Introduzione alla gestione utenti multi-tenant

  • Articolo

Questo è il primo di una serie di articoli che fornisce materiale sussidiario per la configurazione e la gestione del ciclo di vita degli utenti negli ambienti multi-tenant di Microsoft Entra. Gli articoli seguenti della serie forniscono altre informazioni, come descritto.

  • Scenari di gestione utenti multi-tenant descrive tre scenari per i quali è possibile usare le funzionalità di gestione utenti multi-tenant: avviato dall'utente finale, con script e automatizzato.
  • Considerazioni comuni per la gestione utenti multi-tenant fornisce materiale sussidiario relativo a: sincronizzazione tra tenant, oggetto directory, Accesso condizionale di Microsoft Entra, controllo di accesso aggiuntivo e Office 365.
  • Soluzioni comuni per la gestione utenti multi-tenant; quando la tenancy singola non funziona per lo scenario in uso, questo articolo fornisce materiale sussidiario relativo alle problematiche seguenti: gestione automatica del ciclo di vita degli utenti, assegnazione delle risorse tra tenant e condivisione di app locali tra tenant.

Il materiale sussidiario aiuta a ottenere uno stato coerente della gestione del ciclo di vita degli utenti. La gestione del ciclo di vita include il provisioning, la gestione e il deprovisioning degli utenti tra tenant usando gli strumenti di Azure disponibili che includono la collaborazione B2B di Microsoft Entra (B2B) e la sincronizzazione tra tenant.

Il provisioning degli utenti in un tenant singolo di Microsoft Entra offre una visualizzazione unificata delle risorse e un unico set di criteri e controlli. Questo approccio consente una gestione coerente del ciclo di vita degli utenti.

Quando possibile, Microsoft consiglia un tenant singolo. La presenza di più tenant può comportare requisiti unici di collaborazione e gestione tra tenant. Quando il consolidamento in un tenant singolo di Microsoft Entra non è possibile, le organizzazioni multi-tenant possono estendersi su due o più tenant di Microsoft Entra per i motivi seguenti.

  • Fusioni
  • Acquisizioni
  • Dismissioni
  • Collaborazioni tra cloud pubblici, sovrani e regionali
  • Strutture politiche o organizzative che impediscono il consolidamento in un singolo tenant di Microsoft Entra

Collaborazione B2B di Microsoft Entra

Collaborazione B2B di Microsoft Entra (B2B) consente di condividere in modo sicuro le applicazioni e i servizi aziendali con utenti esterni. Quando gli utenti provengono da qualsiasi organizzazione, B2B consente di mantenere il controllo sull'accesso all'ambiente IT e ai dati.

È possibile usare la collaborazione B2B per fornire l'accesso esterno agli utenti dell'organizzazione per accedere a più tenant gestiti. Tradizionalmente, l'accesso utente esterno a B2B può autorizzare l'accesso agli utenti non gestiti dalla propria organizzazione. Tuttavia, l'accesso utente esterno può gestire l'accesso tra più tenant gestiti dall'organizzazione.

Un'area di confusione con la collaborazione B2B di Microsoft Entra circonda le proprietà di un utente guest B2B. La differenza tra gli account utente interni ed esterni e tra tipi di utente membri e guest contribuisce a creare confusione. Inizialmente, tutti gli utenti interni sono utenti membri con l’attributo UserType impostato su Membro (utenti membri). Un utente interno ha un account autorevole in Microsoft Entra ID ed effettua l’autenticazione al tenant in cui risiede l'utente. Un utente membro è un utente con licenza con autorizzazioni a livello di membro predefinite nel tenant. Considerare gli utenti membri come dipendenti dell'organizzazione.

È possibile invitare un utente interno di un tenant in un altro tenant come utente esterno. Un utente esterno accede con un account Microsoft Entra esterno, un'identità social o con un altro provider di identità esterno. Gli utenti esterni eseguono l'autenticazione all'esterno del tenant in cui si invita l'utente esterno. Nella prima versione di B2B, tutti gli utenti esterni avevano UserType Guest (utenti guest). Gli utenti guest hanno autorizzazioni limitate nel tenant. Ad esempio, gli utenti guest non possono enumerare l'elenco di tutti gli utenti né dei gruppi nella directory del tenant.

Per la proprietà UserType applicata agli utenti, B2B supporta il capovolgimento dei bit dall’interno all’esterno e viceversa, il che contribuisce a creare la confusione.

È possibile modificare un utente interno da utente membro a utente guest. Ad esempio, è possibile avere un utente guest interno senza licenza con autorizzazioni a livello di guest nel tenant, utile quando si forniscono account utente e credenziali a una persona che non è un dipendente dell'organizzazione.

È possibile modificare un utente esterno da utente guest a utente membro, concedendo autorizzazioni a livello di membro all'utente esterno. Questa modifica è utile quando si gestiscono più tenant per l'organizzazione ed è necessario concedere autorizzazioni a livello di membro a un utente in tutti i tenant. Questa esigenza può verificarsi indipendentemente dal fatto che l'utente sia interno o esterno in un determinato tenant. Gli utenti membri potrebbero richiedere più licenze.

La maggior parte della documentazione per il B2B fa riferimento a un utente esterno come a un utente guest. Confonde la proprietà UserType fino a presupporre che tutti gli utenti guest siano esterni. Quando la documentazione si riferisce a un utente guest, presuppone che si tratti di un utente guest esterno. Questo articolo distingue specificatamente e intenzionalmente tra utente interno ed esterno e tra utente membro e utente guest.

Sincronizzazione tra tenant

La sincronizzazione tra tenant consente alle organizzazioni multi-tenant di offrire esperienze di accesso e collaborazione facili agli utenti finali, usando le funzionalità di collaborazione B2B esterna esistenti. La funzionalità non consente la sincronizzazione tra tenant in cloud sovrani Microsoft, ad esempio Microsoft 365 per US Government GCC High, DOD o Office 365 in Cina. Consultare Considerazioni comuni per la gestione utenti multi-tenant per informazioni sugli scenari di automatizzazione e personalizzazione della sincronizzazione tra tenant.

Guardare il discorso di Arvind Harinder sulla funzionalità di sincronizzazione tra tenant in Microsoft Entra ID (integrato qui di seguito).

Gli articoli concettuali e le procedure seguenti forniscono informazioni sulla collaborazione B2B di Microsoft Entra e sulla sincronizzazione tra tenant.

Articoli concettuali

Articoli sulle procedure

Terminologia

Le condizioni seguenti nel contenuto di Microsoft fanno riferimento alla collaborazione multi-tenant in Microsoft Entra ID.

  • Tenant della risorsa: tenant di Microsoft Entra contenente le risorse che gli utenti vogliono condividere con altri utenti.
  • Tenant principale: tenant di Microsoft Entra contenente gli utenti che richiedono l'accesso alle risorse nel tenant delle risorse.
  • Utente interno: utente interno con un account autorevole e che esegue l’autenticazione nel tenant in cui risiede l'utente.
  • Utente esterno: utente esterno con un account Microsoft Entra esterno, un'identità social o un altro provider di identità esterno per l'accesso. L'utente esterno esegue l'autenticazione da qualche parte all'esterno del tenant in cui è stato invitato l'utente esterno.
  • Utente membro: un utente membro interno o esterno è un utente con licenza con autorizzazioni predefinite a livello di membro nel tenant. Considerare gli utenti membri come dipendenti dell'organizzazione.
  • Utente guest: un utente guest interno o esterno ha autorizzazioni limitate nel tenant. Gli utenti guest non sono dipendenti dell'organizzazione (come gli utenti partner). La maggior parte della documentazione B2B fa riferimento a utenti guest di B2B, indicando principalmente gli account utente guest esterni.
  • Gestione del ciclo di vita degli utenti: processo di provisioning, gestione e deprovisioning dell'accesso utente alle risorse.
  • Elenco indirizzi globale unificato: ogni utente in ogni tenant può visualizzare gli utenti di ogni organizzazione nell'elenco indirizzi globale (GAL).

Decidere come soddisfare i requisiti

I requisiti unici dell'organizzazione influenzano la strategia per la gestione degli utenti tra tenant. Per creare una strategia efficace, considerare i requisiti seguenti.

  • Numero di tenant
  • Tipo di organizzazione
  • Topologie correnti
  • Esigenze di sincronizzazione utente specifiche

Requisiti comuni

Inizialmente le organizzazioni si concentrano sui requisiti che desiderano implementare per una collaborazione immediata. Talvolta denominati requisiti del Primo giorno, si concentrano ad abilitare gli utenti finali a unirsi senza problemi e senza interrompere la capacità di generare valore. Mentre si definiscono i requisiti del Primo giorno e quelli amministrativi, considerare di includere i requisiti e le esigenze seguenti.

Requisiti di comunicazione

  • Elenco indirizzi globale unificato: ogni utente può visualizzare tutti gli altri utenti nel GAL nel tenant principale.
  • Informazioni sulla disponibilità: consente agli utenti di individuare la disponibilità degli altri utenti. A tale scopo, è possibile usare le Relazioni dell'organizzazione in Exchange Online.
  • Chat e presenza: consente agli utenti di determinare la presenza degli altri utenti e avviare la messaggistica istantanea. Configurare con l’accesso esterno in Microsoft Teams.
  • Prenotare risorse come sale riunioni: consente agli utenti di prenotare sale conferenze o altre risorse nell'organizzazione. La prenotazione di sale conferenze tra tenant non è attualmente disponibile in Exchange Online.
  • Dominio di posta elettronica singolo: consente a tutti gli utenti di inviare e ricevere email da un singolo dominio di posta elettronica (ad esempio, users@contoso.com). L'invio richiede una soluzione di riscrittura degli indirizzi email.

Requisiti di accesso

  • Accesso ai documenti: consente agli utenti di condividere documenti da SharePoint, OneDrive e Teams.
  • Amministrazione: consente agli amministratori di gestire la configurazione delle sottoscrizioni e dei servizi distribuiti in più tenant.
  • Accesso alle applicazioni: consente agli utenti finali di accedere alle applicazioni nell'organizzazione.
  • Single Sign-On: consente agli utenti di accedere alle risorse nell'organizzazione senza dover immettere altre credenziali.

Modelli per la creazione di account

I meccanismi di Microsoft per la creazione e la gestione del ciclo di vita degli account utente esterni seguono tre modelli comuni. È possibile usare questi modelli per definire e implementare i requisiti. Scegliere il modello più adatto allo scenario e quindi concentrarsi sui dettagli del modello.

Meccanismo Descrizione Meglio quando
Avviato dall'utente finale Gli amministratori tenant della risorsa delegano la possibilità di invitare utenti esterni nel tenant, in un’app o in una risorsa agli utenti all'interno del tenant della risorsa. È possibile invitare gli utenti dal tenant principale oppure possono registrarsi singolarmente. Elenco indirizzi globale unificato del Primo giorno non obbligatorio.
Con script Gli amministratori tenant della risorsa distribuiscono un processo pull con script per automatizzare l'individuazione e il provisioning di utenti esterni per supportare scenari di condivisione. Numero ridotto di tenant (ad esempio due).
Automatizzato Gli amministratori tenant della risorsa usano un sistema di provisioning delle identità per automatizzare i processi di provisioning e deprovisioning. È necessario l’elenco indirizzi globale unificato tra i tenant.

Passaggi successivi