Recursos de organização multilocatária no Microsoft Entra ID
Este artigo fornece uma visão geral do cenário da organização multilocatária e os recursos relacionados no Microsoft Entra ID.
Qual é o cenário da organização multilocatário?
O cenário de organização multilocatária ocorre quando uma organização tem mais de uma instância locatária do Microsoft Entra ID. Aqui estão os principais motivos pelos quais uma organização pode ter vários locatários:
- Conglomerados: Organizações com várias subsidiárias ou unidades de negócios que operam de forma independente.
- Fusões e aquisições: Organizações que fundem ou adquirem empresas.
- Atividade de alienação: Em uma alienação, uma organização separa parte de seu negócio para formar uma nova organização ou vendê-la a uma organização existente.
- Várias nuvens: organizações que têm conformidade ou necessidades regulatórias para existir em vários ambientes de nuvem.
- Múltiplos limites geográficos: Organizações que operam em vários locais geográficos com vários regulamentos de residência.
- Locatários de teste ou preparo: organizações que precisam de vários locatários para fins de teste ou preparo antes de implantar de forma mais ampla para locatários principais.
- Locatários criados por departamentos ou funcionários: organizações em que departamentos ou funcionários criaram locatários para desenvolvimento, teste ou controle separado.
O que é um locatário do Microsoft Entra?
Um locatário é uma instância do Microsoft Entra ID na qual residem informações sobre uma única organização, incluindo objetos organizacionais, como usuários, grupos e dispositivos, e também registros de aplicativos, como o Microsoft 365 e aplicativos de terceiros. Um locatário também contém políticas de acesso e conformidade para recursos, como aplicativos registrados no diretório. As principais funções servidas por um locatário incluem autenticação de identidade, bem como gerenciamento de acesso a recursos.
De uma perspetiva do Microsoft Entra, um locatário forma um escopo de gerenciamento de identidade e acesso. Por exemplo, um administrador de locatário disponibiliza um aplicativo para alguns ou todos os usuários no locatário e impõe políticas de acesso nesse aplicativo para usuários nesse locatário. Além disso, um locatário contém dados de identidade visual organizacional que impulsionam as experiências do usuário final, como os domínios de email das organizações e as URLs do SharePoint usadas pelos funcionários dessa organização. De uma perspetiva do Microsoft 365, um locatário forma o limite padrão de colaboração e licenciamento. Por exemplo, os usuários no Microsoft Teams ou no Microsoft Outlook podem facilmente encontrar e colaborar com outros usuários em seu locatário, mas não têm a capacidade de localizar ou ver usuários em outros locatários.
Os locatários contêm dados organizacionais privilegiados e são isolados com segurança de outros locatários. Além disso, os locatários podem ser configurados para que os dados persistam e sejam processados em uma região ou nuvem específica, o que permite que as organizações usem os locatários como um mecanismo para atender aos requisitos de conformidade e residência de dados.
Desafios multilocatários
Sua organização pode ter adquirido recentemente uma nova empresa, se fundido com outra empresa ou reestruturado com base em unidades de negócios recém-formadas. Se você tiver sistemas de gerenciamento de identidade diferentes, pode ser um desafio para os usuários em locatários diferentes acessar recursos e colaborar.
O diagrama a seguir mostra como os usuários em outros locatários podem não conseguir acessar aplicativos entre locatários em sua organização.
À medida que sua organização evolui, sua equipe de TI deve se adaptar para atender às necessidades em constante mudança. Isso geralmente inclui a integração com um inquilino existente ou a formação de um novo. Independentemente de como a infraestrutura de identidade é gerenciada, é fundamental que os usuários tenham uma experiência perfeita acessando recursos e colaborando. Hoje, você pode estar usando scripts personalizados ou soluções locais para reunir os locatários e fornecer uma experiência perfeita entre os locatários.
Recursos multilocatários para organizações multilocatárias
As organizações multilocatárias no Microsoft Entra ID oferecem um portfólio de recursos multilocatários que você pode usar para interagir com segurança com usuários em sua organização de vários locatários e para provisionar e gerenciar automaticamente esses usuários em seus locatários.
Vários desses recursos multilocatários compartilham uma pilha de tecnologia comum com o Microsoft Entra External ID para convidados de negócios e provisionamento de aplicativos no Microsoft Entra ID, portanto, você pode encontrar frequentemente referências cruzadas a essas outras áreas. O Microsoft 365 for Enterprise usa recursos multilocatários para habilitar ou facilitar experiências de colaboração multilocatária perfeitas no Microsoft Teams e em aplicativos do Microsoft 365.
O seguinte conjunto de recursos multilocatários dá suporte às necessidades de organizações multilocatário:
Configurações de acesso entre locatários - Gerencia como seu locatário permite ou não o acesso ao seu locatário de outros locatários em sua organização ou vice-versa. Eles governam a colaboração B2B, a conexão direta B2B, a sincronização entre locatários e indicam se outro locatário da sua organização é conhecido por fazer parte da sua organização multilocatário.
Conexão direta B2B - Estabelece uma confiança mútua bidirecional com outro locatário do Microsoft Entra para uma colaboração perfeita. Os usuários de conexão direta B2B não são representados em seu diretório, mas são visíveis no Teams para colaboração em canais compartilhados do Teams.
Colaboração B2B – Fornece acesso a aplicativos e colabora com usuários externos. Os usuários de colaboração B2B são representados em seu diretório. Eles estão disponíveis no Microsoft Teams para colaboração, se habilitados. Eles também estão disponíveis em aplicativos do Microsoft 365.
Sincronização entre locatários - Fornece um serviço de sincronização que automatiza a criação, atualização e exclusão de usuários de colaboração B2B em sua organização de vários locatários. O serviço pode ser usado para definir o escopo da pesquisa de pessoas do Microsoft 365 em locatários de destino. O serviço é regido por configurações de sincronização entre locatários em configurações de acesso entre locatários.
Pesquisa de pessoas multilocatárias do Microsoft 365 - Colaboração com usuários de colaboração B2B. Se mostrado na lista de endereços, os usuários de colaboração B2B estão disponíveis como contatos no Outlook. Se elevado ao tipo de usuário Membro, os usuários de membro da colaboração B2B estão disponíveis na maioria dos aplicativos do Microsoft 365.
Organização multilocatária - Define um limite em torno dos locatários do Microsoft Entra que sua organização possui, facilitado por um fluxo de convite e aceitação. Em conjunto com o provisionamento de membros B2B, permite experiências de colaboração perfeitas no Microsoft Teams e em aplicativos Microsoft 365, como o Microsoft Viva Engage. As configurações de acesso entre locatários fornecem um sinalizador para os locatários da organização multilocatário.
Centro de administração do Microsoft 365 para colaboração multilocatária - Fornece uma experiência intuitiva de portal de administração para criar uma organização multilocatário. Para organizações multilocatárias menores, também fornece uma experiência simplificada para sincronizar usuários com locatários de organizações multilocatárias como uma alternativa ao uso do centro de administração do Microsoft Entra.
As seções a seguir descrevem cada um desses recursos com mais detalhes.
Definições de acesso entre inquilinos
Os administradores de locatários do Microsoft Entra que mantêm o controle de seus recursos de escopo de locatário é um princípio orientador, mesmo dentro de sua organização de vários locatários. Como tal, as definições de acesso entre inquilinos são necessárias para cada relação de inquilino para inquilino e os administradores de inquilinos configuram explicitamente cada relação de acesso entre inquilinos conforme necessário.
O diagrama a seguir mostra os recursos básicos de configurações de entrada e saída de acesso entre locatários.
Para obter mais informações, consulte Visão geral do acesso entre locatários.
Conexão direta B2B
Para permitir que usuários entre locatários colaborem em canais compartilhados do Teams Connect, você pode usar a conexão direta B2B do Microsoft Entra. A conexão direta B2B é um recurso da ID externa que permite configurar uma relação de confiança mútua com outro locatário do Microsoft Entra para uma colaboração perfeita no Teams. Quando a confiança é estabelecida, o usuário B2B direct connect tem acesso de logon único usando credenciais de seu locatário doméstico.
Aqui está a principal restrição com o uso da conexão direta B2B entre vários locatários:
- Atualmente, a conexão direta B2B funciona apenas com canais compartilhados do Teams Connect.
Para obter mais informações, consulte Visão geral da conexão direta B2B.
Colaboração B2B
Para permitir que usuários entre locatários colaborem, você pode usar a colaboração B2B do Microsoft Entra. A colaboração B2B é um recurso dentro da ID Externa que permite convidar usuários convidados para colaborar com sua organização. Depois que o usuário externo resgatar o convite ou concluir a inscrição, ele será representado em seu locatário como um objeto de usuário. Com a colaboração B2B, você pode compartilhar com segurança os aplicativos e serviços do locatário com usuários externos, mantendo o controle sobre os dados do locatário.
Aqui estão as principais restrições com o uso da colaboração B2B em vários locatários:
- Os administradores devem convidar usuários usando o processo de convite B2B ou criar uma experiência de integração usando o gerenciador de convites de colaboração B2B.
- Os administradores podem ter que sincronizar os usuários usando scripts personalizados.
- Dependendo das configurações de resgate automático, os usuários podem precisar aceitar uma solicitação de consentimento e seguir um processo de resgate em cada locatário.
Para obter mais informações, consulte Visão geral da colaboração B2B.
Sincronização entre inquilinos
Se quiser que os usuários tenham uma experiência de colaboração mais perfeita entre locatários, você pode usar a sincronização entre locatários na ID do Microsoft Entra. A sincronização entre locatários é um serviço de sincronização unidirecional no Microsoft Entra ID que automatiza a criação, atualização e exclusão de usuários de colaboração B2B entre locatários em uma organização. A sincronização entre locatários baseia-se na funcionalidade de colaboração B2B e utiliza as configurações de acesso entre locatários B2B existentes. Os usuários são representados no locatário de destino como um objeto de usuário de colaboração B2B.
Aqui estão os principais benefícios do uso da sincronização entre locatários:
- Crie automaticamente usuários de colaboração B2B em sua organização e forneça-lhes acesso aos aplicativos de que precisam, sem criar e manter scripts personalizados.
- Melhore a experiência do usuário e garanta que os usuários possam acessar recursos, sem receber um e-mail de convite e ter que aceitar um prompt de consentimento em cada locatário.
- Atualize automaticamente os usuários e remova-os quando saírem da organização.
Aqui estão as principais restrições com o uso da sincronização entre locatários entre vários locatários:
- Os utilizadores sincronizados terão as mesmas experiências entre inquilinos do Teams e do Microsoft 365 disponíveis para qualquer outro utilizador de colaboração B2B.
- Não sincroniza grupos, dispositivos ou contatos.
Para obter mais informações, consulte O que é sincronização entre locatários?.
Pesquisa de pessoas multilocatárias do Microsoft 365
Os usuários de colaboração B2B agora podem ser habilitados para colaboração no Microsoft 365, além da conhecida experiência de usuário convidado de colaboração B2B.
A pesquisa de pessoas da organização multilocatária é um recurso de colaboração que permite a pesquisa e a descoberta de pessoas em vários locatários. Se mostrado na lista de endereços, os usuários de colaboração B2B estão disponíveis como contatos no Outlook. Além de serem mostrados na lista de endereços, se forem elevados ao tipo de usuário Membro, os usuários membros da colaboração B2B estarão disponíveis na maioria dos aplicativos do Microsoft 365.
Aqui estão os principais benefícios de usar a pesquisa de pessoas do Microsoft 365 em vários locatários:
- Os usuários de colaboração B2B podem ser disponibilizados para colaboração no Outlook. Isso pode ser habilitado usando a propriedade showInAddressList definida como true para usuários de email do Exchange Online no locatário host ou usando a sincronização entre locatários do locatário de origem.
- Os usuários de colaboração B2B já mostrados em listas de endereços podem ser disponibilizados para colaboração na maioria dos aplicativos do Microsoft 365 usando a propriedade userType definida como Membro, gerenciada no centro de administração do Microsoft Entra do locatário do host ou usando a sincronização entre locatários do locatário de origem.
Aqui estão as principais restrições de usar a pesquisa de pessoas do Microsoft 365 em vários locatários:
- Para colaboração na maioria dos aplicativos do Microsoft 365, um usuário de colaboração B2B deve ser mostrado em listas de endereços, bem como ser definido como membro do tipo de usuário.
- Para obter restrições adicionais da lista de endereços, consulte Limitações da lista de endereços global em organizações multilocatário.
Para obter mais informações, consulte Pesquisa de pessoas multilocatárias do Microsoft 365.
Organização multilocatária
A organização multilocatária é um recurso do Microsoft Entra ID e do Microsoft 365 que permite definir um limite em torno dos locatários do Microsoft Entra que sua organização possui. No diretório, ele assume a forma de um grupo de locatários que representa sua organização. Cada par de locatários no grupo é regido por configurações de acesso entre locatários que você pode usar para configurar a colaboração B2B.
Aqui estão os principais benefícios de uma organização multilocatário:
- Diferenciar usuários externos dentro e fora da organização
- Experiência colaborativa melhorada no novo Microsoft Teams
- Experiência colaborativa melhorada no Viva Engage
Aqui estão as principais restrições com o uso de uma organização multilocatário:
- Se você já tiver usuários membros da colaboração B2B em locatários que fazem parte da organização multilocatário, esses usuários se tornarão imediatamente membros da organização multilocatária após a criação da organização multilocatário. Portanto, os aplicativos com experiências de organização multilocatária reconhecerão os usuários de membros da colaboração B2B existentes como usuários da organização multilocatário.
- A colaboração aprimorada do Microsoft Teams depende do provisionamento recíproco de usuários membros da colaboração B2B.
- A colaboração aprimorada do Viva Engage depende do provisionamento centralizado de membros da colaboração B2B.
- Para restrições adicionais, consulte Limitações em organizações multilocatário.
Para obter mais informações, consulte O que é uma organização multilocatária no Microsoft Entra ID?.
Centro de administração do Microsoft 365 para colaboração multilocatária
O centro de administração do Microsoft 365 para colaboração multilocatária fornece uma experiência intuitiva de portal de administração para criar sua organização multilocatário.
- Crie uma organização multilocatária no Centro de administração do Microsoft 365.
Após a criação de uma organização multilocatário, a Microsoft oferece dois métodos para provisionar funcionários em locatários vizinhos de organizações multilocatárias em escala.
- Para organizações empresariais com topologias de identidade complexas, recomendamos o uso da sincronização entre locatários na ID do Microsoft Entra. A sincronização entre locatários é altamente configurável e permite o provisionamento de qualquer topologia de identidade multi-hub multi-spoke.
- Para organizações multilocatárias menores, onde os funcionários devem ser provisionados em todos os locatários, recomendamos permanecer no centro de administração do Microsoft 365 para sincronizar simultaneamente os usuários em vários locatários de sua organização multilocatário.
Se você já tiver seu próprio mecanismo de provisionamento de usuários em escala, poderá aproveitar os novos benefícios da organização multilocatária enquanto continua a usar seu próprio mecanismo para gerenciar o ciclo de vida de seus funcionários.
Aqui estão os principais benefícios de usar o Centro de administração do Microsoft 365 para criar sua organização multilocatária e provisionar funcionários.
- O centro de administração do Microsoft 365 fornece uma experiência gráfica do usuário para criar a organização multilocatário.
- O Centro de administração do Microsoft 365 pré-configurará seus locatários para resgate automático de convites de colaboração B2B.
- O centro de administração do Microsoft 365 pré-configurará seus locatários para sincronização de usuários de entrada, embora o uso da sincronização entre locatários permaneça opcional.
- O centro de administração do Microsoft 365 permite o provisionamento fácil de funcionários em vários locatários de sua organização multilocatário.
Aqui estão as principais restrições com o uso do Centro de administração do Microsoft 365 para criar sua organização multilocatária ou provisionar funcionários:
- O Centro de administração do Microsoft 365 pré-configurará, mas não iniciará, os trabalhos de sincronização entre locatários, mesmo que você pretenda usar a sincronização entre locatários no Centro de administração do Microsoft Entra.
- Topologias de identidade complexas, como sistemas multi-hub e multi-spoke, são melhor provisionadas usando a sincronização entre locatários no portal de administração do Microsoft Entra.
Para obter mais informações, consulte Colaboração multilocatária do Microsoft 365.
Comparar recursos multilocatários
Dependendo das necessidades da sua organização, você pode usar qualquer combinação de conexão direta B2B, colaboração B2B, sincronização entre locatários e recursos de organização multilocatário. A conexão direta B2B e a colaboração B2B são recursos independentes, enquanto a sincronização entre locatários e os recursos de organização multilocatária são independentes um do outro, embora ambos dependam da colaboração B2B subjacente.
A tabela a seguir compara os recursos de cada recurso. Para obter mais informações sobre diferentes cenários de identidade externa, consulte Comparando conjuntos de recursos de ID Externa.
Conexão direta B2B (Org-to-org externo ou interno) |
Colaboração B2B (Org-to-org externo ou interno) |
Sincronização entre inquilinos (Organização interna) |
Organização multilocatária (Organização interna) |
|
---|---|---|---|---|
Objetivo | Os usuários podem acessar os canais compartilhados do Teams Connect hospedados em locatários externos. | Os usuários podem acessar aplicativos/recursos hospedados em locatários externos, geralmente com privilégios de convidado limitados. Dependendo das configurações de resgate automático, os usuários podem precisar aceitar um prompt de consentimento em cada locatário. | Os utilizadores podem aceder facilmente a aplicações/recursos na mesma organização, mesmo que estejam alojados em inquilinos diferentes. | Os usuários podem colaborar mais facilmente em uma organização multilocatária no novo Teams e no Viva Engage. |
Valor | Permite a colaboração externa apenas nos canais compartilhados do Teams Connect. Mais conveniente para administradores porque eles não precisam gerenciar usuários B2B. | Permite a colaboração externa. Mais controle e monitoramento para administradores gerenciando os usuários de colaboração B2B. Os administradores podem limitar o acesso que esses usuários externos têm aos seus aplicativos/recursos. | Permite a colaboração entre inquilinos organizacionais. Os administradores não têm de convidar e sincronizar manualmente os utilizadores entre inquilinos para garantir o acesso contínuo a aplicações/recursos na organização. | Permite a colaboração entre inquilinos organizacionais. Os administradores continuam a ter capacidade de configuração completa usando configurações de acesso entre locatários. Os modelos opcionais de acesso entre locatários permitem a pré-configuração das configurações de acesso entre locatários. |
Fluxo de trabalho do administrador principal | Configure o acesso entre locatários para fornecer aos usuários externos acesso de entrada ao locatário as credenciais para seu locatário doméstico. | Adicione usuários externos ao locatário de recursos usando o processo de convite B2B ou crie sua própria experiência de integração usando o gerenciador de convites de colaboração B2B. | Configure o mecanismo de sincronização entre locatários para sincronizar usuários entre vários locatários como usuários de colaboração B2B. | Crie uma organização multilocatário, adicione (convide) locatários, ingresse em uma organização multilocatário. Use usuários de colaboração B2B existentes ou use sincronização entre locatários para provisionar usuários de colaboração B2B. |
Nível de confiança | Confiança média. Os usuários de conexão direta B2B são menos fáceis de rastrear, exigindo um certo nível de confiança com a organização externa. | Confiança baixa a média. Os objetos de usuário podem ser rastreados facilmente e gerenciados com controles granulares. | Alta confiança. Todos os locatários fazem parte da mesma organização e os usuários normalmente recebem acesso de membro a todos os aplicativos/recursos. | Alta confiança. Todos os locatários fazem parte da mesma organização e os usuários normalmente recebem acesso de membro a todos os aplicativos/recursos. |
Efeito nos utilizadores | Os usuários acessam o locatário do recurso usando as credenciais de seu locatário doméstico. Os objetos de usuário não são criados no locatário do recurso. | Os usuários externos são adicionados a um locatário como usuários de colaboração B2B. | Dentro da mesma organização, os usuários são sincronizados de seu locatário doméstico para o locatário de recurso como usuários de colaboração B2B. | Dentro da mesma organização multilocatário, os usuários de colaboração B2B, particularmente os usuários membros, se beneficiam da colaboração aprimorada e contínua no Microsoft 365. |
Tipo de utilizador | Usuário de conexão direta B2B - N/A |
Usuário de colaboração B2B - Membro externo - Convidado externo (padrão) |
Usuário de colaboração B2B - Membro externo (padrão) - Convidado externo |
Usuário de colaboração B2B - Membro externo (padrão) - Convidado externo |
O diagrama a seguir mostra como os recursos de conexão direta B2B, colaboração B2B e sincronização entre locatários podem ser usados juntos.
Terminologia
Para entender melhor o cenário de organização multilocatário relacionado aos recursos do Microsoft Entra, consulte a lista de termos a seguir.
Termo | Definição |
---|---|
tenant | Uma instância do Microsoft Entra ID. |
organização | O nível superior de uma hierarquia empresarial. |
Organização multilocatária | Uma organização que tenha mais de uma instância do Microsoft Entra ID, bem como um recurso para agrupar essas instâncias no Microsoft Entra ID. |
inquilino criador | O locatário que criou a organização multilocatário. |
inquilino proprietário | Um inquilino com a função de Proprietário. Inicialmente, o inquilino criador. |
inquilino adicionado | Um inquilino que foi adicionado por um inquilino proprietário. |
inquilino marceneiro | Um locatário que está ingressando na organização multilocatário. |
pedido de adesão | Um marceneiro ou locatário adicionado envia uma solicitação de associação para ingressar na organização multilocatário. |
inquilino pendente | Um inquilino que foi adicionado por um proprietário, mas que ainda não aderiu. |
inquilino ativo | Um locatário que criou ou ingressou na organização multilocatário. |
inquilino membro | Um locatário com a função de membro. A maioria dos inquilinos marceneiros começa como membros. |
locatário da organização multilocatária | Um locatário ativo da organização multilocatário, não pendente. |
Sincronização entre locatários | Um serviço de sincronização unidirecional no Microsoft Entra ID que automatiza a criação, atualização e exclusão de usuários de colaboração B2B entre locatários em uma organização. |
Configurações de acesso entre locatários | Configurações para gerenciar a colaboração para organizações específicas do Microsoft Entra. |
Modelo de configurações de acesso entre locatários | Um modelo opcional para pré-configurar as configurações de acesso entre locatários que são aplicadas a qualquer locatário parceiro recém-ingressado na organização multilocatário. |
configurações organizacionais | Configurações de acesso entre locatários para organizações específicas do Microsoft Entra. |
configuração | Um aplicativo e entidade de serviço subjacente no Microsoft Entra ID que inclui as configurações (como locatário de destino, escopo do usuário e mapeamentos de atributo) necessárias para a sincronização entre locatários. |
aprovisionamento | O processo de criação ou sincronização automática de objetos através de um limite. |
Resgate automático | Uma configuração B2B para resgatar automaticamente convites para que os usuários recém-criados não recebam um e-mail de convite ou precisem aceitar uma solicitação de consentimento quando adicionados a um locatário de destino. |