Consideraciones y recomendaciones para escenarios de zona de aterrizaje de Azure multiinquilino

En el artículo Zonas de aterrizaje de Azure y varios inquilinos de Microsoft Entra se describe cómo interactúan y funcionan los grupos de administración, Azure Policy y las suscripciones con los inquilinos de Microsoft Entra. En el artículo se describe la limitación de estos recursos cuando funcionan dentro de un único inquilino de Microsoft Entra. En estas condiciones, si existen varios inquilinos de Microsoft Entra, o bien son necesarios para una organización, las zonas de aterrizaje de Azure se deben implementar en cada uno de los inquilinos de Microsoft Entra por separado.

Zonas de aterrizaje de Azure con varios inquilinos de Microsoft Entra

En el diagrama anterior se muestra un ejemplo de Contoso Corporation, que tiene cuatro inquilinos de Microsoft Entra debido a fusiones y adquisiciones a medida que la corporación ha crecido con el tiempo.

Dominio de inquilino *.onmicrosoft.com de Microsoft Entra	Notas de uso
contoso.onmicrosoft.com	Inquilino principal corporativo de Microsoft Entra usado por Contoso Corporation. En este inquilino se usan los servicios de Azure y Microsoft 365.
fabrikam.onmicrosoft.com	Inquilino principal de Microsoft Entra que usa Fabrikam. En este inquilino se usan los servicios de Azure y Microsoft 365. Este inquilino se ha mantenido separado desde la adquisición por parte de Contoso Corporation.
tailwind.onmicrosoft.com	Inquilino principal de Microsoft Entra que usa Tailwind. En este inquilino se usan los servicios de Azure y Microsoft 365. Este inquilino se ha mantenido separado desde la adquisición por parte de Contoso Corporation.
contoso365test.onmicrosoft.com	Inquilino de Microsoft Entra usado por Contoso Corporation para probar solo los servicios de Microsoft Entra ID y Microsoft 365, y la configuración. Todos los entornos de Azure residen en el inquilino contoso.onmicrosoft.com de Microsoft Entra.

Contoso Corporation ha empezado con un inquilino de Microsoft Entra de contoso.onmicrosoft.com. Con el tiempo, han realizado varias adquisiciones de otras empresas y las han llevado a Contoso Corporation.

Las adquisiciones de Fabrikam (fabrikam.onmicrosoft.com) y Tailwind (tailwind.onmicrosoft.com) han aportado inquilinos existentes de Microsoft Entra en los que se usan los servicios de Microsoft 365 (Exchange Online, SharePoint, OneDrive) y Azure. Estas empresas, y los inquilinos de Microsoft Entra asociados, se han mantenido separados porque partes de Contoso Corporation y sus empresas podrían venderse en el futuro.

Contoso Corporation tiene un inquilino de Microsoft Entra independiente para probar los servicios y características de Microsoft Entra ID y Microsoft 365. Pero en este inquilino de Microsoft Entra independiente no se prueba ningún servicio de Azure. Se prueban en el inquilino contoso.onmicrosoft.com de Microsoft Entra.

Sugerencia

Para más información sobre cómo probar zonas de aterrizaje de Azure y cargas de trabajo y recursos de Azure en entornos de zonas de aterrizaje de Azure, vea lo siguiente:

• Procedimiento para controlar zonas de aterrizaje de carga de trabajo de desarrollo, pruebas y producción en la arquitectura de zonas de aterrizaje de Azure
• Enfoque para las pruebas de zonas de aterrizaje de Azure

Nota:

Las zonas de aterrizaje de Azure se implementan dentro de un único inquilino de Microsoft Entra. Si tiene varios inquilinos de Microsoft Entra en los que quiere implementar recursos de Azure y quiere controlarlos y supervisarlos mediante zonas de aterrizaje de Azure, debe implementar zonas de aterrizaje de Azure dentro de cada uno de esos inquilinos de manera individual.

Consideraciones y recomendaciones para zonas de aterrizaje de Azure en escenarios multiinquilino

En esta sección se explican consideraciones y recomendaciones clave sobre zonas de aterrizaje de Azure y escenarios multiinquilino de Microsoft Entra y su uso.

Consideraciones

• Comience con un enfoque de inquilino único para el diseño de inquilinos de Microsoft Entra.
  • El inquilino único suele ser el inquilino corporativo de Microsoft Entra de la organización donde existen las identidades del usuario y se ejecuta un servicio, como Microsoft 365.
  • Cree solo más inquilinos de Microsoft Entra cuando haya requisitos que no se puedan cumplir mediante el inquilino corporativo de Microsoft Entra.
• Considere la posibilidad de usar unidades administrativas de Microsoft Entra ID para administrar la segregación y el aislamiento de usuarios, grupos y dispositivos (por ejemplo, equipos diferentes) dentro de un único inquilino de Microsoft Entra. Use este recurso en lugar de crear varios inquilinos de Microsoft Entra.
• Considere la posibilidad de usar suscripciones de espacio aislado para el desarrollo e investigación iniciales de la carga de trabajo de la aplicación. Para más información, vea Procedimiento para controlar zonas de aterrizaje de carga de trabajo de desarrollo, pruebas y producción en la arquitectura de zonas de aterrizaje de Azure.
• La migración de suscripciones de Azure entre inquilinos de Microsoft Entra es compleja y necesita que se completen las actividades previas y posteriores a la migración para habilitar una migración. Para más información, consulte Transferencia de una suscripción de Azure a otro directorio de Microsoft Entra. Es más fácil recompilar la carga de trabajo de la aplicación en una nueva suscripción de Azure en el inquilino de destino. Proporciona más control sobre la migración.
• Tenga en cuenta las complejidades de la administración, gobernanza, configuración, supervisión y protección de varios inquilinos de Microsoft Entra. Un único inquilino de Microsoft Entra es más fácil de administrar, controlar y proteger.
• Tenga en cuenta el proceso de JML (elementos de combinación, traslado y salida), los flujos de trabajo y las herramientas. Asegúrese de que estos recursos pueden admitir y controlar varios inquilinos de Microsoft Entra.
• Tenga en cuenta el efecto en los usuarios finales cuando administran, controlan y protegen varias identidades por sí mismos.
• Al elegir varios inquilinos de Microsoft Entra, tenga en cuenta el efecto en la colaboración entre inquilinos, especialmente desde la perspectiva de un usuario final. La experiencia de colaboración de Microsoft 365 y la compatibilidad entre usuarios dentro de un único inquilino de Microsoft Entra es óptima.
• Antes de elegir un enfoque tenga en cuenta el efecto en las comprobaciones de cumplimiento normativo y auditoría en varios inquilinos de Microsoft Entra.
• Tenga en cuenta el aumento de los costos de licencia cuando se usan varios inquilinos de Microsoft Entra. Las licencias de productos como Microsoft Entra ID P1 o P2 o servicios de Microsoft 365 no abarcan los inquilinos de Microsoft Entra.
• Una única inscripción de Contrato Enterprise puede admitir y proporcionar suscripciones a varios inquilinos de Microsoft Entra mediante el establecimiento del nivel de autenticación de la inscripción en la cuenta profesional y educativa entre inquilinos. Para más información, vea Administración del portal EA de Azure.
• Un único Contrato de cliente de Microsoft puede admitir y proporcionar suscripciones a varios inquilinos de Microsoft Entra. Para más información, vea Administración de inquilinos en una cuenta de facturación de Contrato de cliente de Microsoft.
• Al optar por una arquitectura multiinquilino de Microsoft Entra, tenga en cuenta las limitaciones que se pueden producir para los equipos de aplicaciones y los desarrolladores. Tenga en cuenta las limitaciones de la integración de Microsoft Entra para productos y servicios de Azure, como Azure Virtual Desktop, Azure Files y Azure SQL. Para más información, vea la sección Integración de productos y servicios de Microsoft Entra en este artículo.
• Considere la posibilidad de usar Microsoft Entra B2B para simplificar y mejorar la experiencia del usuario y la administración cuando la organización tiene varios inquilinos de Microsoft Entra.
• Considere la posibilidad de usar la plataforma de identidad de Microsoft, con Microsoft Entra ID con funcionalidades B2B y B2C, para que los desarrolladores puedan crear aplicaciones en una sola suscripción de Azure y dentro de un solo inquilino. Este método admite usuarios de muchos orígenes de identidad. Para más información, vea Aplicaciones multiinquilino y Creación de soluciones multiinquilino en Azure.
• Considere la posibilidad de usar las características disponibles para organizaciones multiinquilino. Para más información, consulte ¿Qué es una organización multiinquilino en Microsoft Entra ID?
• Considere la posibilidad de mantener actualizada la zona de aterrizaje de Azure.

Integración de productos y servicios de Azure con Microsoft Entra

Muchos productos y servicios de Azure no admiten Microsoft Entra B2B como parte de su integración nativa de Microsoft Entra. Solo hay algunos servicios que admiten la autenticación B2B de Microsoft Entra como parte de sus integraciones de Microsoft Entra. Es más seguro que el servicio no admita Microsoft Entra B2B como parte de su integración de Microsoft Entra.

Los servicios que proporcionan una integración nativa con Microsoft Entra ID, como Azure Storage, Azure SQL, Azure Files y Azure Virtual Desktop, usan un enfoque de estilo "un solo clic" o "sin clic" para la integración. Necesitan escenarios de autenticación y autorización como parte de su servicio. Este enfoque se suele admitir en el "inquilino principal" y algunos servicios pueden habilitar la compatibilidad con escenarios B2B/B2C de Microsoft Entra. Para más información sobre la relación de la suscripción de Azure con Microsoft Entra ID, vea Asociación o adición de una suscripción de Azure al inquilino de Microsoft Entra.

Es importante tener en cuenta con atención el inquilino de Microsoft Entra con el que están asociadas las suscripciones de Azure. Esta relación determina qué productos y servicios, y sus características, que usan los equipos de aplicación o carga de trabajo necesitan admitir las identidades y desde qué inquilino proceden las identidades. Normalmente, las identidades se encuentran en el inquilino corporativo de Microsoft Entra.

Si se usan varios inquilinos de Microsoft Entra para hospedar todas las suscripciones de Azure, los equipos de cargas de trabajo de aplicaciones no pueden aprovechar algunas integraciones de Microsoft Entra y productos de Azure. Si los equipos de cargas de trabajo de aplicaciones tienen que desarrollar sus aplicaciones en torno a estas limitaciones impuestas, el proceso de autenticación y autorización se vuelve más complejo y menos seguro.

Para evitar este problema, use un único inquilino de Microsoft Entra como inicio para todas las suscripciones de Azure. Un único inquilino es el mejor enfoque para la autenticación y autorización para la aplicación o el servicio. Con esta arquitectura sencilla, el equipo de cargas de trabajo de la aplicación tiene menos que administrar y controlar, y se eliminan posibles restricciones.

Para más información, vea Aislamiento de recursos en un único inquilino.

Recomendaciones

• Use un único inquilino de Microsoft Entra, que suele ser el inquilino corporativo de Microsoft Entra. Cree solo más inquilinos de Microsoft Entra cuando haya requisitos que no se puedan cumplir mediante el inquilino corporativo de Microsoft Entra.
• Use suscripciones de espacio aislado para proporcionar a los equipos de aplicaciones entornos de desarrollo seguros, controlados y aislados dentro del mismo inquilino de Microsoft Entra único. Para más información, vea Procedimiento para controlar zonas de aterrizaje de carga de trabajo de desarrollo, pruebas y producción en la arquitectura de zonas de aterrizaje de Azure.
• Use aplicaciones multiinquilino de Microsoft Entra al crear integraciones a partir de herramientas operativas, como ServiceNow, y conectarlas a varios inquilinos de Microsoft Entra. Para más información, vea Procedimientos recomendados para todas las arquitecturas de aislamiento.
• Si es un ISV, vea Consideraciones del proveedor de software independiente (ISV) para las zonas de aterrizaje de Azure.
• Use Azure Lighthouse para simplificar las experiencias de administración entre inquilinos. Para más información, vea, Uso de Azure Lighthouse en escenarios multiinquilino de zonas de aterrizaje de Azure.
• En las inscripciones de Contrato Enterprise o Contratos de cliente de Microsoft hospedados en el inquilino de Microsoft Entra de destino, cree propietarios de cuentas, propietarios de secciones de factura y creadores de suscripciones. Asigne los propietarios y creadores a las suscripciones que crean para evitar tener que cambiar los directorios en las suscripciones de Azure una vez que se creen. Para más información, vea Incorporación de una cuenta de otro inquilino de Microsoft Entra y Administración de inquilinos en la cuenta de facturación de Contrato de cliente de Microsoft.
• Consulte la Guía de operaciones de seguridad de Microsoft Entra.
• Mantenga el número de cuentas de administrador global en un valor mínimo, menos de 5.
• Habilite Privileged Identity Management (PIM) para todas las cuentas de administrador con el fin de garantizar que no haya privilegios permanentes y proporcionar acceso JIT.
• Exija la aprobación en PIM para activar roles críticos, como el de administrador global. Considere la posibilidad de crear aprobadores de varios equipos para aprobar el uso del administrador global.
• Habilite la supervisión y las notificaciones a todas las partes interesadas necesarias sobre la activación del rol de administrador global.
• Asegúrese de que la opción "Administración de acceso para recursos de Azure" en Administradores globales está establecida en No cuando no sea necesaria.

Importante

Microsoft recomienda usar roles con el menor número de permisos. Esto ayuda a mejorar la seguridad de su organización. El administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

• Habilite y configure los siguientes servicios y características de Microsoft Entra a fin de simplificar la experiencia multiinquilino para la administración y los usuarios de la organización:
  • Colaboración B2B
  • Conexión directa B2B
  • Configuración del acceso entre inquilinos
  • Sincronización entre inquilinos
  • Organización multiinquilino (versión preliminar)
• Para las organizaciones con un inquilino de Microsoft Entra en varias nubes de Microsoft, como la nube comercial de Microsoft Azure, Microsoft Azure China 21Vianet, Microsoft Azure Government, establezca la configuración de la nube de Microsoft para la colaboración B2B (versión preliminar) a fin de simplificar las experiencias del usuario al colaborar entre inquilinos.
• Los equipos de aplicaciones y los desarrolladores deben revisar los siguientes recursos al crear aplicaciones y servicios multiinquilino:
  • Aplicaciones multiinquilino en Microsoft Entra ID
  • Creación de soluciones multiinquilino en Azure

Pasos siguientes

Automatización de zonas de aterrizaje de Azure entre varios inquilinos