte synchronizační modul mezi tenanty tak, aby synchronizoval uživatele mezi více tenanty jako uživatele spolupráce B2B. Vytvořte víceklientovou organizaci, přidejte (pozvat) tenanty, připojte se k organizaci s více tenanty. Použijte stávající uživatele spolupráce B2B nebo použijte synchronizaci mezi tenanty ke zřízení uživatelů spolupráce B2B.
Úroveň důvěryhodnosti Střední důvěra. Uživatelé přímého připojení B2B se snadněji sledují a zatěžují určitou úroveň důvěryhodnosti s externí organizací. Nízká až střední důvěra. Uživatelské objekty je možné snadno sledovat a spravovat pomocí podrobných ovládacích prvků. Vysoká důvěra. Všichni tenanti jsou součástí stejné organizace a uživatelé mají obvykle udělený přístup ke všem aplikacím a prostředkům. Vysoká důvěra. Všichni tenanti jsou součástí stejné organizace a uživatelé mají obvykle udělený přístup ke všem aplikacím a prostředkům.
Vliv na uživatele Uživatelé přistupují k tenantovi prostředku pomocí přihlašovacích údajů pro svého domácího tenanta. Objekty uživatele se nevytvořily v tenantovi prostředků. Externí uživatelé se přidají do tenanta jako uživatelé spolupráce B2B. Ve stejné organizaci se uživatelé synchronizují ze svého domovského tenanta do tenanta prostředků jako uživatelé spolupráce B2B. Ve stejné organizaci s více tenanty můžou uživatelé spolupráce B2B, zejména členové, využívat výhod rozšířené a bezproblémové spolupráce v Microsoftu 365.
Typ uživatele Uživatel přímého připojení B2B
-NENÍ K DISPOZICI
Uživatel spolupráce B2B
– Externí člen
– Externí host (výchozí)
Uživatel spolupráce B2B
– Externí člen (výchozí)
- Externí host
Uživatel spolupráce B2B
– Externí člen (výchozí)
- Externí host

Následující diagram znázorňuje, jak lze společně používat možnosti přímého připojení B2B, spolupráce B2B a synchronizace mezi tenanty.

Diagram znázorňující různé funkce s více tenanty

Terminologie

Pokud chcete lépe porozumět scénářům víceklientských organizací souvisejících s funkcemi Microsoft Entra, můžete se vrátit k následujícímu seznamu termínů.

Pojem definice
klient An instance of Microsoft Entra ID.
organization Nejvyšší úroveň obchodní hierarchie.
víceklientských organizací Organizace, která má více než jednu instanci MICROSOFT Entra ID, a také schopnost seskupit tyto instance v Microsoft Entra ID.
tenant creator Tenant, který vytvořil víceklientovou organizaci.
tenant vlastníka Tenant s rolí Vlastník. Na začátku tenant tvůrce.
přidání tenanta Tenant přidaný tenantem vlastníka.
joiner tenant Tenant, který se připojuje k organizaci s více tenanty.
žádost o připojení Joiner nebo přidaný tenant odešle žádost o připojení pro připojení k organizaci s více tenanty.
čekající tenant Tenant přidaný vlastníkem, ale ještě se nepřipojil.
aktivní tenant Tenant, který vytvořil nebo se připojil k organizaci s více tenanty.
tenant člena Tenant s rolí člena. Většina tenantů spojování začíná jako členové.
tenant víceklientských organizací Aktivní tenant víceklientských organizací, které nejsou čekající na vyřízení.
synchronizace mezi tenanty Jednosměrná synchronizační služba v Microsoft Entra ID, která automatizuje vytváření, aktualizaci a odstraňování uživatelů spolupráce B2B napříč tenanty v organizaci.
Nastavení přístupu mezi tenanty Nastavení pro správu spolupráce pro konkrétní organizace Microsoft Entra
Šablona nastavení přístupu mezi tenanty Volitelná šablona pro předkonfigurování nastavení přístupu mezi tenanty, která se použijí pro každého partnerského tenanta, který se nově připojí k víceklientové organizaci.
nastavení organizace Nastavení přístupu mezi tenanty pro konkrétní organizace Microsoft Entra
konfigurace Aplikace a základní instanční objekt v MICROSOFT Entra ID, které zahrnuje nastavení (například cílového tenanta, obor uživatele a mapování atributů) potřebné pro synchronizaci mezi tenanty.
Zřizování Proces automatického vytváření nebo synchronizace objektů přes hranici.
automatické uplatnění Nastavení B2B pro automatické uplatnění pozvánek, aby nově vytvořená uživatelé nedostali e-mail s pozvánkou nebo museli přijmout výzvu k vyjádření souhlasu při přidání do cílového tenanta.

Další kroky