Escenarios de administración de usuarios multiinquilino

Este artículo es el segundo de una serie de artículos que proporcionan una guía para configurar y proporcionar la administración del ciclo de vida de los usuarios en entornos multiinquilino de Microsoft Entra. En los artículos siguientes de la serie se proporciona más información, como se describe.

Las instrucciones le permiten alcanzar un estado coherente de la administración del ciclo de vida de los usuarios. La administración del ciclo de vida incluye el aprovisionamiento, la administración y el desaprovisionamiento de usuarios entre inquilinos mediante las herramientas de Azure disponibles que incluyen la colaboración B2B (B2B) de Microsoft Entra y la sincronización entre inquilinos.

En este artículo se describen tres escenarios para los que puede usar características de administración de usuarios multiinquilino.

  • Iniciado por el usuario final
  • Incluido en script
  • Automatizado

Escenario iniciado por el usuario final

En los escenarios iniciados por el usuario final, los administradores de arrendamiento de recursos delegan ciertas capacidades a los usuarios del arrendamiento. Los administradores permiten a los usuarios finales invitar a usuarios externos al entorno, a una aplicación o a un recurso. Puede invitar a los usuarios desde el inquilino principal o pueden registrarse individualmente.

Por ejemplo, una firma de servicios profesionales global colabora con subcontratistas en proyectos. Los subcontratistas (usuarios externos) requieren acceso a las aplicaciones y documentos de la firma. Los administradores de la firma pueden delegar a los usuarios finales la capacidad de invitar a subcontratistas o configurar el autoservicio para el acceso a recursos del subcontratista.

Aprovisionamiento de cuentas

Estas son las formas más usadas de invitar a los usuarios finales a acceder a los recursos de inquilino.

  • Invitaciones basadas en aplicaciones. Las aplicaciones de Microsoft (como Teams y SharePoint) pueden habilitar invitaciones de usuario externos. Configure la invitación B2B tanto en Microsoft Entra B2B como en las aplicaciones correspondientes.
  • MyApps. Los usuarios pueden invitar y asignar usuarios externos a aplicaciones mediante MyApps. La cuenta de usuario debe tener permisos de aprobador de registro de autoservicio de aplicación . Los propietarios de grupos pueden invitar a usuarios externos a sus grupos.
  • Administración de derechos. Habilite a los administradores o propietarios de recursos para crear paquetes de acceso con recursos, organizaciones externas permitidas, expiración de usuarios externos y directivas de acceso. Publique paquetes de acceso para habilitar el registro de autoservicio de usuario externo para el acceso a recursos.
  • Azure Portal. Los usuarios finales con el rol Invitador de invitados pueden iniciar sesión en Azure Portal e invitar a usuarios externos desde el menú Usuarios de Microsoft Entra ID.
  • Programación (PowerShell, Graph API). Los usuarios finales con el rol Invitador de invitados pueden usar PowerShell o Graph API para invitar a usuarios externos.

Canje de invitaciones

Al aprovisionar cuentas para acceder a un recurso, las invitaciones por correo electrónico van a la dirección de correo electrónico del usuario invitado.

Cuando un usuario invitado recibe una invitación, puede seguir el vínculo incluido en el correo electrónico a la dirección URL de canje. Al hacerlo, el usuario invitado puede aprobar o denegar la invitación y, si es necesario, crear una cuenta de usuario externo.

Los usuarios invitados también pueden intentar acceder directamente al recurso, denominado canje Just-In-Time (JIT), si se cumple alguno de los escenarios siguientes.

Durante el canje JIT, se pueden aplicar las siguientes consideraciones.

Para obtener más información, consulte Canje de invitación de colaboración B2B de Microsoft Entra.

Habilitación de la autenticación con código de acceso de un solo uso

En escenarios en los que se permite B2B ad hoc, habilite la autenticación por correo electrónico con un código de acceso de un solo uso. Esta característica autentica a los usuarios externos cuando no se pueden autenticar a través de otros medios, como:

  • Microsoft Entra ID.
  • Una cuenta Microsoft.
  • Cuenta de Gmail a través de la federación de Google
  • Cuenta desde un Lenguaje de Marcado de Aserciones de Seguridad (SAML)/IDP de WS-Fed mediante Federación Directa.

Con la autenticación por código de acceso de un solo uso, no hay necesidad de crear una cuenta de Microsoft. Cuando el usuario externo canjea una invitación o accede a un recurso compartido, recibe un código temporal en su correo electrónico. A continuación, se introduce el código para continuar con el inicio de sesión.

Administración de cuentas

En el escenario iniciado por el usuario final, el administrador de inquilinos de recursos administra cuentas de usuarios externos en el inquilino de recursos (no se actualiza en función de los valores actualizados en el inquilino principal). Los únicos atributos visibles recibidos incluyen la dirección de correo electrónico y el nombre para mostrar.

Puedes configurar más atributos en los objetos de usuario externo para facilitar diferentes escenarios (como escenarios de derechos). Puedes incluir la opción de rellenar la libreta de direcciones con los detalles de contacto. Por ejemplo, considera los siguientes atributos.

  • OcultoDeListasDeDireccionesHabilitado [MostrarEnListaDeDirecciones]
  • Nombre [Nombre de pila]
  • Apellido [Apellido]
  • Título
  • Departamento
  • Número de teléfono

Puedes establecer estos atributos para agregar usuarios externos a la lista global de direcciones (LGD) y a la búsqueda de personas (como el Selector de usuarios de SharePoint). Otros escenarios pueden requerir atributos diferentes (como establecer derechos y permisos para paquetes de acceso, pertenencia dinámica a grupos y notificaciones SAML).

De manera predeterminada, la LGD oculta a los usuarios externos invitados. Establece los atributos de los usuarios externos para que no estén ocultos, a fin de incluirlos en la LGD unificada. En la sección Microsoft Exchange Online de Consideraciones comunes para la administración de usuarios multiinquilino se describe cómo puede reducir los límites mediante la creación de usuarios miembros externos en lugar de usuarios invitados externos.

Desaprovisionamiento de cuentas

Los escenarios iniciados por el usuario final descentralizan las decisiones de acceso, lo que puede crear el desafío de decidir cuándo quitar un usuario externo y su acceso asociado. Las revisionesde acceso y administración de derechos le permiten revisar y quitar usuarios externos existentes y su acceso a recursos.

Cuando invitas a usuarios fuera de la administración de derechos, debes crear un proceso independiente para revisar y administrar su acceso. Por ejemplo, si invitas directamente a un usuario externo a través de SharePoint en Microsoft 365, no se encuentra en el proceso de administración de derechos.

Escenario con script

En el escenario con scripts, los administradores de inquilinos de recursos implementan un proceso de extracción con scripts para automatizar la detección y el aprovisionamiento de usuarios externos.

Por ejemplo, una empresa adquiere un competidor. Cada empresa tiene un inquilino de Microsoft Entra. Quieren que los siguientes escenarios de Día Uno puedan funcionar sin que los usuarios necesiten realizar ningún paso de invitación o canje. Todos los usuarios deben poder:

  • Usar inicio de sesión único para acceder a todos los recursos aprovisionados.
  • Encontrar personas y recursos en una LGD unificada.
  • Determinar la presencia de los demás e iniciar un chat.
  • Acceder a las aplicaciones basadas en grupos de pertenencia dinámica.

En este escenario, el inquilinato de cada organización es el inquilinato de origen para sus empleados existentes, mientras que es el inquilinato de recursos para los empleados de la otra organización.

Aprovisionamiento de cuentas

Con Delta Query, los administradores del inquilino pueden implementar un proceso de extracción con scripts para automatizar la detección y el aprovisionamiento de identidades para facilitar el acceso a los recursos. Este proceso comprueba el tenant de origen para nuevos usuarios. Usa las APIs de Graph B2B para aprovisionar nuevos usuarios como usuarios externos en el inquilino de recursos, como se muestra en el siguiente diagrama de topología multiinquilino.

Diagrama que muestra el uso de las API de Graph B2B para aprovisionar nuevos usuarios como usuarios externos en el inquilino de recursos.

  • Los administradores de inquilinos organizan previamente las credenciales y el consentimiento para permitir que cada inquilino pueda leer.
  • Los administradores del inquilino automatizan la enumeración y extracción de usuarios delimitados al inquilino de recursos.
  • Usa Microsoft Graph API con permisos con consentimiento para leer y aprovisionar usuarios a través de la API de invitación.
  • El aprovisionamiento inicial puede leer atributos de origen y aplicarlos al objeto de usuario de destino.

Administración de cuentas

La organización de recursos puede aumentar los datos de perfil para admitir escenarios de uso compartido actualizando los atributos de metadatos del usuario en el inquilino de recursos. Sin embargo, si es necesaria la sincronización en curso, una solución sincronizada podría ser una mejor opción.

Desaprovisionamiento de cuentas

Delta Query puede indicar cuándo es necesario desaprovisionar un usuario externo. La administración de derechos y las revisiones de acceso pueden proporcionar una manera de revisar y quitar usuarios externos existentes y su acceso a los recursos.

Si invita a usuarios fuera de la administración de derechos, cree un proceso independiente para revisar y administrar el acceso de los usuarios externos. Por ejemplo, si invita al usuario externo directamente a través de SharePoint en Microsoft 365, no se encuentra en el proceso de gestión de permisos.

Escenario automatizado

El uso compartido sincronizado entre inquilinos es el más complejo de los patrones descritos en este artículo. Este patrón permite opciones de administración y desaprovisionamiento más automatizadas que las iniciados por el usuario final o los scripts.

En escenarios automatizados, los administradores de inquilinos de recursos usan un sistema de aprovisionamiento de identidades para automatizar los procesos de aprovisionamiento y desaprovisionamiento. En escenarios dentro de la instancia de Nube Comercial de Microsoft, tenemos sincronización entre inquilinos. En escenarios que abarcan instancias de nube soberana de Microsoft, necesita otros enfoques porque la sincronización entre inquilinos aún no admite la nube cruzada.

Por ejemplo, dentro de una instancia de nube comercial de Microsoft, una conglomeración multinacional o regional tiene varias subsidiarias con los siguientes requisitos.

  • Cada uno tiene su propio inquilino de Microsoft Entra y deben trabajar juntos.
  • Además de sincronizar nuevos usuarios entre inquilinos, sincronice automáticamente las actualizaciones de atributos y automatice el desaprovisionamiento.
  • Si un empleado ya no está en una subsidiaria, quite su cuenta de todos los demás inquilinos durante la siguiente sincronización.

En un escenario ampliado y multinube, un contratista del sector de base industrial de defensa (DIB) tiene una subsidiaria basada en defensa y una subsidiaria basada en comercio. Estos tienen requisitos regulatorios en competencia:

  • El negocio de defensa de EE. UU. reside en una entidad de nube soberana de EE. UU., como Microsoft 365 US Government GCC High y Azure Government.
  • El negocio comercial reside en una entidad de Microsoft Entra independiente en el sector comercial, como un entorno de Microsoft Entra funcionando en la nube global de Azure.

Para actuar como una sola empresa implementada en una arquitectura de nube cruzada, todos los usuarios se sincronizan con ambos inquilinos. Este enfoque permite la disponibilidad de GAL unificada en ambos inquilinos y puede garantizar que los usuarios se sincronicen automáticamente con ambos inquilinos, incluidos los derechos y restricciones para las aplicaciones y el contenido. Algunos requisitos de ejemplo incluyen:

  • Los empleados de Estados Unidos pueden tener acceso ubicuo a ambos inquilinos.
  • Los empleados que no son de EE. UU. aparecen en la GAL unificada de ambos tenants, pero no tienen acceso al contenido protegido en el tenant de GCC High.

Este escenario requiere la sincronización automática y la administración de identidades para configurar los usuarios en ambos clientes, asociándolos con las directivas adecuadas de derechos y protección de datos.

B2B entre nubes requiere configurar las Configuraciones de Acceso entre Arrendatarios para cada organización con la que desea colaborar en la instancia de nube remota.

Aprovisionamiento de cuentas

En esta sección se describen tres técnicas para automatizar el aprovisionamiento de cuentas en el escenario automatizado.

Técnica 1: Usar la funcionalidad integrada de sincronización entre inquilinos en Microsoft Entra ID

Este enfoque solo funciona cuando todos los inquilinos que necesita sincronizar se encuentran en la misma instancia de nube (como de Comercial a Comercial).

Técnica 2: aprovisionar cuentas con Microsoft Identity Manager

Use una solución externa de administración de identidades y acceso (IAM), como Microsoft Identity Manager (MIM) como un motor de sincronización.

Esta implementación avanzada usa MIM como motor de sincronización. MIM llama a Microsoft Graph API y Exchange Online PowerShell. Las implementaciones alternativas pueden incluir la oferta de servicio administrado del Servicio de sincronización de Active Directory (ADSS) hospedado en la nube. Hay ofertas que no son de Microsoft que puede crear desde cero con otras ofertas de IAM (como SailPoint, Omada y OKTA).

Puede realizar una sincronización de identidad de nube a nube (usuarios, contactos y grupos) de un inquilino a otro, como se muestra en el diagrama siguiente.

Diagrama que muestra la sincronización de identidades de nube a nube, como usuarios, contactos y grupos, de un inquilino a otro.

Entre las consideraciones que están fuera del ámbito de este artículo se incluyen la integración de aplicaciones locales.

Técnica 3: aprovisionar cuentas con Microsoft Entra Connect

Esta técnica solo se aplica a organizaciones complejas que administran toda la identidad en instancias tradicionales de Active Directory Domain Services (AD DS) basadas en Windows Server. El enfoque usa Microsoft Entra Connect como motor de sincronización, como se muestra en el diagrama siguiente.

En el diagrama se muestra un enfoque para aprovisionar cuentas que usan Microsoft Entra Connect como motor de sincronización.

A diferencia de la técnica de MIM, todos los orígenes de identidad (usuarios, contactos y grupos) proceden de una instancia tradicional de Active Directory Domain Services (AD DS) basada en Windows Server. El directorio de AD DS suele ser una implementación local para una organización compleja que administra la identidad de varios inquilinos. La identidad solo en la nube no está en el ámbito de esta técnica. Todas las identidades deben estar en AD DS para incluirlos en el ámbito de la sincronización.

Conceptualmente, esta técnica sincroniza a un usuario en un tenant principal como usuario miembro interno (comportamiento predeterminado). Como alternativa, puede sincronizar un usuario en un espacio de recursos como usuario externo (comportamiento personalizado).

Microsoft admite esta técnica de sincronización dual de usuario con consideraciones cuidadosas sobre qué modificaciones se producen en la configuración de Microsoft Entra Connect. Por ejemplo, si realiza modificaciones en la configuración controlada por el asistente, debe documentar los cambios si debe volver a generar la configuración durante un incidente de soporte técnico.

De forma predeterminada, Microsoft Entra Connect no puede sincronizar un usuario externo. Debe complementarlo con un proceso externo (como un script de PowerShell) para convertir los usuarios de cuentas internas a externas.

Entre las ventajas de esta técnica se incluyen la sincronización de identidades de Microsoft Entra Connect con atributos almacenados en AD DS. La sincronización puede incluir atributos de libreta de direcciones, atributos de administrador, pertenencias a grupos y otros atributos de identidad híbrida en todos los inquilinos dentro del ámbito. Desaprovisiona la identidad en consonancia con AD DS. No requiere una solución de IAM más compleja para administrar la identidad en la nube para esta tarea específica.

Hay una relación de uno a uno de Microsoft Entra Connect por inquilino. Cada inquilino tiene su propia configuración de Microsoft Entra Connect que puede modificar individualmente para admitir la sincronización de cuentas de usuario externos o miembros.

Elección de la topología correcta

La mayoría de los clientes usan una de las siguientes topologías en escenarios automatizados.

  • Una topología de malla permite compartir todos los recursos de todos los inquilinos. Los usuarios se crean a partir de otros inquilinos en cada inquilino de recursos como usuarios externos.
  • Una topología de inquilino de un solo recurso usa un solo inquilino (el inquilino de recursos), en el que los usuarios de otros inquilinos son usuarios externos.

Haga referencia a la tabla siguiente como árbol de decisión mientras diseña la solución. Después de la tabla, los diagramas muestran ambas topologías para ayudarle a determinar cuál es la adecuada para su organización.

Comparación de topologías de malla frente a topologías de inquilino de un solo recurso

Consideración Topología en malla Arrendatario de un solo recurso
Cada empresa tiene un entorno separado de Microsoft Entra con usuarios y recursos.
Ubicación y colaboración de recursos
Las aplicaciones compartidas y otros recursos permanecen en su arrendatario de origen actual No. Solo puede compartir aplicaciones y otros recursos en el inquilino de recursos. No puede compartir aplicaciones ni otros recursos restantes en otros inquilinos.
Todos los elementos que se pueden ver en las GAL de una empresa individual (GAL unificada) No
Acceso y administración de recursos
Puede compartir TODAS las aplicaciones conectadas a Microsoft Entra ID entre todas las empresas. No. Solo se comparten las aplicaciones en el tenant de recursos. No puede compartir aplicaciones restantes en otros inquilinos.
Administración global de recursos Continúe a nivel de arrendatario. Consolidado en el entorno de recursos.
Licencias: Office 365 SharePoint en Microsoft 365, GAL unificada, acceso a Teams para todos los invitados admitidos; aunque no en otros escenarios de Exchange Online. Continúa a nivel de arrendatario. Continúa a nivel de arrendatario.
Licencias: Microsoft Entra ID (Premium) Los primeros 50 000 usuarios activos mensuales son gratuitos (por inquilino). Los primeros 50 000 usuarios activos mensuales son gratuitos.
Licencias: aplicaciones de software como servicio (SaaS) Permanecer en inquilinos individuales, puede requerir licencias por usuario e inquilino. Todos los recursos compartidos residen en el único inquilino de recursos. Podría considerar la consolidación de licencias en el único arrendatario, si procede.

Topología en malla

El diagrama siguiente ilustra la topología de malla.

Diagrama que muestra la topología de malla.

En una topología de malla, todos los usuarios de cada inquilino residencial se sincronizan con cada uno de los otros inquilinos, que se transforman en inquilinos de recursos.

  • Puede compartir cualquier recurso dentro de un inquilino con usuarios externos.
  • Cada organización puede ver a todos los usuarios en el conglomerado. En el diagrama anterior hay cuatro GALs unificadas, cada una de las cuales contiene los usuarios locales y los usuarios externos de las otras tres entidades.

Las consideraciones comunes para la administración de usuarios multiinquilino proporcionan información sobre el aprovisionamiento, la administración y el desaprovisionamiento de usuarios en este escenario.

Topología de malla para la nube cruzada

Puede usar la topología de malla en tan solo dos inquilinos, como en el escenario del contratista de defensa DIB que se encuentra en una solución de nube soberana cruzada. Al igual que con la topología de malla, cada usuario de cada inquilino principal se sincroniza con el otro inquilino, que se convierte en un inquilino de recursos. En el diagrama de la sección técnica 3, el usuario interno del inquilino comercial público se sincroniza con el inquilino soberano de GCC High de EE. UU. como cuenta de usuario externa. Al mismo tiempo, el usuario interno de GCC High se sincroniza con Commercial como una cuenta de usuario externo.

En el diagrama también se muestran las ubicaciones de almacenamiento de datos. La categorización y el cumplimiento de datos están fuera del ámbito de este artículo, pero puede incluir derechos y restricciones en aplicaciones y contenido. El contenido puede incluir ubicaciones en las que residen los datos propiedad del usuario de un usuario interno (como los datos almacenados en un buzón de Exchange Online o OneDrive). El contenido puede estar en su entidad principal y no en la entidad de recursos. Los datos compartidos pueden residir en cualquiera de los inquilinos. Puedes restringir el acceso al contenido a través del control de acceso y las directivas de acceso condicional.

Topología de tenencia de un solo recurso

En el diagrama siguiente se ilustra la topología de un arrendatario de un recurso único.

Diagrama que ilustra una topología de inquilino de un recurso único.

En una topología de inquilino de un solo recurso, los usuarios y sus atributos se sincronizan con el inquilino de recursos (empresa A en el diagrama anterior).

  • Todos los recursos compartidos entre las organizaciones miembro deben residir en un único entorno de recursos. Si varias subsidiarias tienen suscripciones a las mismas aplicaciones SaaS, hay una oportunidad para consolidar esas suscripciones.
  • Solo la GAL del arrendatario de recursos muestra a los usuarios de todas las empresas.

Administración de cuentas

Esta solución detecta y sincroniza los cambios de atributos de los usuarios del inquilino de origen a los usuarios externos del inquilino de recursos. Puedes usar estos atributos para tomar decisiones de autorización (por ejemplo, cuando se usan grupos de pertenencia dinámica).

Desaprovisionamiento de cuentas

Automation detecta la eliminación del objeto en el entorno de origen y elimina el objeto de usuario externo asociado en el entorno de destino.

Las consideraciones comunes para la administración de usuarios multiinquilino proporcionan información adicional sobre el aprovisionamiento, la administración y el desaprovisionamiento de usuarios en este escenario.

Pasos siguientes

  • Last updated on