Zonas de destino do Azure e vários locatários do Microsoft Entra

As zonas de destino do Azure são criadas em grupos de gerenciamento. As políticas do Azure são atribuídas e as assinaturas são colocadas em grupos de gerenciamento para fornecer os controles de governança necessários que uma organização precisa para atender às suas necessidades de segurança e conformidade.

Dica

Consulte Mapeamento de controle de segurança com zonas de destino do Azure para saber como usar a zona de destino do Azure e o Azure Policy para ajudar a atender às necessidades regulatórias, de conformidade e de segurança da sua organização.

Esses recursos são implantados em um único locatário do Microsoft Entra. Os grupos de gerenciamento e a maioria dos outros recursos do Azure, como o Azure Policy, dão suporte apenas à operação em um único locatário do Microsoft Entra. Uma assinatura do Azure depende de um locatário do Microsoft Entra para autenticar usuários, serviços e dispositivos no ARM (Azure Resource Manager) para controlar operações de painel e alguns serviços do Azure, como o Armazenamento do Azure, para operações de plano de dados.

Várias assinaturas podem contar com o mesmo locatário do Microsoft Entra. Cada assinatura só pode contar com um único locatário do Microsoft Entra. Para obter mais informações, consulte Adicionar uma assinatura existente do Azure ao seu locatário.

No diagrama anterior, os grupos de gerenciamento, as políticas do Azure e as assinaturas do Azure são implantados seguindo a arquitetura conceitual das zonas de destino do Azure em um único locatário do Microsoft Entra.

Essa abordagem é recomendada para a maioria das organizações com base em seus requisitos. Essa abordagem oferece às organizações a melhor experiência de colaboração possível e permite que elas controlem, controlem e isolem usuários e recursos em um único locatário do Microsoft Entra.

Sua organização pode ser obrigada a usar vários locatários do Microsoft Entra para muitos cenários. Veja como implantar e gerenciar a implantação da zona de destino do Azure em cada um desses locatários e considerações e recomendações para lidar com vários locatários do Microsoft Entra.

Observação

Este artigo se concentra no Azure, não no Microsoft 365 ou em outras ofertas do Microsoft Cloud, como o Dynamics 365 ou o Power Platform.

Ele se concentra na plataforma em vez de aplicativos criados sobre a plataforma em locatários. Para obter informações sobre vários locatários do Microsoft Entra e a arquitetura do aplicativo, consulte:

• Aplicativos multilocatários na ID do Microsoft Entra
• Arquitetar soluções multilocatários no Azure

Por que um único locatário do Microsoft Entra é suficiente

Há motivos pelos quais você pode exigir vários locatários do Microsoft Entra, mas é importante entender por que um único locatário do Microsoft Entra normalmente é suficiente. Deve ser o ponto de partida padrão para todas as organizações.

Use seu locatário corporativo existente do Microsoft Entra para assinaturas do Azure para obter a melhor experiência de produtividade e colaboração em toda a plataforma.

Em um único locatário, as equipes de desenvolvimento e os proprietários de aplicativos podem ter as funções menos privilegiadas para criar instâncias de não produção de recursos do Azure e aplicativos confiáveis, aplicativos de teste, usuários e grupos de teste e políticas de teste para esses objetos. Para obter mais informações sobre como delegar a administração com um único locatário, consulte Isolamento de recursos em um único locatário.

Crie apenas mais locatários do Microsoft Entra quando houver requisitos que não podem ser atendidos usando o locatário corporativo do Microsoft Entra.

Com o Microsoft 365, o locatário corporativo do Microsoft Entra geralmente é o primeiro locatário provisionado na organização. Esse locatário é usado para acesso a aplicativos corporativos e serviços do Microsoft 365. Ele suporta a colaboração dentro de uma organização. O motivo para começar com esse locatário existente é porque ele já foi provisionado, gerenciado e protegido. O ciclo de vida definido das identidades provavelmente já está estabelecido. Este curso facilita a tarefa de integrar novos aplicativos, recursos e assinaturas. É um ambiente maduro e compreendido com processos, procedimentos e controles estabelecidos.

Complexidades com vários locatários do Microsoft Entra

Quando você cria um novo locatário do Microsoft Entra, ele requer trabalho extra para provisionar, gerenciar, proteger e controlar as identidades. Você também deve estabelecer as políticas e procedimentos necessários. A colaboração é melhor em um único locatário do Microsoft Entra. A mudança para um modelo multilocatário cria um limite, o que pode resultar em atrito do usuário, sobrecarga de gerenciamento e aumentar a área de superfície de ataque, o que pode causar um risco de segurança e complicar cenários e limitações do produto. Alguns exemplos incluem:

• Várias identidades para usuários e administradores para cada locatário – se o Microsoft Entra B2B não for usado, o usuário terá vários conjuntos de credenciais para gerenciar. Para obter mais informações, consulte Considerações e recomendações para cenários de zona de destino do Azure multilocatário.
• Limitações de serviços do Azure no suporte a vários locatários do Microsoft Entra – cargas de trabalho do Azure que dão suporte apenas a identidades hospedadas no locatário ao qual ele está associado. Para obter mais informações, consulte Produtos e serviços do Azure Integração do Microsoft Entra.
• Nenhuma configuração ou gerenciamento centralizado para locatários do Microsoft Entra – várias políticas de segurança, políticas de gerenciamento, configuração, portais, APIs e processos JML (joiners, movers e leavers).
• Complexidades de cobrança e licenciamento e possível requisito de duplicação de licença para licenças P1 ou P2 da ID do Microsoft Entra – para obter mais informações, consulte Considerações e recomendações para cenários de zona de destino do Azure multilocatário.

As organizações precisam ser claras sobre por que estão se desviando do modelo de locatário corporativo do Microsoft Entra para garantir que a sobrecarga e a complexidade extras sejam justificadas para atender aos requisitos. Há exemplos dessas instâncias no artigo de cenários.

Importante

Use o Microsoft Entra Privileged Identity Management para proteger funções privilegiadas no Microsoft Entra ID e no Azure.

A propriedade de funções privilegiadas entre equipes e departamentos internos pode ser um desafio, pois a equipe de Identidade e a equipe do Azure geralmente estão em equipes, departamentos e estruturas organizacionais diferentes.

As equipes que operam o Azure são responsáveis pelos serviços do Azure e desejam garantir a segurança dos serviços que gerenciam. Quando indivíduos fora dessa equipe têm funções com o poder de acessar potencialmente seus ambientes, a segurança é mais fraca. Para obter mais informações, consulte Entender as funções de nuvem necessárias.

A ID do Microsoft Entra fornece controles que ajudam a atenuar esse problema em um nível técnico, mas esse problema também é uma discussão de pessoas e processos. Para obter mais informações, consulte Recomendações.

Importante

Vários locatários do Microsoft Entra não são a abordagem recomendada para a maioria dos clientes. Um único locatário do Microsoft Entra, normalmente o locatário corporativo do Microsoft Entra, é recomendado para a maioria dos clientes porque fornece os requisitos de separação necessários.

Para saber mais, veja:

• Definir locatários do Microsoft Entra
• Abordagem de teste para zonas de destino do Azure
• Introdução à administração delegada e ambientes isolados
• Isolamento de recursos em um locatário único
• Seus locatários do Microsoft 365 para empresas

Próximas etapas

Cenários para vários locatários do Microsoft Entra