多租户用户管理的常见解决方案

本文是一系列文章中的第四篇文章，提供在Microsoft Entra多租户环境中配置和提供用户生命周期管理的指导。 本系列中的以下文章提供了详细信息，如前所述。

• 多租户用户管理简介 是系列中的第一个。
• 多租户用户管理方案 描述了可以使用多租户用户管理功能的三种方案：最终用户启动、脚本化和自动化。
• 多租户用户管理常见的注意事项提供了以下方面的指导：跨租户同步、目录对象、Microsoft Entra 条件访问、其他访问控制和 Office 365。

本指南可帮助你实现用户生命周期管理的一致状态。 生命周期管理包括通过可用的Azure工具（包括Microsoft Entra B2B协作）进行跨租户的用户预配、管理和取消预配（B2B）。

Microsoft尽可能推荐单个租户。 如果单租户不适用于你的方案，请参考以下解决方案，这些方案是由Microsoft客户为解决这些挑战而成功实施的：

• 跨租户的自动用户生命周期管理和资源分配
• 跨租户共享本地应用

跨租户的自动用户生命周期管理和资源分配

客户收购了以前与之有着密切业务关系的竞争对手。 组织希望维护其企业标识。

当前状态

目前，组织正在将彼此的用户同步为邮件联系人对象，以便它们在彼此的目录中显示。 每个资源租户都为其他租户中的所有用户启用了邮件联系人对象。 在租户中，无法访问应用程序。

目标

客户具有以下目标。

• 每个用户都出现在每个组织的 GAL 中。
  • 主租户中的用户帐户生命周期更改会自动反映在资源租户 GAL 中。
  • 家庭租户（如部门、名称、简单邮件传输协议 （SMTP） 地址）中的属性更改会自动反映在资源租户 GAL 和主 GAL 中。
• 用户可以访问资源租户中的应用程序和资源。
• 用户可以自主提出资源访问请求。

解决方案体系结构

组织将点到点体系结构与同步引擎（如 Microsoft Identity Manager（MIM）配合使用。 下图演示了此解决方案的点到点体系结构示例。

每个租户管理员执行以下步骤来创建用户对象。

1. 确保其用户数据库是最新的。
2. 部署和配置 MIM。
   1. 处理现有联系人对象。
   2. 为其他租户的内部成员用户创建外部成员用户对象。
   3. 同步用户对象属性。
3. 部署和配置 权利管理 访问包。
   1. 要共享的资源。
   2. 到期和访问评审策略。

跨租户共享本地应用

具有多个对等组织的客户需要从其中一个租户共享内部部署应用程序。

当前状态

合作伙伴组织正在网格拓扑中同步外部用户，使得资源能够在不同租户之间分配给云应用程序。 客户提供以下功能。

• 在 Microsoft Entra ID 中共享应用程序。
• 资源租户自动用户生命周期管理（在主租户中反映添加、修改和删除）。

下图演示了此方案，其中只有公司 A 中的内部用户才能访问公司 A 的本地应用。

目标

除了当前功能之外，他们希望提供以下内容。

• 为外部用户提供对公司 A 的本地资源的访问权限。
• 具有安全断言标记语言（SAML）身份验证的应用。
• 具有集成Windows身份验证和 Kerberos 的应用。

解决方案体系结构

公司 A 使用 Azure Application Proxy为自己的内部用户提供本地应用单一登录（SSO），如下图所示。

以下文章提供有关 B2B 协作的其他信息。

• 混合组织中，Microsoft Entra 的 B2B 协作描述了如何为外部合作伙伴授予访问组织内应用程序和资源的权限。

后续步骤

• 多租户用户管理简介是系列文章中的第一篇，旨在为在 Microsoft Entra 多租户环境中配置和管理用户生命周期提供指导。
• 多租户用户管理方案 描述了可以使用多租户用户管理功能的三种方案：最终用户启动、脚本化和自动化。
• 多租户用户管理常见的注意事项提供了以下方面的指导：跨租户同步、目录对象、Microsoft Entra 条件访问、其他访问控制和 Office 365。