Scenariusze dla wielu tenantów Microsoft Entra

Istnieje kilka powodów, dla których organizacja może potrzebować lub może chcieć zbadać wiele dzierżaw firmy Microsoft Entra. Najbardziej typowe scenariusze to:

• Fuzje i przejęcia
• Wymagania dotyczące zgodności z przepisami lub wymogi zgodności z kraju/regionu
• Wymagania dotyczące izolacji organizacyjnej lub autonomii jednostki biznesowej
• Niezależny dostawca oprogramowania (ISV) dostarczający aplikacje SaaS z usługi Azure
• Testowanie na poziomie najemcy / Testowanie Microsoft 365
• Inicjatywy oddolne / Shadow IT / start-upy

Fuzje i przejęcia

Wraz z upływem czasu organizacje mogą pozyskiwać inne firmy lub organizacje. Te przejęcia prawdopodobnie mają już istniejące dzierżawy firmy Microsoft Entra, które hostują i zapewniają usługi, takie jak Microsoft 365 (Exchange Online, SharePoint, OneDrive lub Teams), Dynamics 365 i Microsoft Azure, dla firmy lub organizacji.

Zazwyczaj, w ramach przejęcia, dwie dzierżawy Microsoft Entra są konsolidowane w jedną dzierżawę Microsoft Entra. Ta konsolidacja zmniejsza nakłady pracy związane z zarządzaniem, poprawia środowisko współpracy i przedstawia jedną tożsamość marki innym firmom i organizacjom.

Ważny

Niestandardowa nazwa domeny (na przykład contoso.com) może być przypisana tylko do jednego dzierżawcy w Microsoft Entra na raz. Dlatego konsolidacja dzierżaw jest preferowana, ponieważ pojedyncza niestandardowa nazwa domeny może być używana przez wszystkich użytkowników w przypadku fuzji lub przejęcia.

Ze względu na złożoność konsolidacji dwóch dzierżaw Microsoft Entra w jedną, czasami dzierżawy są pozostawione same sobie i pozostają oddzielne przez dłuższy lub nieokreślony czas.

Ten scenariusz może również wystąpić, gdy organizacje lub firmy chcą pozostać oddzielone, ponieważ inne organizacje mogą nabyć swoją firmę w przyszłości. Jeśli organizacja utrzymuje izolowane dzierżawy Microsoft Entra i nie konsoliduje ich, jest mniej pracy w przypadku przyszłego połączenia lub przejęcia pojedynczej jednostki.

Wymagania dotyczące zgodności z przepisami lub zgodności z wymogami kraju/regionu

Niektóre organizacje mają surowe przepisy regulacyjne lub kontrole zgodności z ramami w kraju/regionie (na przykład Urzędowe Wytyczne Zjednoczonego Królestwa, Sarbanes Oxley (SOX) lub NIST). Organizacje mogą utworzyć wiele dzierżaw Microsoft Entra, aby spełnić te wytyczne i zachować zgodność z nimi.

Niektóre organizacje, które mają na całym świecie biura i użytkowników podlegających bardziej rygorystycznym przepisom dotyczącym rezydencji danych, mogą również tworzyć wielu dzierżawców Microsoft Entra. Jednak to szczególne wymaganie jest zwykle rozwiązywane w ramach jednej dzierżawy Microsoft Entra przy użyciu funkcji, takich jak Microsoft 365 Multi-Geo.

Kolejnym scenariuszem jest to, że organizacje wymagają Azure Government (US Government) lub Azure China (obsługiwane przez firmę 21Vianet). Te instancje krajowe chmury Azure potrzebują własnych dzierżaw Microsoft Entra. Dzierżawy firmy Microsoft Entra są przeznaczone wyłącznie dla tego krajowego wystąpienia chmury platformy Azure i są używane dla usług zarządzania tożsamościami i dostępem subskrypcji platformy Azure w ramach tego wystąpienia chmury platformy Azure.

Napiwek

Aby uzyskać więcej informacji na temat scenariuszy tożsamości chmury krajowej/regionalnej platformy Azure, zobacz:

• Azure Government Identity
• Łączność transgraniczna platformy Azure w Chinach i interoperacyjność
• uwierzytelnianie Microsoft Entra & chmurach krajowych/regionalnych

Podobnie jak w poprzednich scenariuszach, jeśli Twoja organizacja musi przestrzegać regulacji lub ram zgodności z przepisami krajowymi lub regionalnymi, być może nie będzie konieczności posiadania wielu dzierżaw Microsoft Entra jako domyślnego rozwiązania. Większość organizacji może spełniać wymogi struktur w ramach jednego dzierżawcy Microsoft Entra przy użyciu funkcji, takich jak Privileged Identity Management i jednostki administracyjne.

Wymagania dotyczące izolacji i autonomii jednostki biznesowej lub organizacji

Niektóre organizacje mogą mieć złożone struktury wewnętrzne w wielu jednostkach biznesowych lub wymagają wysokiego poziomu izolacji i autonomii między częściami organizacji.

W takim scenariuszu, gdy narzędzia i wskazówki dotyczące izolacji zasobów w pojedynczej dzierżawie nie mogą zapewnić wymaganego poziomu izolacji, może być konieczne wdrożenie, zarządzanie oraz operowanie wieloma dzierżawami Microsoft Entra.

W takich scenariuszach częściej zdarza się, że nie ma scentralizowanych funkcji odpowiedzialnych za wdrażanie, zarządzanie i obsługę tych wielu najemców. Zamiast tego są one przekazywane w całości do oddzielnej jednostki biznesowej lub części organizacji, aby je prowadzić i nimi zarządzać. Zespół o scentralizowanej architekturze, strategii lub stylu CCoE może nadal udostępniać wskazówki i zalecenia dotyczące najlepszych praktyk, które należy skonfigurować w oddzielnej dzierżawie Microsoft Entra.

Ostrzeżenie

Organizacje, które mają operacyjne role i obowiązki, stwarzają wyzwania dla zespołów obsługujących dzierżawę Microsoft Entra w organizacji. Platforma Azure powinna określić priorytety tworzenia i uzgadniania jasnego RACI między dwoma zespołami. Dzięki temu oba zespoły mogą pracować i dostarczać swoje usługi w organizacji oraz zapewniać wartość z powrotem firmie w odpowiednim czasie.

Niektóre organizacje mają zespoły ds. infrastruktury chmury i programowania korzystające z platformy Azure. Organizacje korzystają z zespołu tożsamości, który ma kontrolę nad firmową dzierżawą firmy Microsoft Entra na potrzeby tworzenia jednostki usługi lub tworzenia grup i zarządzania nimi. Jeśli nie ma uzgodnionego RACI, często brakuje procesu i zrozumienia między zespołami, co prowadzi do tarć między zespołami i w całej organizacji. Niektóre organizacje uważają, że wiele dzierżaw firmy Microsoft Entra jest jedynym sposobem na pokonanie tego wyzwania.

Jednak wiele dzierżaw firmy Microsoft Entra stwarza wyzwania dla użytkowników końcowych, zwiększa złożoność zabezpieczania, zarządzania i zarządzania wieloma dzierżawami oraz potencjalnie zwiększa koszty licencjonowania. Licencje, takie jak Microsoft Entra ID P1 lub P2, nie obejmują wielu tenantów Microsoft Entra. Czasami użycie usługi Microsoft Entra B2B może złagodzić duplikowanie licencjonowania dla niektórych funkcji i usług. Jeśli planujesz używać usługi Microsoft Entra B2B we wdrożeniu, przeglądnij warunki licencjonowania poszczególnych funkcji i usług oraz wsparcie techniczne dla zgodności z wymaganiami Microsoft Entra B2B.

Organizacje w tej sytuacji powinny rozwiązać wyzwania operacyjne, aby zapewnić, że zespoły mogą współpracować w jednej dzierżawie Microsoft Entra, zamiast tworzyć wiele dzierżaw jako obejście.

Niezależny dostawca oprogramowania (ISV) dostarczający aplikacje SaaS z platformy Azure

Dostawcy oprogramowania, którzy dostarczają swoje produkty SaaS (oprogramowanie jako usługa) klientom, mogą korzystać z kilku dzierżaw firmy Microsoft Entra w ramach korzystania z platformy Azure.

Jeśli jesteś dostawcą oprogramowania, możesz oddzielić firmową dzierżawę Microsoft Entra, w tym korzystanie z platformy Azure, od codziennej działalności biznesowej, takiej jak e-mail, udostępnianie plików i aplikacje wewnętrzne. Możesz również mieć oddzielną dzierżawę Microsoft Entra, w której subskrypcje platformy Azure hostują i dostarczają aplikacje SaaS, które udostępniasz swoim klientom końcowym. Takie podejście jest powszechne i rozsądne, ponieważ chroni Ciebie i Twoich klientów przed zdarzeniami bezpieczeństwa.

Aby uzyskać więcej informacji, zobacz Independent software vendor (ISV) - kwestie dotyczące stref docelowych Azure.

Testowanie na poziomie dzierżawy /Testowanie na platformie Microsoft 365

Niektóre działania i funkcje w produktach, usługach i ofertach firmy Microsoft w chmurze można przetestować tylko w oddzielnej dzierżawie firmy Microsoft Entra. Oto kilka przykładów:

• Microsoft 365 — Exchange Online, SharePoint i Teams
• Microsoft Entra ID — Microsoft Entra Connect, Poziomy Ryzyka Ochrony Microsoft Entra ID i aplikacje SaaS
• Testowanie skryptów korzystających z interfejsu API Microsoft Graph, które mogą wpływać na środowisko produkcyjne i wprowadzać w nim zmiany.

Jeśli chcesz przeprowadzić testy, takie jak wcześniejsze scenariusze testowe, jedyną opcją jest osobna dzierżawa firmy Microsoft Entra.

Ale oddzielna dzierżawa Microsoft Entra nie jest , a do hostowania subskrypcji platformy Azure zawierających obciążenia, niezależnie od środowiska, na przykład deweloperskiego/testowego. Nawet środowiska deweloperskie/testowe powinny być umieszczone w regularnej dzierżawie produkcyjnej firmy Microsoft Entra.

Napiwek

Aby uzyskać informacje o sposobie obsługi testowania stref docelowych platformy Azure i obciążeń lub zasobów platformy Azure w środowiskach stref docelowych platformy Azure, zobacz:

• Jak obsługujemy strefy docelowe obciążeń "tworzenie i testowanie/produkcja" w architekturze strefy docelowej platformy Azure?
• Podejście do testowania stref docelowych platformy Azure

Oddolne / Technologia w cieniu / Start-upy

Jeśli zespół chce szybko wprowadzać innowacje, może utworzyć oddzielną dzierżawę Microsoft Entra, aby pomóc im działać jak najszybciej. Mogą celowo lub przypadkowo uniknąć procesu centralnego/zespołu platformy i wskazówek dotyczących uzyskiwania dostępu do środowiska platformy Azure w celu przeprowadzenia innowacji.

Ten scenariusz jest typowy w przypadku start-upów, w których konfiguruje się własną dzierżawę Microsoft Entra w celu uruchamiania, hostowania i obsługi działania firmy oraz usług. Jest to zwykle do przewidzenia, ale gdy start-upy są nabywane, dodatkowe konto Microsoft Entra staje się punktem decyzyjnym, gdzie zespoły IT organizacji rozważają dalsze kroki.

Aby uzyskać więcej informacji na temat sposobu nawigowania po tym scenariuszu, zobacz sekcje Fuzje i przejęcia i niezależnego dostawcy oprogramowania (ISV) dostarczającego aplikacje SaaS z usługi Azure w tym artykule.

Ważny

Zdecydowanie zalecamy, aby zespoły platformy miały łatwy i wydajny proces umożliwiający zespołom dostęp do subskrypcji piaskownicy platformy Azure lub subskrypcji, które znajdują się w firmowej lub podstawowej dzierżawie firmy Microsoft Entra dla organizacji. Ten proces uniemożliwia występowanie scenariuszy Shadow IT i zapobiega przyszłym wyzwaniom dla wszystkich zaangażowanych stron.

Aby uzyskać więcej informacji na temat piaskownic, zobacz wskazówki dotyczące grup zarządzania w ramach obszaru projektowania organizacji zasobów.

Streszczenie

Jak opisano w scenariuszach, istnieje kilka powodów, dla których Twoja organizacja może wymagać wielu dzierżawców Microsoft Entra. Jednak utworzenie wielu dzierżaw w celu spełnienia wymagań w tych scenariuszach zwiększa złożoność i zadania operacyjne w celu utrzymania wielu dzierżaw i potencjalnie dodaje koszty wymagań dotyczących licencjonowania. Aby uzyskać więcej informacji, zobacz Rozważania i zalecenia dotyczące stref docelowych Azure w scenariuszach wielodostępnych.

Następne kroki

Zagadnienia i zalecenia dotyczące przypadków wielodostępnych stref startowych platformy Azure