Szenarien für mehrere Microsoft Entra-Mandanten

Es gibt mehrere Gründe, warum eine Organisation mehrere Microsoft Entra-Mandanten benötigt oder untersuchen möchte. Gebräuchliche Konfigurationen:

• Fusionen und Übernahmen
• Complianceanforderungen für gesetzliche Vorschriften oder Länder/Regionen
• Anforderungen an die Isolation und Autonomie von Geschäftseinheiten oder Organisationen
• Unabhängiger Softwareanbieter (Independent Software Vendor, ISV), der SaaS-Anwendungen aus Azure liefert
• Testen auf Mandantenebene/Microsoft 365-Tests
• Grassroots / Schatten-IT / Start-ups

Fusionen und Übernahmen

Wenn Organisationen im Laufe der Zeit wachsen, können sie andere Unternehmen oder Organisationen erwerben. Bei diesen Übernahmen sind wahrscheinlich bereits vorhandene Microsoft Entra-Mandanten eingerichtet, die Dienste wie Microsoft 365 (Exchange Online, SharePoint, OneDrive oder Teams), Dynamics 365 und Microsoft Azure für das Unternehmen oder die Organisation hosten und bereitstellen.

In der Regel werden die beiden Microsoft Entra-Mandanten bei einer Übernahme zu einem einzigen Microsoft Entra-Mandanten konsolidiert. Diese Konsolidierung reduziert den Verwaltungsaufwand, verbessert die Zusammenarbeit und präsentiert anderen Unternehmen und Organisationen eine einzelne Markenidentität.

Wichtig

Ein benutzerdefinierter Domänenname (z. B. contoso.com) kann jeweils nur einem Microsoft Entra-Mandanten zugeordnet werden. Daher wird die Konsolidierung von Mandanten bevorzugt, da ein einzelner benutzerdefinierter Domänenname von allen Identitäten verwendet werden kann, wenn ein Fusions- oder Übernahmeszenario auftritt.

Aufgrund der Komplexität der Konsolidierung von zwei Microsoft Entra-Mandanten zu einem Mandanten werden die Mandanten manchmal allein gelassen und bleiben für einen längeren oder unbestimmten Zeitraum getrennt.

Dieses Szenario kann auch auftreten, wenn die Organisationen oder Unternehmen getrennt bleiben möchten, da andere Organisationen ihr Unternehmen in Zukunft erwerben könnten. Wenn eine Organisation die Microsoft Entra-Mandanten isoliert hält und sie nicht konsolidieren, ist weniger Arbeit bei einer zukünftigen Fusion oder Übernahme einer einzelnen Entität zu erledigen.

Complianceanforderungen für gesetzliche Vorschriften oder Länder/Regionen

Einige Organisationen verfügen über strenge gesetzliche oder länder-/regionsspezifische Compliancekontrollen und Frameworks (z. B. UK Official, Sarbanes Oxley (SOX) oder NIST). Organisationen können mehrere Microsoft Entra-Mandanten erstellen, um diese Frameworks zu erfüllen und einzuhalten.

Einige Organisationen mit Niederlassungen und Benutzern auf der ganzen Welt mit strengeren Datenresidenzvorschriften können auch mehrere Microsoft Entra-Mandanten erstellen. Diese besondere Anforderung wird jedoch in der Regel innerhalb eines einzelnen Microsoft Entra-Mandanten mit Features wie Microsoft 365 Multi-Geo erfüllt.

Ein weiteres Szenario ist, wenn Organisationen Azure Government (US Government) oder Azure China (betrieben von 21Vianet) benötigen. Für diese nationalen Azure-Cloudinstanzen sind eigene Microsoft Entra-Mandanten erforderlich. Die Microsoft Entra-Mandanten gelten ausschließlich für diese nationale Azure-Cloudinstanz und werden für die Identitäts- und Zugriffsverwaltungsdienste von Azure-Abonnements innerhalb dieser Azure-Cloudinstanz verwendet.

Tipp

Weitere Informationen zu den Identitätsszenarien der nationalen/regionalen Azure-Cloud finden Sie unter:

• Azure Government Identity
• Grenzüberschreitende Konnektivität und Interoperabilität von Azure China
• Microsoft Entra-Authentifizierung und nationale/regionale Clouds

Wie in den vorherigen Szenarien müssen Sie möglicherweise nicht mehrere Microsoft Entra-Mandanten als Standardansatz verwenden, wenn Ihre Organisation über ein Complianceframework für die Einhaltung von Vorschriften oder Ländern/Regionen verfügt. Die meisten Organisationen können die Frameworks innerhalb eines einzelnen Microsoft Entra-Mandanten mithilfe von Features wie Privileged Identity Management und Verwaltungseinheiten einhalten.

Anforderungen an die Isolation und Autonomie von Geschäftseinheiten oder Organisationen

Einige Organisationen verfügen möglicherweise über komplexe interne Strukturen in mehreren Geschäftseinheiten, oder sie erfordern ein hohes Maß an Isolation und Autonomie zwischen Teilen ihrer Organisation.

Wenn dieses Szenario auftritt und die Tools und Anleitungen unter Ressourcenisolation in einem einzelnen Mandanten nicht die erforderliche Isolationsstufe bereitstellen können, müssen Sie möglicherweise mehrere Microsoft Entra-Mandanten bereitstellen, verwalten und betreiben.

In solchen Szenarien ist es üblicher, dass es keine zentralisierten Funktionen gibt, die für die Bereitstellung, Verwaltung und den Betrieb dieser mehreren Mandanten verantwortlich sind. Stattdessen werden sie vollständig an die getrennte Geschäftseinheit oder einen Teil der Organisation übergeben, um sie zu führen und zu verwalten. Ein zentralisiertes Architektur-, Strategie- oder CCoE-Team kann weiterhin Anleitungen und Empfehlungen zu bewährten Methoden bereitstellen, die im separaten Microsoft Entra-Mandanten konfiguriert werden müssen.

Warnung

Organisationen mit operativen Rollen und Zuständigkeiten führen zu Herausforderungen zwischen Teams, die den Microsoft Entra-Mandanten der Organisation betreiben. Azure sollte die Erstellung und Vereinbarung einer klaren RACI zwischen den beiden Teams priorisieren. Diese Aktion stellt sicher, dass beide Teams arbeiten und ihre Dienste für die Organisation bereitstellen und dem Unternehmen zeitnah einen Mehrwert bieten können.

Einige Organisationen verfügen über Cloudinfrastruktur- und Entwicklungsteams, die Azure verwenden. Die Organisationen verlassen sich auf ein Identitätsteam, das die Kontrolle über den Microsoft Entra-Unternehmensmandanten für die Dienstprinzipalerstellung oder die Gruppenerstellung und -verwaltung hat. Wenn es keine vereinbarte RACI gibt, mangelt es häufig an Prozess und Verständnis zwischen den Teams, was zu Reibungen zwischen den Teams und der gesamten Organisation führt. Einige Organisationen glauben, dass mehrere Microsoft Entra-Mandanten die einzige Möglichkeit sind, diese Herausforderung zu meistern.

Mehrere Microsoft Entra-Mandanten verursachen jedoch Herausforderungen für Endbenutzer, erhöhen die Komplexität beim Sichern, Verwalten und Verwalten mehrerer Mandanten und erhöhen möglicherweise die Lizenzierungskosten. Lizenzen, z. B. Microsoft Entra ID P1 oder P2, umfassen nicht mehrere Microsoft Entra-Mandanten. Manchmal kann die Verwendung von Microsoft Entra B2B die Lizenzierungsduplizierung für einige Features und Dienste verringern. Wenn Sie beabsichtigen, Microsoft Entra B2B in Ihrer Bereitstellung zu verwenden, überprüfen Sie die Lizenzbedingungen für die einzelnen Features und Dienste sowie die Supportfähigkeit für Microsoft Entra B2B.

Organisationen in dieser Situation sollten die operativen Herausforderungen lösen, um sicherzustellen, dass Teams in einem einzelnen Microsoft Entra-Mandanten zusammenarbeiten können, anstatt mehrere Microsoft Entra-Mandanten als Problemumgehung zu erstellen.

Unabhängiger Softwareanbieter (Independent Software Vendor, ISV), der SaaS-Anwendungen aus Azure liefert

ISVs, die ihre SaaS-Produkte (Software-as-a-Service) für ihre Kunden bereitstellen, profitieren möglicherweise von mehreren Microsoft Entra-Mandanten für ihre Azure-Nutzung.

Wenn Sie ein ISV sind, haben Sie möglicherweise eine Trennung zwischen Ihrem Microsoft Entra-Unternehmensmandanten, einschließlich der Azure-Nutzung, für Ihre Business-as-usual-Aktivitäten wie E-Mail, Dateifreigabe und interne Anwendungen. Möglicherweise verfügen Sie auch über einen separaten Microsoft Entra-Mandanten, in dem Azure-Abonnements die SaaS-Anwendungen hosten und bereitstellen, die Sie Ihren Endbenutzern bereitstellen. Dieser Ansatz ist üblich und sinnvoll, da er Sie und Ihre Kunden vor Sicherheitsvorfällen schützt.

Weitere Informationen finden Sie unter Überlegungen unabhängiger Softwareanbieter (ISV) für Azure Zielzonen.

Testen auf Mandantenebene/Microsoft 365-Tests

Einige Aktivitäten und Features in Microsoft Cloud-Produkten, -Diensten und -Angeboten können nur in einem separaten Microsoft Entra-Mandanten getestet werden. Beispiele:

• Microsoft 365 – Exchange Online, SharePoint und Teams
• Microsoft Entra ID – Microsoft Entra Connect, Microsoft Entra ID Protection-Risikostufen und SaaS-Anwendungen
• Testen von Skripts, die die Microsoft-Graph-API verwenden und Änderungen an der Produktion vornehmen können

Wenn Sie Tests wie in den vorherigen Szenarien durchführen möchten, ist ein separater Microsoft Entra-Mandant die einzige Option.

Der separate Microsoft Entra-Mandant dient jedoch nicht zum Hosten von Azure-Abonnements, die Workloads enthalten, unabhängig von der Umgebung, z. B. Dev/Test. Selbst Entwicklungs-/Testumgebungen sollten stattdessen in Ihrem regulären „Produktions"-Microsoft Entra-Mandanten enthalten sein.

Tipp

Informationen über das Testen von Azure-Zielzonen und Azure-Workloads oder -Ressourcen innerhalb von Azure-Zielzonen-Umgebungen finden Sie unter:

• Wie gehen wir mit „dev/test/production“-Workload-Landezonen in der Azure-Landezonenarchitektur um?
• Testvorgehen für Azure-Zielzonen

Grassroots / Schatten-IT / Start-ups

Wenn ein Team schnell Innovationen schaffen möchte, kann es einen separaten Microsoft Entra-Mandanten erstellen, um den Wechsel so schnell wie möglich zu unterstützen. Sie können absichtlich oder unbeabsichtigt den Prozess und die Anleitungen des zentralen/Plattformteams vermeiden, um Zugriff auf eine Azure-Umgebung zu erhalten, um ihre Innovationen durchzuführen.

Dieses Szenario ist bei Start-ups üblich, bei denen sie einen eigenen Microsoft Entra-Mandanten zum Ausführen, Hosten und Betreiben des Unternehmens und der Dienste einrichten. Dies ist in der Regel zu erwarten, aber wenn Start-ups erworben werden, erstellt der zusätzliche Microsoft Entra-Mandant einen Entscheidungspunkt, an dem die IT-Teams der übernehmenden Organisation entscheiden, was in Zukunft zu tun ist.

Weitere Informationen zum Navigieren in diesem Szenario finden Sie in diesem Artikel in den Abschnitten Mergers and Acquisitions and Independent Software Vendor (ISV), die SaaS-Anwendungen aus Azure bereitstellen .

Wichtig

Es wird dringend empfohlen, dass Plattformteams über einen leicht zugänglichen und effizienten Prozess verfügen, um Teams Zugriff auf ein Azure Sandbox-Abonnement oder Abonnements zu gewähren, die im Unternehmens- oder primären Microsoft Entra-Mandanten für die Organisation gehostet werden. Dieser Prozess verhindert das Eintreten von Schatten-IT-Szenarien und verhindert zukünftige Herausforderungen für alle Beteiligten.

Weitere Informationen zu Sandboxes finden Sie unter Anleitungen zu Verwaltungsgruppen im Entwurfsbereich der Ressourcenorganisation.

Zusammenfassung

Wie in den Szenarien beschrieben, gibt es mehrere Gründe, warum Ihre Organisation möglicherweise mehrere Microsoft Entra-Mandanten benötigt. Wenn Sie jedoch mehrere Mandanten erstellen, um die Anforderungen in diesen Szenarien zu erfüllen, erhöht dies komplexitäts- und betriebsbezogene Aufgaben, um mehrere Mandanten zu verwalten, und erhöht möglicherweise die Kosten für Lizenzierungsanforderungen. Weitere Informationen finden Sie unter Überlegungen und Empfehlungen für Azure Zielzonen in mandantenfähigen Szenarien.

Nächste Schritte

Überlegungen und Empfehlungen für Szenarien mit mehrinstanzenfähigen Azure-Zielzonen