Lorsque Microsoft a introduit les canaux partagés pour Teams en 2022 , ils ont également introduit Azure B2B Direct Connect, une méthode permettant de connecter les locataires entre eux dans un accord de confiance mutuelle. Les politiques d’accès entre locataires sont à la base de la confiance mutuelle entre les locataires. Comme son nom l’indique, le nom dicte la manière dont les locataires accèdent aux ressources des autres. La synchronisation entre locataires est une autre fonctionnalité contrôlée par les politiques d’accès entre locataires. Dans ce cas, il s’agit de définir une relation de confiance pour synchroniser les objets d’annuaire entre les locataires.
Microsoft propose désormais des organisations multi-locataires , une nouvelle solution Entra ID disponible en version préliminaire. Une organisation multi-tenant (ou MTO) est un ensemble de cinq locataires Entra ID maximum connectés entre eux par des politiques d’accès entre locataires pour rendre la synchronisation des annuaires transparente. La solution s’adresse aux organisations qui s’étendent sur plusieurs locataires Microsoft 365 et qui souhaitent partager un répertoire commun et permettre aux utilisateurs des locataires connectés de partager plus facilement des informations.
Pour l’instant, les avantages d’une collaboration plus facile ne s’étendent qu’au nouveau client Teams 2.1 , où Microsoft affirme que les utilisateurs :
- Recevez des notifications en temps réel de tous les locataires du MTO.
- Vous n’avez pas besoin de changer de locataire avant de pouvoir collaborer (discuter, appeler, rencontrer) avec les utilisateurs d’autres locataires MTO. Teams prend en charge la discussion fédérée avec des personnes externes d’autres locataires. Dans un MTO, les utilisateurs des locataires du MTO ne sont plus considérés comme externes, les fonctionnalités de discussion complètes sont donc disponibles.
- Peut définir un statut distinct dans chaque locataire.
De plus, la carte de profil utilisateur Microsoft 365 affiche le nom de l’organisation d’un utilisateur. Le blog du groupe de développement Microsoft Teams donne plus d’informations sur « la collaboration transparente dans Teams dans une organisation multi-locataires ».
Lorsqu’ils seront généralement disponibles, les utilisateurs participant aux MTO auront besoin de licences Entra ID Premium P1. Étant donné qu’il s’agit avant tout d’un jeu d’entreprise, l’exigence de licence ne devrait pas poser de problème.
Création d’une nouvelle organisation multi-locataires
La structure d’un MTO est la suivante :
- Locataire propriétaire qui crée le MTO. Un locataire ne peut être membre que d’un seul MTO.
- Jusqu’à quatre locataires supplémentaires ajoutés au MTO.
- Chaque locataire se connecte aux autres locataires avec une configuration de synchronisation entre locataires.
- Chaque locataire contrôle quels utilisateurs de son annuaire synchronisent avec les autres locataires.
- Un maximum de 100 000 utilisateurs peuvent se synchroniser d’un locataire à un autre.
- Les locataires peuvent quitter un MTO à tout moment. Le MTO est supprimé lorsque le locataire propriétaire le quitte.
Comme il s’agit actuellement d’une fonctionnalité en version préliminaire, seuls les locataires configurés pour une version ciblée peuvent participer à un MTO.
Pour créer un nouveau MTO, accédez à la section Paramètres de l’organisation du Centre d’administration Microsoft 365 et sélectionnez l’onglet Profil de l’organisation. Choisissez Collaboration multitenant pour créer un nouveau MTO. Vous pouvez ensuite entrer le nom du nouveau MTO, une description et les identifiants de locataire (GUID) pour les locataires membres. J’ai choisi de commencer par me connecter avec un seul locataire (Figure 1).
Ensuite, configurez les paramètres de synchronisation pour la connexion entre le locataire débiteur et le nouveau locataire membre. Ceci est similaire aux étapes suivies pour créer une configuration de synchronisation entre locataires dans le centre d’administration Entra ID. L’opération est plus automatisée et donc plus simple dans le centre d’administration Microsoft 365. Les deux paramètres exposés dans la figure 2 contrôlent la synchronisation des utilisateurs et suppriment les invites de consentement que les utilisateurs devraient autrement donner pour permettre le partage de leurs informations via la synchronisation entre locataires.
Passez à l’écran suivant pour revoir la configuration du MTO avant de cliquer sur le gros bouton Créer une organisation multi-tenant pour lancer le processus de remplissage d’Entra ID avec les propriétés nécessaires. Cela comprend la préparation des locataires membres nommés à rejoindre le MTO. Toutefois, étant donné que les locataires fonctionnent selon un accord de confiance mutuelle, les administrateurs de chaque locataire membre doivent prendre des mesures explicites pour rejoindre le MTO. Essentiellement, cette action, exécutée via la même option dans le centre d’administration Microsoft 365, accepte une invitation du locataire propriétaire à participer au MTO (Figure 3).
Paramètres d’identification d’entrée
Microsoft 365 utilise les informations synchronisées entre les annuaires, mais Entra ID contrôle la synchronisation. Accédez à la section Identités externes du centre d’administration Entra ID et vous constaterez qu’il existe désormais une configuration de synchronisation entre locataires nommée MTO_Sync_tenantidentifier (Figure 4).
Les paramètres de configuration déterminent les utilisateurs que le locataire synchronise avec l’autre locataire et vous pouvez ajouter des utilisateurs et des groupes de sécurité à la configuration pour les synchroniser avec l’autre locataire. J’ai constaté que je devais modifier le paramètre de synchronisation de Manuel à Automatique chez certains locataires, mais à part cela, la configuration fonctionnait simplement.
N’oubliez pas que le MTO est une fonctionnalité Microsoft 365 construite sur Entra ID. Il est donc plus facile d’utiliser l’option Partager les utilisateurs dans la section Collaboration multitenant du centre d’administration Microsoft 365 pour définir les utilisateurs avec lesquels votre locataire souhaite synchroniser tous les utilisateurs. d’autres locataires du MTO. Dans mon cas, j’ai créé un groupe de sécurité et l’ai rempli avec tous les comptes membres du locataire avant de l’ajouter à la configuration (Figure 5). Un groupe de sécurité dynamique fonctionne également et est plus facile à gérer en termes d’ajout de nouveaux comptes au cycle de synchronisation.
Si vous souhaitez contrôler au niveau d’un locataire individuel (par exemple, synchroniser certains utilisateurs avec un locataire et un ensemble différent avec un autre), vous pouvez modifier les paramètres de provisionnement des configurations Entra ID individuelles pour chaque locataire. Avant de faire cela, réfléchissez au fait que l’idée derrière le MTO est d’avoir un répertoire commun entre tous les locataires du MTO. C’est pourquoi la valeur par défaut consiste à synchroniser les mêmes utilisateurs avec tous les locataires.
Membres et non invités
Lorsqu’Entra ID synchronise les comptes d’un locataire source vers un locataire cible, il crée les entrées dans le locataire cible en tant que comptes membres, et non en tant que comptes invités. Si vous examinez les propriétés d’un compte synchronisé, vous pouvez voir que le nom d’utilisateur principal ressemble à un compte invité mais que le type d’utilisateur est le même qu’un compte d’utilisateur standard :
Identifiant : 8dd7fdd3- bc6f-4390-ae0a-5910ea577a7d
DisplayName : Andy Ruth ( directeur de projet )
UserPrincipalName : Andy.Ruth_office365itpros.com #EXT#@o365maestro.onmicrosoft.com
Courriel : Andy.Ruth@office365itpros.com
Type d’utilisateur : Membre
La création de comptes synchronisés en tant que membres avec une forme spécifique d’UPN signifie que les applications peuvent facilement distinguer les comptes d’un MTO et les traiter différemment des comptes invités. La façon dont cela se produit dans le nouveau client Teams fait l’objet d’un article séparé.
À ce stade, les comptes synchronisés n’ont aucun impact sur les autres applications Microsoft 365 comme Exchange, Planner, Viva Engage ou SharePoint Online. Cela pourrait changer à l’avenir. Du point de vue de l’utilisateur, les comptes synchronisés apparaissent comme les autres comptes membres et peuvent être traités comme tels.
Le début du voyage MTO
La nouvelle organisation multi-locataires est une fonctionnalité en avant-première. En tant que tel, nous pouvons nous attendre à ce que les choses changent d’ici la disponibilité générale. Cependant, je ne pense pas que la structure générale changera et que les MTO fonctionneront comme décrit en fonction des configurations de synchronisation entre locataires d’Entra ID.
Ce qui sera intéressant à l’avenir, c’est l’impact de cette solution sur les éditeurs de logiciels indépendants qui vendent des produits de synchronisation d’annuaires entre locataires. Je pense que les MTO suppriment certains des besoins satisfaits par ces produits, de sorte que le marché va probablement rétrécir. Je suis également intéressé de voir comment les fournisseurs de migration de locataire à locataire s’adaptent à cette nouvelle influence. Les MTO remplaceront-ils le besoin de certaines migrations de locataire à locataire ou un MTO sera-t-il une étape d’ouverture pour d’autres ? Nous verrons.
Et puis se pose la question des applications Microsoft 365. Teams a déjà expliqué comment elle profiterait de la possibilité de faire la distinction entre un utilisateur synchronisé d’un locataire au sein d’un MTO et d’autres comptes externes. Nous devrons attendre et voir comment Outlook, Viva Engage, Planner et d’autres applications changent, voire pas du tout. Dans l’ensemble, le MTO constitue une perspective intéressante à envisager.
Commentaires récents