Compartir a través de


Topologías para la colaboración entre inquilinos

Las organizaciones suelen encontrarse administrando varios inquilinos debido a fusiones y adquisiciones, requisitos normativos o bien límites administrativos. Independientemente de su situación, Microsoft Entra ofrece una solución flexible y lista para usar para el aprovisionamiento de cuentas entre inquilinos facilitando una colaboración sin problemas. Microsoft Entra admite los tres modelos siguientes y puede adaptarse a sus necesidades organizativas en constante evolución.

  • En estrella tipo hub-and-spoke
  • En malla
  • Just-In-Time

En estrella tipo hub-and-spoke

La topología de hub and spoke presenta dos patrones comunes:

  • Opción 1 (centro de aplicaciones): en esta opción, se pueden integrar aplicaciones usadas habitualmente en un inquilino de hub central al que pueden acceder los usuarios de toda la organización.

  • Opción 2 (centro de usuarios): alternativamente, la opción 2 centraliza todos los usuarios de un solo inquilino y los aprovisiona en inquilinos de radio donde se administran los recursos.

Examinemos algunos escenarios reales y veamos cómo se alinean con cada uno de estos modelos.

Fusiones y adquisiciones (centro de aplicaciones)

Durante las fusiones y adquisiciones, la capacidad de habilitar rápidamente la colaboración es fundamental, lo que permite a las empresas funcionar de forma coherente mientras se toman decisiones complejas de TI. Por ejemplo, cuando los empleados de una empresa recién adquirida necesitan acceso inmediato a aplicaciones como el sistema interno de venta de vales del departamento de soporte técnico o la aplicación de beneficios, la sincronización entre inquilinos resulta inestimable. Este proceso de sincronización permite que los usuarios de la empresa adquirida se aprovisionen en el centro de aplicaciones desde el primer día, concediéndoles acceso a aplicaciones SaaS, aplicaciones locales y otros recursos en la nube. Dentro del inquilino de destino, los administradores pueden configurar paquetes de acceso para conceder acceso limitado de tiempo a aplicaciones adicionales, como Salesforce y Amazon Web Services, que contienen datos críticos para la empresa. En el diagrama siguiente se muestran los inquilinos adquiridos recientemente, a la izquierda, y sus usuarios siendo aprovisionados en el inquilino de la empresa principal, lo que concede a los usuarios acceso a los recursos necesarios.

Diagrama que muestra varios inquilinos de origen que se sincronizan con un único inquilino de destino.

Inquilinos de recursos y colaboración independientes (centro de usuarios)

A medida que las organizaciones escalan su uso de Azure, a menudo crean inquilinos dedicados para administrar recursos críticos de Azure. Mientras tanto, se basan en un inquilino de hub central para el aprovisionamiento de usuarios. Este modelo permite a los administradores del inquilino central establecer directivas de seguridad y gobernanza centrales, a la vez que concede a los equipos de desarrollo mayor autonomía y agilidad para implementar los recursos necesarios de Azure. La sincronización entre inquilinos admite esta topología al permitir que los administradores aprovisionen un subconjunto de usuarios en los inquilinos de radio y administren el ciclo de vida de esos usuarios.

Diagrama que muestra un inquilino de origen que se sincroniza con varios inquilinos de destino.

En malla

Aunque algunas empresas centralizan a sus usuarios dentro de un único inquilino, otras tienen una estructura más descentralizada con aplicaciones, sistemas de RR. HH. y dominios de Active Directory integrados en cada inquilino. La sincronización entre inquilinos ofrece la flexibilidad de elegir qué usuarios se aprovisionan en cada inquilino.

Colaborar dentro de una empresa de cartera (malla parcial)

En este escenario, cada inquilino representa una empresa diferente dentro de la misma organización primaria. Los administradores de cada inquilino eligen un subconjunto de usuarios para aprovisionar en el inquilino de destino. Esta solución proporciona flexibilidad para que cada inquilino funcione de forma independiente, a la vez que facilita la colaboración cuando los usuarios necesitan acceso a recursos críticos.

Diagrama que muestra una topología de malla parcial que se sincroniza con varios inquilinos.

La sincronización entre inquilinos es unidireccional. Los usuarios miembros internos se pueden sincronizar en varios inquilinos como usuarios externos. Cuando la topología muestra una sincronización bidireccional, hay un conjunto distinto de usuarios en cada dirección y cada flecha representa una configuración diferente.

Colaboración entre unidades de negocio (malla completa)

En este escenario, la organización ha designado inquilinos diferentes para cada unidad de negocio. Las unidades de negocio trabajan estrechamente juntas, en particular con Microsoft Teams. Como resultado, cada inquilino ha elegido aprovisionar todos los usuarios en los cuatro inquilinos de la organización. A medida que los nuevos usuarios se unen a la empresa o salen, el servicio de aprovisionamiento se encarga de crear y eliminar usuarios. La organización también ha configurado una organización multiinquilino que incluye los cuatro inquilinos. Ahora, cuando los usuarios necesitan colaborar en Teams, pueden encontrar fácilmente usuarios en toda la empresa e iniciar chats y reuniones con ellos.

Diagrama que muestra una topología de malla completa que se sincroniza con varios inquilinos.

Just-In-Time

Aunque los escenarios descritos hasta ahora cubren la colaboración dentro de una organización, hay casos en los que la colaboración entre organizaciones resulta fundamental. Esto podría estar en el contexto de sociedades mixtas u organizaciones de entidades jurídicas independientes. Al emplear organizaciones conectadas y la administración de derechos, es posible definir directivas para acceder a los recursos de las organizaciones conectadas y permitir que los usuarios soliciten acceso a los recursos que necesiten.

Empresas conjuntas

Considere Contoso y Litware, organizaciones independientes vinculadas a una sociedad mixta multianual. Necesitan colaborar estrechamente. Los administradores de Contoso han definido paquetes de acceso que contienen los recursos necesarios para los usuarios de Litware. Cuando un nuevo empleado de Litware necesita acceso a los recursos de Contoso, puede solicitar acceso al paquete de acceso. Tras la aprobación, se aprovisionan con los recursos necesarios. El acceso puede estar limitado por el tiempo y sujeto a una revisión periódica para garantizar el cumplimiento de los requisitos de gobernanza de Contoso.

En el diagrama siguiente se muestra cómo dos organizaciones pueden colaborar Just-In-Time mediante organizaciones conectadas y la administración de derechos.

Diagrama que muestra cómo la colaboración Just-In-Time mediante organizaciones conectadas y la administración de derechos.

Escenarios admitidos

La sincronización entre inquilinos admite la importación de usuarios internos en el inquilino de origen y el aprovisionamiento de usuarios externos en el inquilino de destino.

Credenciales de inquilino de origen UserType de inquilino de origen Credenciales de inquilino de destino UserType de inquilino de destino ¿Escenario admitido?
Interno Miembro Externo Miembro
Interno Miembro Externo Invitado
Interno Invitado Externo Miembro
Interno Invitado Externo Invitado
Interno Miembro Interno Miembro No
Interno Miembro Interno Invitado No
Interno Invitado Interno Miembro No
Interno Invitado Interno Invitado No
Externo Miembro Externo Miembro No
Externo Miembro Externo Invitado No
Externo Invitado Externo Miembro No
Externo Invitado Externo Invitado No

Pasos siguientes