Escenarios para varios inquilinos de Microsoft Entra

Hay algunas razones por las que una organización puede necesitar o puede querer investigar varios inquilinos de Microsoft Entra. Los escenarios más comunes son:

• fusiones y adquisiciones
• requisitos de cumplimiento normativo o de país o región
• Requisitos de aislamiento y autonomía de la unidad de negocio o de la organización
• proveedor de software independiente (ISV) que entrega aplicaciones SaaS desde Azure
• Pruebas de nivel de inquilino/Pruebas de Microsoft 365
• Esfuerzos comunitarios, TI en la sombra y empresas emergentes

Fusiones y adquisiciones

A medida que las organizaciones crecen con el tiempo, pueden adquirir otras empresas u organizaciones. Es probable que estas adquisiciones tengan inquilinos de Microsoft Entra ya establecidos que hospeden y proporcionen servicios, como Microsoft 365 (Exchange Online, SharePoint, OneDrive o Teams), Dynamics 365 y Microsoft Azure, a la empresa u organización.

Normalmente, en una adquisición, los dos inquilinos de Microsoft Entra se consolidan en un único inquilino de Microsoft Entra. Esta consolidación reduce la sobrecarga de administración, mejora la experiencia de colaboración y presenta una identidad de marca única a otras empresas y organizaciones.

Importante

Un nombre de dominio personalizado (por ejemplo, contoso.com) solo se puede asociar a un inquilino de Microsoft Entra a la vez. Por lo tanto, se prefiere consolidar los inquilinos porque todas las identidades pueden usar un único nombre de dominio personalizado cuando se produce un escenario de fusión o adquisición.

Debido a las complejidades de consolidar dos inquilinos de Microsoft Entra en uno, a veces los inquilinos se dejan solos y permanecen separados durante un período de tiempo prolongado o indefinido.

Este escenario también puede producirse cuando las organizaciones o empresas quieren permanecer independientes porque otras organizaciones pueden adquirir su empresa en el futuro. Si una organización mantiene aislados los inquilinos de Microsoft Entra y no los consolida, hay menos trabajo si hay una fusión o adquisición futura de una sola entidad.

Requisitos de cumplimiento normativos o de país o región

Algunas organizaciones tienen estrictos controles y marcos de cumplimiento normativos o de país o región (por ejemplo, Oficial del Reino Unido, Sarbanes Oxley (SOX) o NIST). Las organizaciones pueden crear varios inquilinos de Microsoft Entra para cumplir estos marcos.

Algunas organizaciones, que tienen oficinas y usuarios en todo el mundo y están sujetas a regulaciones más estrictas de residencia de datos, también pueden crear varias entidades de Microsoft Entra. Pero este requisito concreto se suele abordar desde un único inquilino de Microsoft Entra mediante características, como Microsoft 365 Multi-Geo.

Otro escenario es cuando las organizaciones requieren Azure Government (US Government) o Azure China (operado por 21Vianet). Estas instancias de nubes nacionales de Azure necesitan sus propios inquilinos de Microsoft Entra. Los inquilinos de Microsoft Entra solo sirven para esa instancia en la nube nacional de Azure y se usan para los servicios de administración de identidades y acceso de las suscripciones de Azure dentro de esa instancia en la nube de Azure.

Sugerencia

Para más información sobre los escenarios de identidad de la nube nacional o regional de Azure, consulte:

• Identidad de Azure Government
• Conectividad e interoperabilidad transfronteriza de Azure China
• Autenticación de Microsoft Entra y nubes nacionales o regionales

Al igual que en los escenarios anteriores, si su organización tiene un marco de cumplimiento normativo o de país o región para cumplir, es posible que no necesite varios inquilinos de Microsoft Entra como enfoque predeterminado. La mayoría de las organizaciones pueden cumplir con los marcos dentro de un solo entorno de Microsoft Entra utilizando características como Privileged Identity Management y Unidades Administrativas.

Requisitos de autonomía y aislamiento de organización o unidad de negocio

Algunas organizaciones pueden tener estructuras internas complejas en varias unidades de negocio, o pueden requerir un alto nivel de aislamiento y autonomía entre las partes de su organización.

En este escenario, y cuando las herramientas y las instrucciones de Aislamiento de recursos en un solo inquilino no puedan proporcionar el nivel de aislamiento necesario, es posible que tenga que implementar, administrar y operar varios inquilinos de Microsoft Entra.

En escenarios como este, es más común que no haya funciones centralizadas responsables de implementar, administrar y operar estos varios inquilinos. En su lugar, se delegan por completo a la unidad de negocio independiente o a parte de la organización para su ejecución y administración. Un equipo centralizado al estilo de arquitectura, estrategia o CCoE podría seguir proporcionando instrucciones y recomendaciones sobre las mejores prácticas que se deben configurar en la entidad independiente de Microsoft Entra.

Advertencia

Las organizaciones que tienen roles y responsabilidades operativas crean desafíos entre los equipos que gestionan el entorno de Microsoft Entra de la organización. Azure debe priorizar la creación y aceptación de una RACI clara entre los dos equipos. Esta acción garantiza que ambos equipos puedan trabajar y entregar sus servicios a la organización y proporcionar valor a la empresa de forma oportuna.

Algunas organizaciones tienen equipos de desarrollo e infraestructura en la nube que usan Azure. Las organizaciones se basan en un equipo de identidades que tiene control sobre el inquilino corporativo de Microsoft Entra para la creación de entidades de servicio y la creación y administración de grupos. Si no hay una RACI acordada, a menudo hay una falta de proceso y comprensión entre los equipos, lo que conduce a la fricción entre los equipos y en toda la organización. Algunas organizaciones creen que varios inquilinos de Microsoft Entra son la única manera de superar este desafío.

Pero varios inquilinos de Microsoft Entra crean desafíos para los usuarios finales, aumentan la complejidad de proteger, administrar y gobernar varios inquilinos, y pueden aumentar los costos de licencia. Las licencias, como Microsoft Entra ID P1 o P2, no abarcan varios inquilinos de Microsoft Entra. En ocasiones, el uso de B2B de Microsoft Entra puede aliviar la duplicación de licencias para algunas características y servicios. Si tiene previsto usar Microsoft Entra B2B en la implementación, revise los términos de licencia de cada característica y servicio y la compatibilidad con la idoneidad de Microsoft Entra B2B.

Las organizaciones en esta situación deben resolver los desafíos operativos para garantizar que los equipos puedan trabajar juntos en un único inquilino de Microsoft Entra en lugar de crear varios inquilinos de Microsoft Entra como solución alternativa.

Proveedor de software independiente (ISV) que entrega aplicaciones SaaS desde Azure

Los ISV que entregan sus productos SaaS (software como servicio) a sus clientes pueden beneficiarse de tener varios inquilinos de Microsoft Entra para su uso de Azure.

Si es un ISV, es posible que tenga separación entre el inquilino corporativo de Microsoft Entra, incluido el uso de Azure, para las actividades empresariales habituales, como el correo electrónico, el uso compartido de archivos y las aplicaciones internas. También puede tener una entidad de Microsoft Entra independiente donde las suscripciones de Azure hospeden y entreguen las aplicaciones SaaS que proporcione a los clientes finales. Este enfoque es común y razonable porque protege a usted y a sus clientes de incidentes de seguridad.

Para más información, vea Consideraciones del proveedor de software independiente (ISV) para las zonas de aterrizaje de Azure.

Pruebas de nivel de inquilino/ pruebas de Microsoft 365

Algunas actividades y características de los productos, servicios y ofertas de Microsoft Cloud solo se pueden probar en un inquilino independiente de Microsoft Entra. Algunos ejemplos son:

• Microsoft 365: Exchange Online, SharePoint y Teams
• Microsoft Entra ID – Microsoft Entra Connect, Niveles de riesgo de protección de identificación de Microsoft Entra y aplicaciones SaaS
• Probar scripts que usan Microsoft Graph API y pueden afectar y realizar cambios en producción

Cuando quiera realizar pruebas como los escenarios anteriores, un inquilino independiente de Microsoft Entra es la única opción.

Pero el tenant separado de Microsoft Entra no es ni para hospedar suscripciones de Azure que contengan cargas de trabajo, independientemente del entorno, por ejemplo, dev/test. Incluso los entornos de desarrollo y pruebas deben estar incluidos en el inquilino normal de Microsoft Entra de "producción".

Sugerencia

Para obtener información sobre cómo controlar las pruebas de zonas de aterrizaje de Azure y las cargas de trabajo o recursos de Azure en entornos de zonas de aterrizaje de Azure, consulte:

• ¿Cómo se gestionan las zonas de aterrizaje de cargas de trabajo "dev/test/production" en la arquitectura de Azure?
• Enfoque para las pruebas de zonas de aterrizaje de Azure

Movimientos de base / Tecnología de la Información en la sombra / Empresas emergentes

Si un equipo quiere innovar rápidamente, podría crear un inquilino independiente de Microsoft Entra para ayudarles a moverse lo más rápido posible. Podrían, intencionada o involuntariamente, evitar el proceso del equipo central o de la plataforma e instrucciones para obtener acceso a un entorno de Azure para realizar su innovación.

Este escenario es común en las start-ups donde configuran su propio tenant de Microsoft Entra para ejecutar, hospedar y operar la empresa y los servicios. Normalmente, se espera, pero cuando se adquieren start-ups, el tenant adicional de Microsoft Entra crea un punto de decisión en el que los equipos de TI de la organización adquirente deciden qué hacer a partir de entonces.

Para más información sobre cómo navegar por este escenario, consulte las secciones Fusiones y adquisiciones y proveedor de software independiente (ISV) que entrega aplicaciones SaaS de Azure en este artículo.

Importante

Se recomienda encarecidamente que los equipos de plataforma tengan un proceso fácil y eficaz para proporcionar a los equipos acceso a una suscripción o suscripciones de espacio aislado de Azure hospedadas en el inquilino corporativo o principal de Microsoft Entra para la organización. Este proceso impide que se produzcan escenarios de Shadow IT y evite desafíos en el futuro para todas las partes implicadas.

Para más información sobre los espacios aislados, vea Guía de grupos de administración en el área de diseño de la organización de recursos.

Resumen

Como se detalla en los escenarios, hay varias razones por las que la organización puede requerir varios inquilinos de Microsoft Entra. Sin embargo, al crear varios inquilinos para cumplir los requisitos de estos escenarios, agrega complejidad y tareas operativas para mantener los varios inquilinos y puede agregar costos para los requisitos de licencia. Para más información, consulte Consideraciones y recomendaciones para zonas de aterrizaje de Azure en escenarios multiinquilino.

Pasos siguientes

Consideraciones y recomendaciones para escenarios de zona de aterrizaje de Azure multiusuario