Udostępnij za pośrednictwem

Zagadnienia i zalecenia dotyczące scenariuszy wielodzierżawczych obszarów docelowych platformy Azure.

  • Artykuł

W artykule strefy docelowe platformy Azure i wielu dzierżawach firmy Microsoft Entra opisano sposób interakcji grup zarządzania i usługi Azure Policy oraz subskrypcji i działania z dzierżawami firmy Microsoft Entra. W tym artykule opisano ograniczenie tych zasobów, gdy działają w ramach jednej dzierżawy firmy Microsoft Entra. W tych warunkach, jeśli istnieje wiele dzierżaw firmy Microsoft Entra lub są wymagane dla organizacji, strefy docelowe platformy Azure muszą być wdrażane w każdej dzierżawie firmy Microsoft Entra oddzielnie.

Strefy docelowe platformy Azure z wieloma dzierżawami firmy Microsoft

Diagram of multiple Microsoft Entra tenants with Azure landing zones deployed.Diagram przedstawiający wiele dzierżaw firmy Microsoft Entra z wdrożonymi strefami docelowymi platformy Azure.

Na poprzednim diagramie przedstawiono przykład firmy Contoso Corporation, która ma cztery dzierżawy Firmy Microsoft Entra z powodu fuzji i przejęć, ponieważ korporacja wzrosła wraz z upływem czasu.

Domena dzierżawy *.onmicrosoft.com firmy Microsoft Entra Uwagi dotyczące użycia
contoso.onmicrosoft.com Podstawowa firmowa dzierżawa firmy Microsoft Entra używana przez firmę Contoso Corporation. Platformy Azure i usługi Microsoft 365 są używane w tej dzierżawie.
fabrikam.onmicrosoft.com Podstawowa dzierżawa firmy Microsoft Entra używana przez firmę Fabrikam. Platformy Azure i usługi Microsoft 365 są używane w tej dzierżawie. Ta dzierżawa pozostała oddzielona od przejęcia przez Firmę Contoso Corporation.
tailwind.onmicrosoft.com Podstawowa dzierżawa firmy Microsoft Entra używana przez firmę Tailwind. Platformy Azure i usługi Microsoft 365 są używane w tej dzierżawie. Ta dzierżawa pozostała oddzielona od przejęcia przez Firmę Contoso Corporation.
contoso365test.onmicrosoft.com Dzierżawa firmy Microsoft Entra używana przez firmę Contoso Corporation do testowania tylko usług Microsoft Entra ID i Microsoft 365 oraz konfiguracji. Wszystkie środowiska platformy Azure działają w ramach dzierżawy contoso.onmicrosoft.com firmy Microsoft Entra.

Firma Contoso Corporation rozpoczęła pracę z jedną dzierżawą firmy Microsoft Entra firmy contoso.onmicrosoft.com. W czasie dokonali wielu przejęć innych firm i przywieźli te firmy do Firmy Contoso Corporation.

Przejęcia firmy Fabrikam (fabrikam.onmicrosoft.com) i Tailwind (tailwind.onmicrosoft.com) przyniosły im istniejące dzierżawy firmy Microsoft Entra, w których są używane usługi Microsoft 365 (Exchange Online, SharePoint, OneDrive) i Azure. Te firmy i skojarzone dzierżawy Firmy Microsoft Entra są oddzielone, ponieważ części firmy Contoso Corporation i jej firmy mogą być sprzedawane w przyszłości.

Firma Contoso Corporation ma oddzielną dzierżawę firmy Microsoft Entra w celu testowania identyfikatora Entra firmy Microsoft i usług i funkcji platformy Microsoft 365. Jednak żadne usługi platformy Azure nie są testowane w tej oddzielnej dzierżawie firmy Microsoft Entra. Są one testowane w dzierżawie contoso.onmicrosoft.com firmy Microsoft Entra.

Napiwek

Aby uzyskać więcej informacji na temat testowania stref docelowych platformy Azure i obciążeń i zasobów platformy Azure w środowiskach stref docelowych platformy Azure, zobacz:

Uwaga

Strefy docelowe platformy Azure są wdrażane w ramach jednej dzierżawy firmy Microsoft Entra. Jeśli masz wiele dzierżaw firmy Microsoft Entra, w ramach których chcesz wdrożyć zasoby platformy Azure i chcesz kontrolować, zarządzać nimi i monitorować je przy użyciu stref docelowych platformy Azure, musisz wdrożyć strefy docelowe platformy Azure osobno w każdej z tych dzierżaw.

Rozważania i zalecenia dotyczące stref docelowych platformy Azure w środowisku wielodostępnym

W tej sekcji opisano kluczowe zagadnienia i zalecenia dotyczące stref początkowych platformy Azure oraz scenariuszy i użytkowania Microsoft Entra w środowiskach wielodostępnych.

Kwestie wymagające rozważenia

  • Zacznij od podejścia z jedną dzierżawą do projektu dzierżawy firmy Microsoft Entra.
    • Pojedyncza dzierżawa jest zazwyczaj firmową dzierżawą firmy Microsoft Entra w organizacji, w której istnieją tożsamości użytkownika, a usługa, na przykład Platforma Microsoft 365, jest uruchomiona.
    • Utwórz więcej dzierżaw firmy Microsoft Entra tylko wtedy, gdy istnieją wymagania, których nie można spełnić przy użyciu firmowej dzierżawy firmy Microsoft Entra.
  • Rozważ użycie jednostek administracyjnych Microsoft Entra ID do zarządzania segregacją i izolacją użytkowników, grup i urządzeń (na przykład różnych zespołów) w ramach jednej dzierżawy firmy Microsoft Entra. Użyj tego zasobu zamiast tworzyć wiele dzierżaw firmy Microsoft Entra.
  • Rozważ użycie subskrypcji piaskownicy na potrzeby początkowego tworzenia i badania obciążenia aplikacji. Aby uzyskać więcej informacji, zobacz Jak obsługiwać strefy docelowe obciążeń "dev/test/production" w architekturze strefy docelowej platformy Azure.
  • Migrowanie subskrypcji platformy Azure między dzierżawami firmy Microsoft Entra jest złożone i wymaga ukończenia działań przed migracją i po ich zakończeniu w celu włączenia migracji. Aby uzyskać więcej informacji, zobacz Przenieś subskrypcję Azure do innego katalogu Microsoft Entra. Łatwiej jest ponownie skompilować obciążenie aplikacji w nowej subskrypcji platformy Azure w dzierżawie docelowej. Zapewnia większą kontrolę nad migracją.
  • Należy wziąć pod uwagę złożoność zarządzania, zarządzania, konfigurowania, monitorowania i zabezpieczania wielu dzierżaw firmy Microsoft Entra. Pojedyncza dzierżawa firmy Microsoft Entra jest łatwiejsza do zarządzania, zarządzania i zabezpieczania.
  • Weź pod uwagę proces JML (sprzężenia, osoby przenoszące i opuszczające) oraz przepływy pracy i narzędzia. Upewnij się, że te zasoby mogą obsługiwać wiele dzierżaw firmy Microsoft Entra i obsługiwać je.
  • Należy wziąć pod uwagę wpływ na użytkowników końcowych podczas zarządzania, zarządzania i zabezpieczania wielu tożsamości dla siebie.
  • Podczas wybierania wielu dzierżaw firmy Microsoft Entra należy wziąć pod uwagę wpływ na współpracę między dzierżawami, zwłaszcza z perspektywy użytkownika końcowego. Środowisko współpracy platformy Microsoft 365 i obsługa techniczna między użytkownikami w ramach jednej dzierżawy firmy Microsoft Entra jest optymalna.
  • Przed wybraniem podejścia należy wziąć pod uwagę wpływ kontroli inspekcji i zgodności z przepisami w wielu dzierżawach firmy Microsoft Entra.
  • Rozważ zwiększenie kosztów licencjonowania w przypadku użycia wielu dzierżaw firmy Microsoft Entra. Licencje na produkty, takie jak Microsoft Entra ID P1 lub P2 lub Microsoft 365, nie obejmują dzierżaw firmy Microsoft Entra.
  • Pojedyncza rejestracja Umowa Enterprise może obsługiwać wiele dzierżaw firmy Microsoft i udostępniać subskrypcje wielu dzierżawom firmy Microsoft, ustawiając poziom uwierzytelniania na poziomie rejestracji na koncie służbowym między dzierżawami. Aby uzyskać więcej informacji, zobacz Administrowanie witryną Azure EA Portal.
  • Pojedyncza Umowa z Klientem Microsoft może obsługiwać i udostępniać subskrypcje wielu dzierżawom firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Zarządzanie dzierżawami na koncie rozliczeniowym Umowa z Klientem Microsoft.
  • W przypadku wybrania wielodostępnej architektury Microsoft Entra należy wziąć pod uwagę ograniczenia, które mogą dotyczyć zespołów aplikacji i deweloperów. Należy pamiętać o ograniczeniach integracji firmy Microsoft dla produktów i usług platformy Azure, takich jak Azure Virtual Desktop, Azure Files i Azure SQL. Aby uzyskać więcej informacji, zobacz sekcję integracji produktów i usług platformy Azure firmy Microsoft w tym artykule.
  • Rozważ użycie usługi Microsoft Entra B2B , aby uprościć i ulepszyć środowisko użytkownika oraz administrować, gdy organizacja ma wiele dzierżaw firmy Microsoft Entra.
  • Rozważ użycie Platforma tożsamości Microsoft z identyfikatorem Entra firmy Microsoft z funkcjami B2B i B2C, aby deweloperzy mogli tworzyć aplikacje w jednej subskrypcji platformy Azure i w ramach jednej dzierżawy. Ta metoda obsługuje użytkowników z wielu źródeł tożsamości. Aby uzyskać więcej informacji, zobacz aplikacji wielodostępnych i Projektowanie wielodostępnych rozwiązań na platformie Azure.
  • Rozważ użycie funkcji dostępnych dla organizacji wielodostępnych. Aby uzyskać więcej informacji, zobacz Co to jest organizacja wielodostępna w usłudze Microsoft Entra ID.
  • Rozważ aktualizowanie strefy docelowej platformy Azure.

Integracja produktów i usług platformy Azure firmy Microsoft Entra

Wiele produktów i usług platformy Azure nie obsługuje usługi Microsoft Entra B2B w ramach natywnej integracji firmy Microsoft Entra. Istnieje tylko kilka usług, które obsługują uwierzytelnianie Microsoft Entra B2B w ramach integracji firmy Microsoft Entra. Jest bezpieczniej, aby usługa domyślnie nie obsługiwała usługi Microsoft Entra B2B w ramach integracji z firmą Microsoft Entra.

Usługi, które zapewniają natywną integrację z identyfikatorem Entra firmy Microsoft, takimi jak Azure Storage, Azure SQL, Azure Files i Azure Virtual Desktop, używają podejścia w stylu "jednym kliknięciem" lub "no-click", aby zintegrować. Wymagają scenariuszy uwierzytelniania i autoryzacji w ramach swojej usługi. Takie podejście jest zwykle obsługiwane w przypadku "dzierżawy domowej", a niektóre usługi mogą włączyć obsługę scenariuszy firmy Microsoft Entra B2B/B2C. Aby uzyskać więcej informacji na temat relacji subskrypcji platformy Azure z identyfikatorem Entra firmy Microsoft, zobacz Kojarzenie lub dodawanie subskrypcji platformy Azure do dzierżawy usługi Microsoft Entra.

Ważne jest, aby dokładnie rozważyć, z którą dzierżawą firmy Microsoft są skojarzone subskrypcje platformy Azure. Ta relacja określa, które produkty i usługi oraz ich funkcje, aplikacje lub zespoły ds. obciążeń używają, które muszą obsługiwać tożsamości i z której dzierżawy pochodzą tożsamości. Zazwyczaj tożsamości znajdują się w firmowej dzierżawie firmy Microsoft Entra.

Jeśli wiele dzierżaw firmy Microsoft Entra jest używanych do hostowania wszystkich subskrypcji platformy Azure, zespoły obciążeń aplikacji nie mogą korzystać z niektórych produktów i usług platformy Azure integracji firmy Microsoft Entra. Jeśli zespoły ds. obciążeń aplikacji muszą opracowywać aplikacje wokół tych narzuconych ograniczeń, proces uwierzytelniania i autoryzacji staje się bardziej złożony i mniej bezpieczny.

Unikaj tego problemu, używając jednej dzierżawy firmy Microsoft Entra jako strony głównej dla wszystkich subskrypcji platformy Azure. Jedna dzierżawa to najlepsze podejście do uwierzytelniania i autoryzacji aplikacji lub usługi. Ta prosta architektura pozwala zespołowi obciążeń aplikacji mniej zarządzać, zarządzać i kontrolować oraz usuwa potencjalne ograniczenia.

Aby uzyskać więcej informacji, zobacz Izolacja zasobów w jednej dzierżawie.

Zalecenia

  • Użyj jednej dzierżawy firmy Microsoft Entra, która jest zwykle firmową dzierżawą firmy Microsoft Entra. Utwórz więcej dzierżaw firmy Microsoft Entra tylko wtedy, gdy istnieją wymagania, których nie można spełnić przy użyciu firmowej dzierżawy firmy Microsoft Entra.
  • Subskrypcje piaskownicy umożliwiają zespołom aplikacji bezpieczne, kontrolowane i izolowane środowiska deweloperskie w ramach tej samej pojedynczej dzierżawy firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Jak obsługiwać strefy docelowe obciążeń "dev/test/production" w architekturze strefy docelowej platformy Azure.
  • Użyj wielodostępnych aplikacji Microsoft Entra, gdy tworzysz integracje z narzędziami do zarządzania operacyjnego, takimi jak ServiceNow, i łącz je z wieloma dzierżawami Microsoft Entra. Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące wszystkich architektur izolacji.
  • Jeśli jesteś niezależnym dostawcą oprogramowania, zobacz Zagadnienia dotyczące niezależnego dostawcy oprogramowania (ISV) dotyczące stref docelowych platformy Azure.
  • Użyj usługi Azure Lighthouse, aby uprościć środowiska zarządzania między dzierżawami. Aby uzyskać więcej informacji, zobacz użycie usługi Azure Lighthouse w scenariuszach wielodostępowych stref docelowych platformy Azure.
  • W ramach rejestracji Umowa Enterprise lub Umowa z Klientem Microsoft, które znajdują się w docelowej dzierżawie firmy Microsoft Entra, utwórz właścicieli kont, właścicieli sekcji faktur i twórców subskrypcji. Przypisz właścicieli i twórców do tworzonych subskrypcji, aby uniknąć konieczności zmiany katalogów w subskrypcjach platformy Azure po utworzeniu. Aby uzyskać więcej informacji, zobacz Dodawanie konta z innej dzierżawy usługi Microsoft Entra i Zarządzanie dzierżawami na koncie rozliczeniowym Umowa z Klientem Microsoft.
  • Zobacz Przewodnik po operacjach zabezpieczeń firmy Microsoft Entra.
  • Zachowaj minimalną liczbę kont administratorów globalnych, która jest mniejsza niż 5.
  • Włącz usługę Privileged Identity Management (PIM) dla wszystkich kont administratorów, aby zapewnić brak stałych uprawnień i zapewnić dostęp JIT.
  • Wymagaj zatwierdzenia w usłudze PIM, aby aktywować role krytyczne, takie jak rola administratora globalnego. Rozważ utworzenie osób zatwierdzających z wielu zespołów w celu zatwierdzenia użycia administratora globalnego.
  • Włącz monitorowanie i powiadomienia dla wszystkich wymaganych uczestników projektu dotyczących aktywacji roli administratora globalnego.
  • Upewnij się, że ustawienie "Zarządzanie dostępem dla zasobów platformy Azure" dla administratorów globalnych ma wartość Nie , gdzie nie jest to wymagane.

Ważne

Firma Microsoft zaleca używanie ról z najmniejszymi uprawnieniami. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to wysoce uprzywilejowana rola, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Następne kroki

Automatyzowanie stref docelowych platformy Azure w wielu dzierżawach