Scénarios pour plusieurs locataires Microsoft Entra

Il existe plusieurs raisons pour lesquelles une organisation peut avoir besoin de plusieurs locataires Microsoft Entra ou même vouloir étudier la possibilité de le faire. Les scénarios les plus courants sont les suivants :

• fusions et acquisitions
• exigences de conformité réglementaires ou du pays/région
• Exigences d'isolation et d'autonomie pour l'unité commerciale ou l'organisation
• fournisseur de logiciels indépendant (ISV) fournissant des applications SaaS à partir d’Azure
• Test au niveau du locataire/test Microsoft 365
• Initiatives locales / Informatique de l'ombre / start-ups

Fusions et acquisitions

À mesure que les organisations augmentent au fil du temps, elles peuvent acquérir d’autres entreprises ou organisations. Ces acquisitions sont susceptibles d’avoir déjà des locataires Microsoft Entra existants, déjà établis, qui hébergent et fournissent des services à l’entreprise ou à l’organisation, tels que Microsoft 365 (Exchange Online, SharePoint, OneDrive ou Teams), Dynamics 365 et Microsoft Azure.

En règle générale, dans une acquisition, les deux locataires Microsoft Entra sont consolidés en un seul locataire Microsoft Entra. Cette consolidation réduit la surcharge de gestion, améliore l’expérience de collaboration et présente une identité de marque unique à d’autres entreprises et organisations.

Important

Un nom de domaine personnalisé (par exemple, contoso.com) ne peut être associé qu’à un seul locataire Microsoft Entra à la fois. Par conséquent, la consolidation des locataires est préférée, car un nom de domaine personnalisé unique peut être utilisé par toutes les identités lorsqu’un scénario de fusion ou d’acquisition se produit.

En raison de la complexité de la consolidation de deux locataires Microsoft Entra en un, les locataires sont parfois laissés seuls et restent séparés pendant une période prolongée ou indéfinie.

Ce scénario peut également se produire lorsque les organisations ou les entreprises veulent rester distinctes, car d’autres organisations peuvent acquérir leur entreprise à l’avenir. Si une organisation maintient les locataires Microsoft Entra isolés et qu’ils ne les consolident pas, il y a moins de travail s’il existe une fusion ou une acquisition future d’une entité unique.

Exigences de conformité réglementaires ou pays/région

Certaines organisations ont des contrôles et des infrastructures de conformité stricts en matière de réglementation ou de pays/région (par exemple, UK Official, Sarbanes Oxley (SOX) ou NIST). Les organisations peuvent créer plusieurs locataires Microsoft Entra pour se conformer à ces cadres.

Certaines organisations qui disposent de bureaux et d’utilisateurs dans le monde entier avec des réglementations plus strictes en matière de résidence des données peuvent également créer plusieurs locataires Microsoft Entra. Toutefois, cette exigence particulière est généralement traitée au sein d’un seul client Microsoft Entra en utilisant des fonctionnalités comme Microsoft 365 Multi-Geo.

Un autre scénario est lorsque les organisations ont besoin de Azure Government (US Government) ou Azure China (géré par 21Vianet). Ces instances de cloud Azure nationales nécessitent leurs propres locataires Microsoft Entra. Les locataires Microsoft Entra sont uniquement destinés à cette instance de cloud Azure nationale et sont utilisés pour les services de gestion des identités et des accès des abonnements Azure au sein de cette instance cloud Azure.

Conseil

Pour plus d’informations sur les scénarios d’identité du cloud national/régional Azure, consultez :

• Identité Azure Government
• connectivité et interopérabilité transfrontalières d’Azure Chine
• Authentification Microsoft Entra et clouds nationaux/régionaux

Comme dans les scénarios précédents, si votre organisation dispose d’une infrastructure de conformité réglementaire ou pays/région à respecter, vous n’avez peut-être pas besoin de plusieurs locataires Microsoft Entra comme approche par défaut. La plupart des organisations peuvent se conformer aux cadres au sein d’un seul client Microsoft Entra à l’aide de fonctionnalités, telles que Privileged Identity Management et Unités Administratives.

Exigences d’isolation et d’autonomie de l’unité commerciale ou organisationnelle

Certaines organisations peuvent avoir des structures internes complexes entre plusieurs unités commerciales, ou elles peuvent nécessiter un niveau élevé d’isolation et d’autonomie entre les parties de leur organisation.

Lorsque ce scénario se produit et que les outils et conseils d’isolation des ressources dans un seul locataire ne peuvent pas fournir le niveau d’isolation exigé, vous pouvez être amené à déployer, gérer et exploiter plusieurs locataires Microsoft Entra.

Dans les scénarios comme celui-ci, il est plus courant qu’il n’existe aucune fonction centralisée responsable du déploiement, de la gestion et du fonctionnement de ces plusieurs locataires. Au lieu de cela, ils sont remis en totalité à l’unité commerciale séparée ou à une partie de l’organisation pour exécuter et gérer. Une architecture centralisée, une stratégie ou une équipe de style CCoE peuvent toujours fournir des conseils et des recommandations sur les meilleures pratiques qui doivent être configurées dans le client Microsoft Entra séparé.

Avertissement

Les organisations qui ont des rôles opérationnels et des responsabilités créent des défis entre les équipes qui exploitent le locataire Microsoft Entra de l’organisation. Azure doit donner la priorité à la création et à l’accord sur un RACI clair entre les deux équipes. Cette action garantit que les deux équipes peuvent travailler et fournir leurs services à l’organisation et fournir de la valeur à l’entreprise en temps opportun.

Certaines organisations disposent d’équipes de développement et d’infrastructure cloud qui utilisent Azure. Les organisations s’appuient sur une équipe d’identité qui contrôle le locataire Microsoft Entra de l’entreprise pour la création du principal de service ou la création et la gestion de groupe. S’il n’y a pas de RACI convenu, il y a souvent un manque de processus et de compréhension entre les équipes, ce qui conduit à des frictions entre les équipes et au sein de l’organisation. Certaines organisations estiment que l’utilisation de plusieurs locataires Microsoft Entra est le seul moyen de surmonter cet obstacle.

Toutefois, plusieurs locataires Microsoft Entra créent des défis pour les utilisateurs finaux, augmentent la complexité de la sécurisation, de la gestion et de la gouvernance de plusieurs locataires, et peuvent augmenter les coûts de licence. Les licences, telles que Microsoft Entra ID P1 ou P2, ne couvrent pas plusieurs locataires Microsoft Entra. Parfois, l’utilisation de Microsoft Entra B2B peut atténuer la duplication des licences pour certaines fonctionnalités et services. Si vous envisagez d’utiliser Microsoft Entra B2B dans votre déploiement, passez en revue les conditions de licence et la prise en charge de chaque fonctionnalité et service pour l’éligibilité de Microsoft Entra B2B.

Les organisations dans cette situation doivent résoudre les défis opérationnels pour s’assurer que les équipes peuvent travailler ensemble dans un seul locataire Microsoft Entra plutôt que de créer plusieurs locataires Microsoft Entra comme solution de contournement.

Éditeur de logiciels indépendant (ISV) fournissant des applications SaaS à partir d’Azure

Les éditeurs de logiciels indépendants qui fournissent leurs produits SaaS (software as a service) à leurs clients peuvent bénéficier de plusieurs locataires Microsoft Entra pour leur utilisation Azure.

Si vous êtes un éditeur de logiciels indépendant, vous pouvez avoir une séparation entre votre locataire Microsoft Entra de l’entreprise, y compris l’utilisation d’Azure pour vos activités habituelles, comme la messagerie, le partage de fichiers et les applications internes. Vous pouvez également disposer d’un locataire Microsoft Entra distinct où les abonnements Azure hébergent et fournissent les applications SaaS que vous fournissez à vos clients finaux. Cette approche est courante et sensible, car elle vous protège et vos clients contre les incidents de sécurité.

Pour plus d'informations, consultez les considérations relatives aux fournisseurs de logiciels indépendants (ISV) pour les zones d'atterrissage Azure .

Test au niveau du locataire / Test Microsoft 365

Certaines activités et fonctionnalités des produits, services et offres Microsoft Cloud ne peuvent être testées que dans un locataire Microsoft Entra distinct. Voici quelques exemples :

• Microsoft 365 – Exchange Online, SharePoint et Teams
• Microsoft Entra ID, Microsoft Entra Connect, niveaux de risque de protection Microsoft Entra ID et applications SaaS
• Test de scripts qui utilisent l’API Microsoft Graph et qui peuvent avoir des effets et apporter des modifications à la production

Lorsque vous souhaitez effectuer des tests comme les scénarios précédents, un locataire Microsoft Entra distinct est votre seule option.

Toutefois, le locataire séparé Microsoft Entra ne permet pas d’héberger des abonnements Azure qui contiennent des charges de travail, quel que soit l’environnement, par exemple dev/test. Même les environnements de développement/test doivent plutôt être contenus dans votre tenant Microsoft Entra de production.

Conseil

Pour plus d’informations sur la façon de gérer le test des zones d’atterrissage Azure et des charges de travail ou des ressources Azure dans des environnements de zones d’atterrissage Azure, consultez :

• Comment gérer les zones d’atterrissage de charge de travail « dev/test/production » dans l’architecture de zone d’atterrissage Azure ?
• Approche de test pour les zones d’atterrissage Azure

Grassroots/Informatique fantôme/start-ups

Si une équipe souhaite innover rapidement, elle peut créer un locataire séparé Microsoft Entra pour l’aider à agir le plus rapidement possible. Ils peuvent, intentionnellement ou involontairement, éviter le processus et l’aide de l’équipe centrale/plateforme pour obtenir l’accès à un environnement Azure pour effectuer leur innovation.

Ce scénario est courant dans les start-ups où elles configurent leur propre client Microsoft Entra pour héberger, exploiter et gérer l’entreprise et les services. C’est généralement à prévoir, mais lorsque des start-ups sont acquises, le locataire supplémentaire Microsoft Entra crée un point de décision auquel les équipes informatiques de l’organisation qui l’absorbent décident de ce qu’il faut faire à l’avenir.

Pour plus d’informations sur la navigation dans ce scénario, consultez les sections fusions et acquisitions et éditeur de logiciels indépendants (ISV) fournissant des applications SaaS depuis Azure de cet article.

Important

Nous recommandons vivement aux équipes de plateforme d’avoir un processus facilement accessible et efficace pour permettre aux équipes d’accéder à un abonnement à bac à sable Azure ou à des abonnements hébergés dans le locataire Microsoft Entra d’entreprise ou principal de l’organisation. Ce processus empêche les scénarios Shadow IT de se produire et empêche les défis à l’avenir pour toutes les parties concernées.

Pour plus d’informations sur les bacs à sable, consultez Conseils sur les groupes d’administration dans la zone de conception de l’organisation des ressources.

Résumé

Comme indiqué dans les scénarios, il existe plusieurs raisons pour lesquelles votre organisation peut nécessiter plusieurs locataires Microsoft Entra. Toutefois, lorsque vous créez plusieurs locataires pour répondre aux exigences de ces scénarios, il ajoute de la complexité et des tâches opérationnelles pour maintenir les locataires multiples et éventuellement ajouter des coûts pour les exigences de licence. Pour plus d’informations, consultez Considérations et recommandations relatives aux zones d’atterrissage Azure dans des scénarios multilocataires.

Étapes suivantes

Considérations et recommandations relatives aux scénarios de zone d’atterrissage Azure multilocataires