Scénáře pro více tenantů Microsoft Entra

Existuje několik důvodů, proč může organizace potřebovat nebo může chtít prozkoumat několik tenantů Microsoft Entra. Mezi nejběžnější scénáře patří:

• Fúze a akvizice
• Požadavky na dodržování právních předpisů nebo zemí nebo oblastí
• Požadavky na organizační jednotku nebo organizační izolaci a autonomii
• Nezávislý dodavatel softwaru (ISV) doručující aplikace SaaS z Azure
• Testování na úrovni tenanta / Testování Microsoftu 365
• Základní / Stínové IT / start-upy

Fúze a akvizice

S tím, jak organizace v průběhu času rostou, můžou získat jiné společnosti nebo organizace. Tyto akvizice budou pravděpodobně mít existující tenanty Microsoft Entra, kteří již vytvořili, že hostitel a poskytuje služby, jako je Microsoft 365 (Exchange Online, SharePoint, OneDrive nebo Teams), Dynamics 365 a Microsoft Azure, společnosti nebo organizaci.

Tyto dva tenanty Microsoft Entra se obvykle konsolidují do jednoho tenanta Microsoft Entra. Tato konsolidace snižuje režijní náklady na správu, zlepšuje možnosti spolupráce a představuje jednu identitu značky pro jiné společnosti a organizace.

Důležité

Vlastní název domény (například contoso.com) je možné přidružit pouze k jednomu tenantovi Microsoft Entra najednou. Konsolidace tenantů je proto upřednostňovaná, protože jeden vlastní název domény může používat všechny identity, když dojde k fúzi nebo akvizici.

Vzhledem k složitosti konsolidace dvou tenantů Microsoft Entra do jednoho, někdy jsou tenanti ponecháni samostatně a zůstávají samostatní po delší nebo neomezenou dobu.

Tento scénář může nastat také v případě, že organizace nebo společnosti chtějí zůstat oddělené, protože v budoucnu můžou svou společnost získat i jiné organizace. Pokud organizace udržuje tenanty Microsoft Entra izolované a nekonsolidují je, je méně práce, pokud dojde k budoucí fúzi nebo získání jedné entity.

Požadavky na dodržování právních předpisů nebo zemí nebo oblastí

Některé organizace mají přísné kontrolní mechanismy dodržování předpisů nebo zemí nebo oblastí (například Uk Official, Sarbanes Oxley (SOX) nebo NIST). Organizace můžou vytvořit několik tenantů Microsoft Entra, aby tyto architektury splňovaly a dodržovaly.

Některé organizace, které mají kanceláře a uživatele po celém světě s přísnějšími předpisy pro rezidenci dat, můžou také vytvářet více tenantů Microsoft Entra. Tento konkrétní požadavek se ale obvykle řeší v rámci jednoho tenanta Microsoft Entra pomocí funkcí, jako je Microsoft 365 Multi-Geo.

Dalším scénářem je situace, kdy organizace vyžadují Azure Government (US Government) nebo Azure China (provozovaný společností 21Vianet). Tyto národní cloudové instance Azure vyžadují vlastní tenanty Microsoft Entra. Tenanti Microsoft Entra jsou výhradně pro danou národní instanci cloudu Azure a používají se pro služby správy identit a přístupu k předplatným Azure v rámci této cloudové instance Azure.

Tip

Další informace o scénářích identit národních nebo regionálních cloudů Azure najdete v následujících tématech:

• Identita azure Government
• Přeshraniční připojení a interoperabilita Azure China
• Ověřování Microsoft Entra a národní/regionální cloudy

Podobně jako v předchozích scénářích nemusí vaše organizace jako výchozí přístup vyžadovat více tenantů Microsoft Entra, pokud má dodržování právních předpisů nebo zemí nebo oblastí. Většina organizací může dodržovat architektury v rámci jednoho tenanta Microsoft Entra pomocí funkcí, jako je Privileged Identity Management a Správa istrativní jednotky.

Požadavky na organizační jednotku nebo organizační izolaci a autonomii

Některé organizace můžou mít složité interní struktury napříč několika obchodními jednotkami nebo můžou vyžadovat vysokou úroveň izolace a samostatnosti mezi částmi organizace.

Pokud k tomuto scénáři dojde a nástroje a pokyny v izolaci prostředků v jednom tenantovi nemůžou poskytnout požadovanou úroveň izolace, možná budete muset nasadit, spravovat a provozovat více tenantů Microsoft Entra.

V podobných scénářích je častější, že neexistují žádné centralizované funkce, které zodpovídají za nasazování, správu a provoz těchto více tenantů. Místo toho jsou plně předány oddělené organizační jednotce nebo části organizace, aby mohly běžet a spravovat. Centralizovaná architektura, strategie nebo tým stylů CCoE můžou stále poskytovat pokyny a doporučení k osvědčeným postupům, které je potřeba nakonfigurovat v samostatném tenantovi Microsoft Entra.

Upozorňující

Organizace, které mají provozní role a zodpovědnosti, vytvářejí výzvy mezi týmy, které provozují tenanta Microsoft Entra organizace. Azure by měl stanovit prioritu vytváření a odsouhlasení jasného RACI mezi dvěma týmy. Tato akce zajišťuje, aby oba týmy mohly pracovat a poskytovat své služby organizaci a poskytovat hodnotu společnosti včas.

Některé organizace mají cloudovou infrastrukturu a vývojové týmy, které používají Azure. Organizace spoléhají na tým identit, který má kontrolu nad podnikovým tenantem Microsoft Entra pro vytváření instančního objektu nebo vytváření a správu skupin. Pokud není dohodnutá funkce RACI, mezi týmy často chybí proces a porozumění, což vede k tření mezi týmy a napříč organizací. Některé organizace se domnívají, že jediným způsobem, jak tuto výzvu překonat, je několik tenantů Microsoft Entra.

Několik tenantů Microsoft Entra ale vytváří výzvy pro koncové uživatele, zvyšuje složitost zabezpečení, správy a řízení více tenantů a potenciálně zvyšuje náklady na licencování. Licence, jako je Microsoft Entra ID P1 nebo P2, nemají více tenantů Microsoft Entra. Někdy může využití Microsoft Entra B2B zmírnit duplikaci licencování některých funkcí a služeb. Pokud ve svém nasazení plánujete používat Microsoft Entra B2B, projděte si licenční podmínky jednotlivých funkcí a služeb a možnosti podpory pro oprávněnost Microsoft Entra B2B.

Organizace v této situaci by měly vyřešit provozní výzvy, aby týmy mohly spolupracovat v jednom tenantovi Microsoft Entra a nevytvořit více tenantů Microsoft Entra jako alternativní řešení.

Nezávislý dodavatel softwaru (ISV) doručující aplikace SaaS z Azure

Nezávislí výrobci softwaru, kteří svým zákazníkům poskytují produkty SaaS (software jako služba), můžou pro své využití Azure těžit z několika tenantů Microsoft Entra.

Pokud jste výrobce softwaru, možná budete mít oddělení mezi firemním tenantem Microsoft Entra, včetně využití Azure, pro běžné aktivity vaší firmy, jako jsou e-maily, sdílení souborů a interní aplikace. Můžete mít také samostatného tenanta Microsoft Entra, kde předplatná Azure hostují a doručují aplikace SaaS, které poskytnete koncovým zákazníkům. Tento přístup je běžný a rozumný, protože chrání vás a vaše zákazníky před bezpečnostními incidenty.

Další informace najdete v tématu Důležité informace o nezávislém dodavateli softwaru (ISV) pro cílové zóny Azure.

Testování na úrovni tenanta / Testování Microsoftu 365

Některé aktivity a funkce v produktech, službách a nabídkách Microsoft Cloud je možné testovat pouze v samostatném tenantovi Microsoft Entra. Zde je několik příkladů:

• Microsoft 365 – Exchange Online, SharePoint a Teams
• Microsoft Entra ID – Microsoft Entra Připojení, úrovně rizik ochrany Před internetovými hrozbami Microsoft Entra ID a aplikace SaaS
• Testování skriptů, které používají rozhraní Microsoft Graph API a můžou ovlivnit a provádět změny v produkčním prostředí

Pokud chcete provést testování jako v předchozích scénářích, je jedinou možností samostatného tenanta Microsoft Entra.

Samostatný tenant Microsoft Entra ale není určený k hostování předplatných Azure, která obsahují úlohy, a to bez ohledu na prostředí, například vývoj/testování. Dokonce i vývojové/testovací prostředí by měla být obsažena v běžném "produkčním" tenantovi Microsoft Entra.

Tip

Informace o tom, jak zpracovávat testování cílových zón Azure a úloh Azure nebo prostředků v prostředích cílových zón Azure, najdete tady:

• Jak v architektuře cílové zóny Azure zpracováváme cílové zóny úloh pro vývoj/testování/produkční prostředí?
• Přístup k testování cílových zón Azure

Základní / Stínové IT / Start-upy

Pokud chce tým rychle inovovat, může vytvořit samostatného tenanta Microsoft Entra, který jim pomůže co nejrychleji přejít. Mohou záměrně nebo neúmyslně zabránit procesu centrálního týmu nebo týmu platformy a pokynům pro získání přístupu k prostředí Azure, aby mohli provádět své inovace.

Tento scénář je běžný u start-upů, kde si nastavují vlastního tenanta Microsoft Entra pro spouštění, hostování a provoz firmy a služeb. Obvykle se to očekává, ale při získávání start-upů vytvoří extra tenant Microsoft Entra rozhodovací bod, kde se it týmy získající organizace, rozhodnout, co se má v budoucnu dělat.

Další informace o tom, jak tento scénář procházet, najdete v částech Tohoto článku o slučování a akvizicích a nezávislém dodavateli softwaru (ISV) doručující aplikace SaaS z oddílů Azure .

Důležité

Důrazně doporučujeme, aby týmy platformy měly snadno přístupný a efektivní proces, který týmům umožňuje přístup k předplatnému nebo předplatným azure sandboxu, která jsou v podnikovém nebo primárním tenantovi Microsoft Entra pro organizaci. Tento proces zabraňuje vzniku scénářů stínového IT a brání výzvám v budoucnu pro všechny zúčastněné strany.

Další informace o sandboxech najdete v pokynech ke skupinám pro správu v oblasti návrhu organizace prostředků.

Shrnutí

Jak je popsáno ve scénářích, existuje několik důvodů, proč může vaše organizace vyžadovat více tenantů Microsoft Entra. Když ale vytvoříte více tenantů pro splnění požadavků v těchto scénářích, zvyšuje složitost a provozní úlohy pro údržbu více tenantů a potenciálně zvyšuje náklady na licenční požadavky. Další informace najdete v tématu Důležité informace a doporučení pro cílové zóny Azure ve scénářích s více tenanty.

Další kroky

Důležité informace a doporučení pro scénáře cílových zón Azure s více tenanty