Considerações e recomendações para cenários de zona de destino do Azure multilocatário

O artigo, Zonas de destino do Azure e vários locatários do Microsoft Entra, descreve como os grupos de gerenciamento e o Azure Policy e as assinaturas interagem e operam com locatários do Microsoft Entra. O artigo descreve a limitação desses recursos quando eles operam em um único locatário do Microsoft Entra. Nessas condições, se vários locatários do Microsoft Entra existirem ou forem necessários para uma organização, as zonas de destino do Azure deverão ser implantadas em cada um dos locatários do Microsoft Entra separadamente.

Zonas de destino do Azure com vários locatários do Microsoft Entra

O diagrama anterior mostra um exemplo da Contoso Corporation, que tem quatro locatários do Microsoft Entra devido a fusões e aquisições à medida que a corporação cresceu ao longo do tempo.

Domínio de locatário *.onmicrosoft.com do Microsoft Entra	Observações de uso
contoso.onmicrosoft.com	Locatário corporativo primário do Microsoft Entra usado pela Contoso Corporation. Os serviços do Azure e do Microsoft 365 são usados nesse locatário.
fabrikam.onmicrosoft.com	Locatário primário do Microsoft Entra usado pela Fabrikam. Os serviços do Azure e do Microsoft 365 são usados nesse locatário. Esse locatário permaneceu separado desde a aquisição pela Contoso Corporation.
tailwind.onmicrosoft.com	Locatário primário do Microsoft Entra usado pela Tailwind. Os serviços do Azure e do Microsoft 365 são usados nesse locatário. Esse locatário permaneceu separado desde a aquisição pela Contoso Corporation.
contoso365test.onmicrosoft.com	Locatário do Microsoft Entra usado pela Contoso Corporation para testar somente a ID do Microsoft Entra e os serviços e a configuração do Microsoft 365. Todos os ambientes do Azure residem no locatário do contoso.onmicrosoft.com Microsoft Entra.

A Contoso Corporation começou com um locatário do Microsoft Entra do contoso.onmicrosoft.com. Com o tempo, eles fizeram várias aquisições de outras empresas e trouxeram essas empresas para a Contoso Corporation.

As aquisições da Fabrikam (fabrikam.onmicrosoft.com) e da Tailwind (tailwind.onmicrosoft.com) trouxeram consigo locatários existentes do Microsoft Entra nos quais os serviços do Microsoft 365 (Exchange Online, SharePoint, OneDrive) e Azure são usados. Essas empresas e os locatários associados do Microsoft Entra são mantidos separados porque partes da Contoso Corporation e suas empresas podem ser vendidas no futuro.

A Contoso Corporation tem um locatário separado do Microsoft Entra com a única finalidade de testar a ID do Microsoft Entra e os serviços e recursos do Microsoft 365. Mas nenhum serviço do Azure é testado nesse locatário separado do Microsoft Entra. Eles são testados no locatário do contoso.onmicrosoft.com Microsoft Entra.

Dica

Para obter mais informações sobre como testar zonas de destino do Azure e cargas de trabalho e recursos do Azure em ambientes de zonas de destino do Azure, consulte:

• Como lidar com zonas de destino de carga de trabalho de "desenvolvimento/teste/produção" na arquitetura da zona de destino do Azure
• Abordagem de teste para zonas de destino do Azure

Observação

As zonas de destino do Azure são implantadas em um único locatário do Microsoft Entra. Se você tiver vários locatários do Microsoft Entra nos quais deseja implantar recursos do Azure e quiser controlá-los, controlá-los e monitorá-los usando zonas de destino do Azure, deverá implantar zonas de destino do Azure em cada um desses locatários individualmente.

Considerações e recomendações para zonas de destino do Azure em cenários multilocatários

Esta seção explica as principais considerações e recomendações sobre as zonas de destino do Azure e os cenários e uso multilocatários do Microsoft Entra.

Considerações

• Comece com uma abordagem de locatário único para o design de locatário do Microsoft Entra.
  • O locatário único normalmente é o locatário corporativo do Microsoft Entra da organização, onde as identidades do usuário existem e um serviço, como o Microsoft 365, está em execução.
  • Crie apenas mais locatários do Microsoft Entra quando houver requisitos que não podem ser atendidos usando o locatário corporativo do Microsoft Entra.
• Considere usar unidades administrativas de ID do Microsoft Entra para gerenciar a segregação e o isolamento de usuários, grupos e dispositivos (por exemplo, equipes diferentes) em um único locatário do Microsoft Entra. Use esse recurso em vez de criar vários locatários do Microsoft Entra.
• Considere o uso de assinaturas de área restrita para o desenvolvimento e a investigação da carga de trabalho inicial do aplicativo. Para obter mais informações, consulte Como lidar com zonas de destino de carga de trabalho de "desenvolvimento/teste/produção" na arquitetura de zona de destino do Azure.
• A migração de assinaturas do Azure entre locatários do Microsoft Entra é complexa e requer que as atividades pré e pós-migração sejam concluídas para habilitar uma migração. Para obter mais informações, consulte Transferir uma assinatura do Azure para um diretório diferente do diretório do Microsoft Entra. É mais fácil recompilar a carga de trabalho do aplicativo em uma nova assinatura do Azure no locatário de destino. Isso lhe dá mais controle sobre a migração.
• Considere as complexidades de gerenciar, governar, configurar, monitorar e proteger vários locatários do Microsoft Entra. Um único locatário do Microsoft Entra é mais fácil de gerenciar, controlar e proteger.
• Considere seu processo, fluxos de trabalho e ferramentas JML (joiners, movers e leavers). Verifique se esses recursos podem dar suporte e lidar com vários locatários do Microsoft Entra.
• Considere o efeito sobre os usuários finais quando eles gerenciam, controlam e protegem várias identidades para si mesmos.
• Ao escolher vários locatários do Microsoft Entra, considere o efeito na colaboração entre locatários, especialmente da perspectiva de um usuário final. A experiência de colaboração do Microsoft 365 e o suporte entre usuários em um único locatário do Microsoft Entra são ideais.
• Considere o efeito na auditoria e nas verificações de conformidade regulatória em vários locatários do Microsoft Entra antes de escolher uma abordagem.
• Considere o aumento nos custos de licenciamento quando vários locatários do Microsoft Entra são usados. As licenças para produtos como Microsoft Entra ID P1 ou P2 ou serviços do Microsoft 365 não abrangem locatários do Microsoft Entra.
• Um único registro do Contrato Enterprise pode dar suporte e fornecer assinaturas para vários locatários do Microsoft Entra definindo o nível de autenticação no registro para conta corporativa e de estudante entre locatários. Para obter mais informações, consulte Administração do portal do EA do Azure.
• Um único Contrato de Cliente da Microsoft pode dar suporte e fornecer assinaturas para vários locatários do Microsoft Entra. Para obter mais informações, consulte Gerenciar locatários em sua conta de cobrança do Contrato de Cliente da Microsoft.
• Ao optar por uma arquitetura multilocatário do Microsoft Entra, considere as limitações que podem ocorrer para equipes e desenvolvedores de aplicativos. Esteja ciente das limitações na integração do Microsoft Entra para produtos e serviços do Azure, como a Área de Trabalho Virtual do Azure, os Arquivos do Azure e o SQL do Azure. Para obter mais informações, consulte a seção Integração do Microsoft Entra de produtos e serviços do Azure neste artigo.
• Considere usar o Microsoft Entra B2B para simplificar e aprimorar a experiência e a administração do usuário quando sua organização tiver vários locatários do Microsoft Entra.
• Considere usar a plataforma de identidade da Microsoft, com a ID do Microsoft Entra com recursos B2B e B2C, para que os desenvolvedores possam criar aplicativos em uma única assinatura do Azure e em um único locatário. Esse método oferece suporte a usuários de várias fontes de identidade. Para obter mais informações, consulte Aplicativos multilocatários e Arquitetar soluções multilocatários no Azure.
• Considere usar os recursos disponíveis para organizações multilocatários. Para obter mais informações, consulte O que é uma organização multilocatário na ID do Microsoft Entra.
• Considere manter sua zona de destino do Azure atualizada.

Produtos e serviços do Azure Integração com o Microsoft Entra

Muitos produtos e serviços do Azure não dão suporte ao Microsoft Entra B2B como parte de sua integração nativa do Microsoft Entra. Existem apenas alguns serviços que oferecem suporte à autenticação B2B do Microsoft Entra como parte de suas integrações do Microsoft Entra. É mais seguro que o padrão de serviço não dê suporte ao Microsoft Entra B2B como parte de sua integração com o Microsoft Entra.

Os serviços que fornecem uma integração nativa com a ID do Microsoft Entra, como Armazenamento do Azure, SQL do Azure, Arquivos do Azure e Área de Trabalho Virtual do Azure, usam uma abordagem de estilo "um clique" ou "sem clique" para integrar. Eles exigem cenários de autenticação e autorização como parte de seu serviço. Essa abordagem normalmente tem suporte no "locatário inicial" e alguns serviços podem habilitar o suporte para cenários B2B/B2C do Microsoft Entra. Para obter mais informações sobre a relação da assinatura do Azure com a ID do Microsoft Entra, consulte Associar ou adicionar uma assinatura do Azure ao seu locatário do Microsoft Entra.

É importante considerar cuidadosamente a qual locatário do Microsoft Entra suas assinaturas do Azure estão associadas. Essa relação determina quais produtos e serviços e seus recursos, o aplicativo ou as equipes de carga de trabalho usam que precisam dar suporte às identidades e de qual locatário as identidades são. Normalmente, as identidades estão no locatário corporativo do Microsoft Entra.

Se vários locatários do Microsoft Entra forem usados para hospedar todas as assinaturas do Azure, as equipes de carga de trabalho do aplicativo não poderão aproveitar alguns produtos e serviços do Azure Integrações do Microsoft Entra. Se as equipes de carga de trabalho do aplicativo tiverem que desenvolver seus aplicativos em torno dessas limitações impostas, o processo de autenticação e autorização se tornará mais complexo e menos seguro.

Evite esse problema usando um único locatário do Microsoft Entra como o lar de todas as suas assinaturas do Azure. Um único locatário é a melhor abordagem para autenticação e autorização para seu aplicativo ou serviço. Essa arquitetura simples dá à equipe de carga de trabalho do aplicativo menos para gerenciar, controlar e controlar, além de remover possíveis restrições.

Para obter mais informações, consulte Isolamento de recursos em um único locatário.

Recomendações

• Use um único locatário do Microsoft Entra, que geralmente é o locatário corporativo do Microsoft Entra. Crie apenas mais locatários do Microsoft Entra quando houver requisitos que não podem ser atendidos usando o locatário corporativo do Microsoft Entra.
• Use assinaturas de área restrita para fornecer às equipes de aplicativos ambientes de desenvolvimento seguros, controlados e isolados no mesmo locatário do Microsoft Entra. Para obter mais informações, consulte Como lidar com zonas de destino de carga de trabalho de "desenvolvimento/teste/produção" na arquitetura de zona de destino do Azure.
• Use aplicativos multilocatários do Microsoft Entra ao criar integrações de ferramentas operacionais, como o ServiceNow, e conectá-las a vários locatários do Microsoft Entra. Para obter mais informações, consulte Práticas recomendadas para todas as arquiteturas de isolamento.
• Se você for um ISV, consulte Considerações sobre ISV (fornecedor independente de software) para zonas de destino do Azure.
• Use o Azure Lighthouse para simplificar as experiências de gerenciamento entre locatários. Para obter mais informações, consulte Uso do Azure Lighthouse em cenários multilocatários de zonas de destino do Azure.
• Em seus registros do Contrato Enterprise ou Contratos de Cliente da Microsoft hospedados no locatário do Microsoft Entra de destino, crie proprietários de conta, proprietários de seção de fatura e criadores de assinatura. Atribua os proprietários e criadores às assinaturas que eles criam para evitar a necessidade de alterar diretórios em assinaturas do Azure depois de criadas. Para obter mais informações, consulte Adicionar uma conta de outro locatário do Microsoft Entra e Gerenciar locatários em sua conta de cobrança do Contrato de Cliente da Microsoft.
• Consulte o guia de operações de segurança do Microsoft Entra.
• Mantenha o número de contas de Administrador Global no mínimo, menos de 5 é preferível.
• Habilite o Privileged Identity Management (PIM) para todas as contas de administrador para garantir que não haja privilégios permanentes e fornecer acesso JIT.
• Exigir aprovação no PIM para ativar funções críticas, como a função de Administrador Global. Considere a criação de aprovadores de várias equipes para aprovar o uso do Administrador Global.
• Habilite o monitoramento e as notificações para todas as partes interessadas necessárias sobre a ativação da função de Administrador Global.
• Verifique se a configuração "Gerenciamento de acesso para recursos do Azure" em Administradores Globais está definida como Não onde não é necessário.

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Isso ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

• Habilite e configure os seguintes serviços e recursos do Microsoft Entra para simplificar a experiência multilocatário para administração e usuários em sua organização:
  • Colaboração B2B
  • Conexão direta de B2B
  • Configurações de acesso entre locatários
  • Sincronização entre locatários
  • Organização multilocatário (versão prévia)
• Para organizações com um locatário do Microsoft Entra em várias nuvens da Microsoft, como a nuvem comercial do Microsoft Azure, o Microsoft Azure China 21Vianet, o Microsoft Azure Government, defina as configurações de nuvem da Microsoft para colaboração B2B (versão prévia) para simplificar as experiências do usuário ao colaborar entre locatários.
• As equipes e desenvolvedores de aplicativos devem revisar os seguintes recursos ao construir aplicativos e serviços para multilocação:
  • Aplicativos multilocatários na ID do Microsoft Entra
  • Arquitetar soluções multilocatários no Azure

Próximas etapas

Automatizar zonas de destino do Azure em vários locatários