Funcionalidades de organização multilocatário no Microsoft Entra ID
Este artigo fornece uma visão geral do cenário de organização multilocatário e dos recursos relacionados na Microsoft Entra ID.
O que é o cenário de organização multilocatário?
O cenário de organização multilocatário ocorre quando uma organização que tem mais de uma instância de locatário do Microsoft Entra ID. A seguir, são apresentados os principais motivos pelos quais uma organização poderá ter vários locatários:
- Conglomerados: organizações com várias subsidiárias ou unidades de negócios que operam de forma independente.
- Fusões e aquisições: organizações que fazem fusão de empresas ou adquirem empresas.
- Atividade de desinvestimento: em um desinvestimento, uma organização divide parte de seus negócios para formar uma nova organização ou vendê-la para uma organização existente.
- Várias nuvens: as organizações que tenham conformidade ou regulamentação precisam existir em vários ambientes de nuvem.
- Vários limites geográficos: organizações que operam em várias localizações geográficas com várias regulamentações de residência.
- Locatários de teste ou de preparo: organizações que precisam de vários locatários para fins de teste ou de preparo antes de implantar mais amplamente para locatários principais.
- Locatários criados pelo departamento ou pelos funcionários: organizações em que os departamentos ou funcionários criaram os locatários para desenvolvimento, teste ou controle separado.
O que é um locatário do Microsoft Entra?
Um locatário é uma instância do Microsoft Entra ID na qual residem as informações sobre uma única organização, incluindo objetos organizacionais como usuários, grupos e dispositivos e também registros de aplicativos como Microsoft 365 e aplicativos de terceiros. Um locatário também contém políticas de acesso e conformidade para recursos, como os aplicativos registrados no diretório. As funções principais atendidas por um locatário incluem autenticação de identidade e gerenciamento de acesso a recursos.
Do ponto de vista do Microsoft Entra, um locatário forma um escopo de gerenciamento de identidade e acesso. Por exemplo, um administrador de locatários disponibiliza um aplicativo para alguns ou todos os usuários no locatário e impõe políticas de acesso naquele aplicativo para os usuários nesse locatário. Além disso, um locatário contém os dados da identidade visual organizacional que orientam as experiências do usuário final como, por exemplo, os domínios de email das organizações e as URLs do SharePoint usadas pelos funcionários na organização. Da perspectiva do Microsoft 365, um locatário forma o limite padrão de colaboração e licenciamento. Por exemplo, os usuários do Microsoft Teams ou do Microsoft Outlook podem localizar e colaborar facilmente com outros usuários nos respectivos locatários, mas não podem localizar ou ver usuários em outros locatários.
Locatários contêm os dados organizacionais privilegiados e são isolados com segurança de outros locatários. Além disso, é possível configurar os locatários para que os dados sejam persistentes e processados em uma região ou nuvem específica, o que permite que as organizações usem os locatários como um mecanismo para atender aos requisitos de conformidade e residência de dados.
Desafios multilocatários
Sua organização pode ter recentemente adquirido uma nova empresa, feito uma fusão com outra empresa ou sido reestruturada com base em unidades de negócios recém-formadas. Se você tiver sistemas de gerenciamento de identidades diferentes, poderá ser desafiador para que os usuários em locatários diferentes acessem os recursos e colaborarem.
O diagrama a seguir mostra como os usuários em outros locatários talvez não consigam acessar os aplicativos entre locatários na organização.
À medida que sua organização evolui, a equipe de TI deve se adaptar para atender às necessidades de mudanças. Isso geralmente inclui a integração com um locatário existente ou a formação de um novo. Independentemente de como a infraestrutura de identidade é gerenciada, é fundamental que os usuários tenham uma experiência perfeita ao acessar os recursos e colaborar. Hoje, talvez você esteja utilizando scripts personalizados ou soluções locais para reunir os locatários e fornecer uma experiência perfeita entre eles.
Funcionalidades de multilocatário para organizações multilocatário
Organizações multilocatário no Microsoft Entra ID oferecem um portfólio de recursos multilocatário que você pode usar para interagir com segurança com os usuários em toda a sua organização de vários locatários e para provisionar e gerenciar automaticamente esses usuários em seus locatários.
Vários desses recursos multilocatário compartilham uma pilha de tecnologia comum com o Microsoft Entra ID para convidados de negócios e o provisionamento de aplicativos no Microsoft Entra ID, portanto, você pode encontrar referências cruzadas com frequência a essas outras áreas. O Microsoft 365 for Enterprise usa recursos multilocatário para habilitar ou facilitar experiências perfeitas de colaboração multilocatário no Microsoft Teams e em aplicativos do Microsoft 365.
O seguinte conjunto de recursos multilocatário dá suporte às necessidades de organizações multilocatário:
Configurações de acesso entre locatários – Gerencia como seu locatário permite ou não o acesso ao seu locatário de outros locatários em sua organização ou vice-versa. Eles regem a colaboração B2B, a conexão direta de B2B e a sincronização entre locatários e indicam se outro locatário da sua organização é conhecido por fazer parte da sua organização multilocatário.
Conexão direta de B2B – Estabelece uma relação de confiança mútua e de duas vias com outro locatário do Microsoft Entra para colaboração contínua. Os usuários da conexão direta de B2B não são representados em seu diretório, mas são visíveis no Teams para colaboração nos canais compartilhados do Teams.
Colaboração B2B – Fornece acesso ao aplicativo e colabora com usuários externos. Os usuários da colaboração B2B são representados em seu diretório. Eles estão no Microsoft Teams para colaboração, se habilitados. Eles também estão disponíveis em aplicativos do Microsoft 365.
Sincronização entre locatários – Fornece um serviço de sincronização que automatiza a criação, a atualização e a exclusão de usuários de colaboração B2B em sua organização de vários locatários. O serviço pode ser usado para definir o escopo da pesquisa de pessoas do Microsoft 365 em locatários de destino. O serviço é regido por configurações da sincronização entre locatários nas configurações de acesso entre locatários.
Pesquisa de pessoas multilocatário do Microsoft 365 – Colaboração com usuários de colaboração B2B. Se ela aparecer na lista de endereços, os usuários de colaboração B2B estarão disponíveis como contatos no Outlook. Se ela for elevada ao tipo de usuário Membro, os usuários membros da colaboração B2B estarão disponíveis na maioria dos aplicativos do Microsoft 365.
Organização multilocatário – Define um limite para os locatários do Microsoft Entra que sua organização tem, facilitado por um fluxo de convite e aceitação. Em conjunto com o provisionamento de membro B2B, permite experiências perfeitas de colaboração no Microsoft Teams e em aplicativos do Microsoft 365, como o Microsoft Viva Engage. As configurações de acesso entre locatários fornecem um sinalizador para os locatários da organização multilocatário.
Centro de administração do Microsoft 365 para colaboração multilocatário – Fornece uma experiência intuitiva do portal de administração para criar uma organização multilocatário. Para organizações multilocatário menores, também fornece uma experiência simplificada para sincronizar usuários com locatários da organização multilocatário como alternativa ao uso do centro de administração do Microsoft Entra.
As seções a seguir descrevem cada um desses recursos de forma mais detalhada.
Configurações de acesso entre locatários
Os administradores de locatários do Microsoft Entra que permanecem no controle de seus recursos com escopo de locatário são um princípio fundamental, mesmo dentro de sua organização de vários locatários. Dessa forma, as configurações de acesso entre locatários são necessárias para cada relação de locatário para locatário, e os administradores de locatários configuram explicitamente cada relação de acesso entre locatários, conforme necessário.
O diagrama a seguir mostra os recursos básicos de configurações de entrada e saída de acesso entre locatários.
Para obter mais informações, veja Visão geral do acesso entre locatários.
Conexão direta de B2B
Para permitir que os usuários nos diversos locatários colaborem nos canais compartilhados do Teams Connect, você poderá usar a conexão direta B2B do Microsoft Entra. A conexão direta de B2B é um recurso de ID Externa que permite configurar uma relação de confiança mútua com outro locatário do Microsoft Entra para uma colaboração integrada no Teams. Quando a confiança for estabelecida, o usuário de conexão direta de B2B terá acesso de logon único usando as credenciais da página inicial.
A seguir, é apresentada a principal restrição ao usar a conexão direta de B2B em vários locatários:
- Atualmente, a conexão direta de B2B funciona apenas com canais compartilhados da Conexão do Teams.
Para obter mais informações, consulte Visão geral da conexão direta B2B.
Colaboração B2B
Para permitir que usuários nos diversos locatários colaborem, você pode usar a colaboração B2B do Microsoft Entra. A colaboração B2B é um recurso na ID Externa que permite convidar usuários para colaborar com a organização. Depois que o usuário externo resgatar o convite ou concluir a inscrição, ele será representado no locatário como um objeto de usuário. Com a colaboração B2B, você pode compartilhar com segurança os aplicativos e serviços de seu locatário com usuários externos enquanto mantém o controle de dados do seu locatário.
A seguir, são apresentadas as principais restrições ao usar a colaboração B2B em vários locatários:
- Os Administradores devem convidar os usuários usando o processo do convite B2B ou criar uma experiência de integração usando o gerenciador de convites de colaboração B2B.
- Os Administradores talvez precisem sincronizar os usuários usando scripts personalizados.
- Dependendo das configurações de resgate automático, os usuários talvez precisarão aceitar um prompt de consentimento e seguir um processo de resgate em cada locatário.
Para obter mais informações, confira Visão geral da colaboração B2B.
Sincronização entre locatários
Se você deseja que os usuários tenham uma experiência de colaboração entre locatários mais direta, use a sincronização entre locatários no Microsoft Entra ID. A sincronização entre locatários é um serviço de sincronização unidirecional do Microsoft Entra ID que automatiza a criação, atualização e exclusão de usuários da colaboração B2B nos diversos locatários de uma organização. A sincronização entre locatários se baseia na funcionalidade de colaboração B2B e utiliza as configurações de acesso entre locatários B2B existentes. Os usuários são representados no locatário de destino como um objeto de usuário de colaboração B2B.
A seguir, são apresentados os principais benefícios com o uso da sincronização entre locatários:
- Crie automaticamente usuários de colaboração B2B em sua organização e forneça a eles o acesso aos aplicativos de que precisam, sem criar e manter scripts personalizados.
- Aprimorar a experiência do usuário e garantir que eles possam acessar os recursos sem a necessidade de receber um email de convite e sem precisar aceitar um prompt de consentimento em cada locatário.
- Atualize automaticamente os usuários e remova-os quando saírem da organização.
A seguir, são apresentadas as principais restrições ao usar a sincronização entre locatários em vários locatários:
- Os usuários sincronizados terão as mesmas experiências entre locatários do Teams e do Microsoft 365 disponíveis para qualquer outro usuário de colaboração B2B.
- Não sincroniza grupos, dispositivos ou contatos.
Para obter mais informações, confira O que é a sincronização entre locatários?.
Pesquisa de pessoas multilocatário do Microsoft 365
Agora, os usuários de colaboração B2B podem ser habilitados para colaboração no Microsoft 365, além da conhecida experiência de usuário convidado de colaboração B2B.
A pesquisa de pessoas da organização multilocatário é um recurso de colaboração que permite a pesquisa e a descoberta de pessoas em vários locatários. Se ela aparecer na lista de endereços, os usuários de colaboração B2B estarão disponíveis como contatos no Outlook. Além de aparecer na lista de endereços, se ela for elevada ao tipo de usuário Membro, os usuários membros da colaboração B2B estarão disponíveis na maioria dos aplicativos do Microsoft 365.
Aqui estão os principais benefícios de usar a pesquisa de pessoas do Microsoft 365 em vários locatários:
- Os usuários de colaboração B2B podem ser disponibilizados para colaboração no Outlook. Isso pode ser habilitado usando a propriedade showInAddressList definida como true para usuários de email do Exchange Online no locatário do host ou usando a sincronização entre locatários no locatário de origem.
- Os usuários de colaboração B2B, que já aparecem em listas de endereços, podem ser disponibilizados para colaboração na maioria dos aplicativos do Microsoft 365 usando a propriedade userType definida como Membro, gerenciada no centro de administração do Microsoft Entra do locatário do host ou usando a sincronização entre locatários no locatário de origem.
Aqui estão as principais restrições de usar a pesquisa de pessoas do Microsoft 365 em vários locatários:
- Para colaboração na maioria dos aplicativos do Microsoft 365, um usuário de colaboração B2B deve aparecer em listas de endereços e ser definido como usuário tipo Membro.
- Para restrições adicionais da lista de endereços, veja Limitações da lista de endereços globais em organizações multilocatárias.
Para obter mais informações, consulte Pesquisa de pessoas multilocatário do Microsoft 365.
Organização multilocatário
A organização multilocatário é um recurso no Microsoft Entra ID e no Microsoft 365 que permite que você defina um limite em relação aos locatários do Microsoft Entra que estão sob posse da sua organização. No diretório, ela assume a forma de um grupo de locatários que representa sua organização. Cada par de locatários no grupo é regido por configurações de acesso entre locatários que você pode usar para configurar a colaboração B2B.
Aqui estão os principais benefícios de uma organização multilocatário:
- Diferenciar usuários externos na organização e fora da organização
- Experiência colaborativa aprimorada no novo Microsoft Teams
- Experiência colaborativa aprimorada no Viva Engage
Aqui estão as principais restrições ao uso de uma organização multilocatário:
- Se você já tiver usuários membros de colaboração B2B em locatários que fazem parte da organização multilocatário, esses usuários se tornarão imediatamente membros da organização multilocatário após a criação da organização multilocatário. Portanto, aplicativos com experiências de organização multilocatário reconhecerão usuários membros de colaboração B2B existentes como usuários da organização multilocatário.
- A colaboração aprimorada do Microsoft Teams depende do provisionamento recíproco de usuários membros da colaboração B2B.
- A colaboração aprimorada do Viva Engage depende do provisionamento centralizado de membros de colaboração B2B.
- Para restrições adicionais, veja Limitações em organizações multilocatárias
Para obter mais informações, consulte O que é uma organização multilocatário no Microsoft Entra ID?.
Centro de administração do Microsoft 365 para colaboração multilocatário
O centro de administração do Microsoft 365 para colaboração multilocatário fornece uma experiência intuitiva do portal de administração para criar sua organização multilocatário.
- Crie uma organização multilocatário no centro de administração do Microsoft 365.
Após a criação de uma organização multilocatário, a Microsoft oferece dois métodos para provisionar funcionários em locatários vizinhos da organização multilocatário em escala.
- Para organizações empresariais com topologias de identidade complexas, é recomendável usar a sincronização entre locatários no Microsoft Entra ID. A sincronização entre locatários é altamente configurável e permite o provisionamento de qualquer topologia de identidade multi-spoke de vários hubs.
- Para organizações multilocatário menores, nas quais os funcionários devem ser provisionados em todos os locatários, é recomendável permanecer no centro de administração do Microsoft 365 para sincronizar simultaneamente os usuários em vários locatários da sua organização multilocatário.
Se você já tiver seu próprio mecanismo de provisionamento de usuário em escala, poderá aproveitar os novos benefícios da organização multilocatário enquanto mantém o uso do seu próprio mecanismo para gerenciar o ciclo de vida de seus funcionários.
Aqui estão os principais benefícios de usar o centro de administração do Microsoft 365 para criar sua organização multilocatário e provisionar funcionários.
- O centro de administração do Microsoft 365 fornece uma experiência gráfica do usuário para criar a organização multilocatário.
- O centro de administração do Microsoft 365 vai pré-configurar seus locatários para resgate automático de convites de colaboração B2B.
- O centro de administração do Microsoft 365 vai pré-configurar seus locatários para sincronização de usuário de entrada, embora o uso da sincronização entre locatários permaneça opcional.
- O centro de administração do Microsoft 365 permite o provisionamento fácil de funcionários em vários locatários da sua organização multilocatário.
Aqui estão as principais restrições ao usar o centro de administração do Microsoft 365 para criar sua organização multilocatária ou provisionar funcionários:
- O centro de administração do Microsoft 365 vai pré-configurar, mas não iniciará trabalhos de sincronização entre locatários, mesmo que você pretenda usar a sincronização entre locatários no centro de administração do Microsoft Entra.
- Topologias de identidade complexas, como sistemas de vários hubs e multi-spoke, são melhor provisionadas usando a sincronização entre locatários no portal de administração do Microsoft Entra.
Para obter mais informações, consulte Colaboração multilocatário do Microsoft 365.
Comparar funcionalidades multilocatários
Dependendo das necessidades da sua organização, você pode usar qualquer combinação de conexão direta B2B, colaboração B2B, sincronização entre locatários e recursos de organização multilocatário. A conexão direta B2B e a colaboração B2B são recursos independentes, enquanto a sincronização entre locatários e os recursos multilocatários da organização são independentes uns dos outros, embora ambos dependam da colaboração B2B subjacente.
A tabela a seguir compara os recursos de cada recurso. Para obter mais informações sobre os diferentes cenários de identidade externa, consulte Comparar conjuntos de recursos de ID Externa.
Conexão direta de B2B (Organização para organização externa ou interna) |
Colaboração B2B (Organização para organização externa ou interna) |
Sincronização entre locatários (Interno da organização) |
Organização multilocatário (Interno da organização) |
|
---|---|---|---|---|
Finalidade | Os usuários poderão acessar os canais compartilhados da Conexão do Teams hospedados em locatários externos. | Os usuários poderão acessar os aplicativos/recursos hospedados em locatários externos, geralmente com privilégios de convidado limitados. Dependendo das configurações de resgate automático, os usuários talvez precisarão aceitar um prompt de consentimento em cada locatário. | Os usuários poderão acessar sem problemas os aplicativos/recursos na mesma organização, mesmo se estiverem hospedados em locatários diferentes. | Os usuários podem colaborar com mais facilidade em uma organização multilocatário no novo Teams e no Viva Engage. |
Valor | Habilita a colaboração externa apenas nos canais compartilhados da Conexão do Teams. Mais conveniente aos administradores porque não há necessidade de gerenciar usuários B2B. | Permite a colaboração externa. Mais controle e monitoramento para administradores ao gerenciar os usuários de colaboração B2B. Os administradores poderão limitar o acesso que esses usuários externos terão aos respectivos aplicativos/recursos. | Habilita a colaboração entre locatários organizacionais. Os administradores não precisam convidar e sincronizar manualmente usuários entre locatários para garantir o acesso contínuo a aplicativos/recursos dentro da organização. | Habilita a colaboração entre locatários organizacionais. Os administradores continuam a ter capacidade de configuração completa usando configurações de acesso entre locatários. Os modelos de acesso entre locatários opcionais permitem a pré-configuração das configurações de acesso entre locatários. |
Fluxo de trabalho do administrador principal | Configure o acesso entre locatários para fornecer aos usuários externos o acesso de entrada para locatário usando as credenciais da página inicial. | Adicione usuários externos ao locatário de recursos com o processo de convite B2B ou crie sua própria experiência de integração usando o gerenciador de convites de colaboração B2B. | Configure o mecanismo de sincronização entre locatários para sincronizar usuários entre vários locatários como usuários de colaboração B2B. | Crie uma organização multilocatário, adicione (convide) locatários, ingresse em uma organização multilocatário. Aplique os usuários de colaboração B2B existentes ou use a sincronização entre locatários para provisionar usuários de colaboração B2B. |
Nível de confiança | Confiança média. Os usuários de conexão direta de B2B são menos fáceis de rastrear, exigindo um determinado nível de confiança com a organização externa. | Confiança de baixa a média. Os objetos de usuário podem ser rastreados facilmente e gerenciados com controles granulares. | Alta confiança. Todos os locatários fazem parte da mesma organização e os usuários normalmente recebem concessão de acesso de membro a todos os aplicativos/recursos. | Alta confiança. Todos os locatários fazem parte da mesma organização e os usuários normalmente recebem concessão de acesso de membro a todos os aplicativos/recursos. |
Impacto sobre os usuários | Os usuários acessam o locatário do recurso com as credenciais do locatário da página inicial. Os objetos do usuário não são criados no locatário do recurso. | Usuários externos são adicionados a um locatário como usuários de colaboração B2B. | Na mesma organização, os usuários são sincronizados do locatário da página inicial para o locatário do recurso como usuários de colaboração B2B. | Na mesma organização multilocatário, os usuários de colaboração B2B, particularmente os usuários membros, se beneficiam da colaboração aprimorada e perfeita no Microsoft 365. |
Tipo de usuário | Usuário de conexão direta de B2B – N/A |
Usuário de colaboração B2B – Membro externo – Convidado externo (padrão) |
Usuário de colaboração B2B – Membro externo (padrão) – Convidado externo |
Usuário de colaboração B2B – Membro externo (padrão) – Convidado externo |
O diagrama a seguir mostra como os recursos de conexão direta B2B, colaboração B2B e sincronização entre locatários podem ser usados juntos.
Terminologia
Para entender melhor os recursos do Microsoft Entra relacionados ao cenário de organização multilocatário, você pode fazer referência à lista de termos a seguir.
Termo | Definição |
---|---|
locatário | Uma instância do Microsoft Entra ID. |
organização | O nível superior de uma hierarquia de negócio. |
organização multilocatário | Uma organização que tenha mais de uma instância do Microsoft Entra ID e também a capacidade de agrupar essas instâncias no Microsoft Entra ID. |
locatário do criador | O locatário que criou a organização multilocatário. |
locatário do proprietário | Um locatário com a função de proprietário. Inicialmente, o locatário do criador. |
locatário adicionado | Um locatário que foi adicionado por um locatário proprietário. |
locatário do ingressador | Um locatário que está ingressando na organização multilocatário. |
solicitação de junção | Um ingressado ou locatário adicionado envia uma solicitação de junção para ingressar na organização multilocatário. |
locatário pendente | Um locatário que foi adicionado por um proprietário, mas que ainda não ingressou. |
locatário ativo | Um locatário que criou ou ingressou na organização multilocatário. |
locatário membro | Um locatário com a função de membro. A maioria dos locatários do ingressador começa como membros. |
locatário de organização multilocatário | Um locatário ativo da organização multilocatário, não pendente. |
sincronização entre locatários | Um serviço de sincronização unidirecional no Microsoft Entra ID que automatiza a criação, atualização e exclusão de usuários da colaboração B2B nos diversos locatários de uma organização. |
configurações de acesso entre locatários | Configurações para gerenciar a colaboração entre organizações específicas do Microsoft Entra. |
Modelo de configurações de acesso entre locatários | Um modelo opcional para pré-configurar configurações de acesso entre locatários que são aplicadas a qualquer locatário de parceiro recém-ingressado na organização multilocatário. |
configurações organizacionais | Configurações de acesso entre locatários para organizações específicas do Microsoft Entra. |
configuração | Um aplicativo e uma entidade de serviço subjacente no Microsoft Entra ID que inclui as configurações (como locatário de destino, escopo do usuário e mapeamentos de atributos) necessárias para a sincronização entre locatários. |
provisionamento | O processo de criação ou sincronização automática de objetos em um limite. |
resgate automático | Uma configuração B2B para resgatar convites automaticamente para que os usuários recém-criados não recebam um convite por email ou tenham que aceitar uma solicitação de consentimento quando adicionados a um locatário de destino. |