Topologien für die mandantenübergreifende Zusammenarbeit

  • Artikel

Organisationen finden sich häufig selbst bei der Verwaltung mehrerer Mandanten aufgrund von Fusionen und Übernahmen, behördlichen Anforderungen oder administrativen Grenzen. Unabhängig von Ihrem Szenario bietet Microsoft Entra eine flexible und einsatzbereite Lösung für die Bereitstellung von Konten über Mandanten hinweg und erleichtert die nahtlose Zusammenarbeit. Microsoft Entra passt die folgenden drei Modelle an und kann sich an Ihre sich entwickelnden Organisationsanforderungen anpassen.

  • Hub-and-Spoke-Modell
  • Mesh
  • Just-In-Time

Hub-and-Spoke-Modell

Die Hub- und Spoke-Topologie stellt zwei häufige Muster dar:

  • Option 1 (Anwendungshub): In dieser Option können Sie häufig verwendete Anwendungen in einen zentralen Hubmandanten integrieren, auf den Benutzer aus der gesamten Organisation zugreifen können.

  • Option 2 (Benutzerhub): Option 2 zentralisiert alternativ alle Ihre Benutzer in einem einzigen Mandanten und stellt sie in Spoke-Mandanten zur Bereitstellung vor, in denen Ressourcen verwaltet werden.

Lassen Sie uns einige reale Szenarien untersuchen und sehen, wie sie mit jedem dieser Modelle übereinstimmen.

Fusionen und Akquisitionen (Anwendungshub)

Bei Fusionen und Übernahmen ist die Fähigkeit, die Zusammenarbeit schnell zu ermöglichen, entscheidend, sodass Unternehmen zusammenarbeiten können, während komplexe IT-Entscheidungen getroffen werden. Wenn beispielsweise Mitarbeiter eines neu erworbenen Unternehmens sofortigen Zugriff auf Anwendungen wie das interne Helpdesk-Ticketingsystem oder die Leistungsanwendung benötigen, ist die mandantenübergreifende Synchronisierung von unschätzbarem Wert. Mit diesem Synchronisierungsprozess können Benutzer aus dem erworbenen Unternehmen vom ersten Tag an im Anwendungshub bereitgestellt werden, sodass sie Zugriff auf SaaS-Apps, lokale Anwendungen und andere Cloudressourcen erhalten. Innerhalb des Zielmandanten können Administratoren Zugriffspakete einrichten, um zeitlich begrenzten Zugriff auf zusätzliche Anwendungen wie Salesforce und Amazon Web Services zu gewähren, die geschäftskritische Daten enthalten. Das folgende Diagramm zeigt kürzlich erworbene Mandanten auf der linken Seite und deren Benutzer, die im Mandanten des Mutterunternehmens bereitgestellt werden, wodurch Benutzern Zugriff auf die erforderlichen Ressourcen gewährt wird.

Darstellung der Synchronisierung mehrerer Quellmandanten mit einem einzelnen Zielmandanten.

Separate Zusammenarbeit und Ressourcenmandanten (Benutzerhub)

Wenn Organisationen ihre Nutzung von Azure skalieren, erstellen sie häufig dedizierte Mandanten für die Verwaltung kritischer Azure-Ressourcen. Unterdessen verlassen sie sich auf einen zentralen Hubmandanten für die Benutzerbereitstellung. Mit diesem Modell können Administratoren im Hubmandanten zentrale Sicherheits- und Governance-Richtlinien einrichten und Entwicklungsteams eine größere Autonomie und Flexibilität für die Bereitstellung erforderlicher Azure-Ressourcen gewähren. Die mandantenübergreifende Synchronisierung unterstützt diese Topologie, indem Administratoren eine Teilmenge von Benutzern in den Spoke-Mandanten bereitstellen und den Lebenszyklus dieser Benutzer verwalten können.

Darstellung der Synchronisierung eines Quellmandanten mit mehreren Zielmandanten.

Mesh

Während einige Unternehmen ihre Benutzer in einem einzigen Mandanten zentralisieren, verfügen andere über eine dezentralere Struktur mit Anwendungen, HR-Systemen und Active Directory-Domänen, die in jeden Mandanten integriert sind. Die mandantenübergreifende Synchronisierung bietet die Flexibilität, auszuwählen, welche Benutzer in jedem Mandanten bereitgestellt werden.

Zusammenarbeit innerhalb eines Portfoliounternehmens (partielles Gittermodell)

In diesem Szenario stellt jeder Mandant ein anderes Unternehmen innerhalb derselben übergeordneten Organisation dar. Administratoren in jedem Mandanten wählen eine Teilmenge von Benutzern aus, die im Zielmandanten bereitgestellt werden sollen. Diese Lösung bietet jedem Mandanten die Flexibilität, unabhängig zu arbeiten, und erleichtert gleichzeitig die Zusammenarbeit, wenn Benutzer Zugang zu kritischen Ressourcen benötigen.

Diagramm, das eine partielle Gittertopologie zeigt, die mit mehreren Mandanten synchronisiert wird.

Die mandantenübergreifende Synchronisierung erfolgt unidirektional. Ein interner Mitgliedsbenutzer kann als externer Benutzer in mehrere Mandanten synchronisiert werden. Wenn die Topologie zeigt, dass eine Synchronisierung in beide Richtungen verläuft, handelt es sich um einen eigenen Satz von Benutzern in jede Richtung, und jeder Pfeil beschreibt eine separate Konfiguration.

Zusammenarbeit über Geschäftsbereiche hinweg (full-mesh)

In diesem Szenario hat die Organisation für jede Geschäftseinheit unterschiedliche Mandanten festgelegt. Die Geschäftseinheiten arbeiten eng zusammen, insbesondere unter Verwendung von Microsoft Teams. Daher hat sich jeder Mandant entschieden, alle Benutzer in den vier Mandanten in der Organisation bereitzustellen. Wenn neue Benutzer dem Unternehmen beitreten oder dieses verlassen, kümmert sich der Bereitstellungsdienst um das Erstellen und Löschen von Benutzern. Die Organisation hat auch eine mehrinstanzenfähige Organisation konfiguriert, die alle vier Mandanten enthält. Wenn Benutzer jetzt in Teams zusammenarbeiten müssen, können sie Benutzer im gesamten Unternehmen problemlos finden und Chats und Besprechungen mit diesen Benutzern starten.

Darstellung einer Full-Mesh-Topologie zur Synchronisierung mit mehreren Mandanten.

Just-In-Time

Während die bisher erörterten Szenarien die Zusammenarbeit innerhalb einer Organisation abdecken, gibt es Fälle, in denen die organisationsübergreifende Zusammenarbeit von entscheidender Bedeutung ist. Dies könnte sich im Rahmen von Joint Ventures oder Organisationen unabhängiger juristischer Personen befinden. Durch die Verwendung von verbundenen Organisationen und der Berechtigungsverwaltung können Sie Richtlinien für den Zugriff auf Ressourcen in verbundenen Organisationen definieren und Benutzern ermöglichen, den Zugriff auf die benötigten Ressourcen anzufordern.

Joint Ventures

Betrachten Sie Contoso und Litware, separate Organisationen, die in einem mehrjährigen Joint Venture tätig sind. Sie müssen eng zusammenarbeiten. Administratoren bei Contoso haben Zugriffspakete definiert, welche die Ressourcen enthalten, die von Litware-Benutzern benötigt werden. Wenn ein neuer Litware-Mitarbeiter Zugriff auf die Ressourcen von Contoso benötigt, kann er Zugriff auf das Zugriffspaket anfordern. Nach Genehmigung werden sie mit den erforderlichen Ressourcen bereitgestellt. Der Zugriff kann zeitlich begrenzt sein und regelmäßig überprüft werden, um die Einhaltung der Governance-Anforderungen von Contoso sicherzustellen.

Das folgende Diagramm zeigt, wie zwei Organisationen just-in-time zusammenarbeiten können, indem verbundene Organisationen und Berechtigungsverwaltung verwendet werden.

Diagramm, das die Just-in-Time-Zusammenarbeit mit Hilfe von verbundenen Organisationen und der Verwaltung von Berechtigungen zeigt.

Unterstützte Szenarios

Die mandantenübergreifende Synchronisierung unterstützt das Importieren interner Benutzer im Quellmandanten und die Bereitstellung externer Benutzer im Zielmandanten.

Quellmandantenanmeldeinformationen Benutzertyp des Quellmandanten Zielmandantenanmeldeinformationen Zielmandantenbenutzertyp Szenario unterstützt?
Intern Member Extern Member Ja
Intern Member Extern Gast Ja
Intern Gast Extern Member Ja
Intern Gast Extern Gast Ja
Intern Member Intern Member Nein
Intern Member Intern Gast Nein
Intern Gast Intern Member Nein
Intern Gast Intern Gast Nein
Extern Member Extern Member Nein
Extern Member Extern Gast Nein
Extern Gast Extern Member Nein
Extern Gast Extern Gast Nein

Nächste Schritte