Cenários para vários locatários do Microsoft Entra

Há algumas razões pelas quais uma organização pode precisar ou pode querer investigar vários locatários do Microsoft Entra. Os cenários mais comuns são:

• fusões e aquisições
• requisitos de conformidade regulamentar ou de país/região
• Requisitos de isolamento e autonomia da unidade de negócios ou da organização
• ISV (fornecedor de software independente) que fornece aplicativos SaaS do Azure
• Teste em nível de locatário/Teste do Microsoft 365
• Iniciativas de Base/TI Informal/Startups

Fusões e aquisições

À medida que as organizações crescem ao longo do tempo, elas podem adquirir outras empresas ou organizações. É provável que essas aquisições tenham locatários existentes do Microsoft Entra já estabelecidos que hospedam e fornecem serviços, como o Microsoft 365 (Exchange Online, SharePoint, OneDrive ou Teams), Dynamics 365 e Microsoft Azure, para a empresa ou organização.

Normalmente, em uma aquisição, os dois locatários do Microsoft Entra são consolidados em um único locatário do Microsoft Entra. Essa consolidação reduz a sobrecarga de gerenciamento, melhora a experiência de colaboração e apresenta uma única identidade de marca para outras empresas e organizações.

Importante

Um nome de domínio personalizado (por exemplo, contoso.com) só pode ser associado a um locatário do Microsoft Entra por vez. Portanto, a consolidação de locatários é preferencial porque um único nome de domínio personalizado pode ser usado por todas as identidades quando ocorre um cenário de fusão ou aquisição.

Devido às complexidades da consolidação de dois locatários do Microsoft Entra em um, às vezes os locatários são deixados sozinhos e permanecem separados por um período estendido ou indefinido.

Esse cenário também pode ocorrer quando as organizações ou empresas desejam permanecer separadas porque outras organizações podem adquirir sua empresa no futuro. Se uma organização mantiver os locatários do Microsoft Entra isolados e eles não os consolidarem, haverá menos trabalho se houver uma futura fusão ou aquisição de uma única entidade.

Requisitos de conformidade regulatórios ou de país/região

Algumas organizações têm rigorosos controles e estruturas de conformidade regulamentar ou de país/região (por exemplo, Autoridades Oficiais do Reino Unido, Sarbanes Oxley (SOX) ou NIST). As organizações podem criar vários locatários do Microsoft Entra para cumprir e atender a esses frameworks.

Algumas organizações que têm escritórios e usuários em todo o mundo com regulamentações mais rigorosas de residência de dados também podem criar vários locatários do Microsoft Entra. Porém, esse requisito específico geralmente é abordado em um só locatário do Microsoft Entra, usando recursos como Microsoft 365 Multi-Geo.

Outro cenário é quando as organizações exigem Azure Governamental (Governo dos EUA) ou Azure China (operado por 21Vianet). Essas instâncias nacionais de nuvem do Azure exigem seus próprios locatários do Microsoft Entra. Os locatários do Microsoft Entra são exclusivamente para essa instância nacional do Azure e usados para os serviços de gerenciamento de identidade e acesso para assinaturas do Azure dentro dessa instância de Azure.

Dica

Para obter mais informações sobre os cenários de identidade da nuvem nacional/regional do Azure, consulte:

• Identidade do Azure Governamental
• conectividade transfronteiriça e interoperabilidade do Azure China
• Autenticação do Microsoft Entra e nuvens nacionais/regionais

Assim como nos cenários anteriores, se sua organização tiver uma estrutura de conformidade regulatória ou de país/região para cumprir, talvez você não exija vários locatários do Microsoft Entra como a abordagem padrão. A maioria das organizações pode cumprir as estruturas em um só locatário do Microsoft Entra usando recursos, como Privileged Identity Management e Unidades administrativas.

Requisitos de isolamento e autonomia organizacionais ou de unidade de negócios

Algumas organizações podem ter estruturas internas complexas em várias unidades de negócios ou podem exigir um alto nível de isolamento e autonomia entre partes de sua organização.

Quando esse cenário ocorre, e as ferramentas e diretrizes em Isolamento de recursos em um só locatário não conseguem fornecer o nível necessário de isolamento, pode ser necessário implantar, gerenciar e operar vários locatários do Microsoft Entra.

Em cenários como esse, é mais comum que não haja funções centralizadas responsáveis por implantar, gerenciar e operar esses vários locatários. Em vez disso, eles são entregues na íntegra para a unidade de negócios separada ou parte da organização executar e gerenciar. Uma arquitetura centralizada, estratégia ou equipe no estilo CCoE ainda pode fornecer diretrizes e recomendações sobre as práticas recomendadas que devem ser configuradas no locatário separado do Microsoft Entra.

Aviso

As organizações que possuem funções e responsabilidades operacionais enfrentam desafios entre as equipes que administram o tenant do Microsoft Entra da organização. O Azure deve priorizar a criação e o acordo sobre uma RACI clara entre as duas equipes. Essa ação garante que ambas as equipes possam trabalhar e entregar seus serviços à organização e fornecer valor de volta ao negócio em tempo hábil.

Algumas organizações têm equipes de infraestrutura e desenvolvimento de nuvem que usam o Azure. As organizações contam com uma equipe de identidade que exerce controle sobre o locatário corporativo do Microsoft Entra para criação de entidade de serviço ou gerenciamento de entidade de grupo. Se não houver uma RACI acordada, muitas vezes há uma falta de processo e compreensão entre as equipes, o que leva a atritos entre as equipes e toda a organização. Algumas organizações acreditam que vários locatários do Microsoft Entra são a única maneira de superar esse desafio.

Mas vários locatários do Microsoft Entra criam desafios para os usuários finais, aumentam a complexidade na proteção, gerenciamento e controle de vários locatários e potencialmente aumentam os custos de licenciamento. As licenças, como o Microsoft Entra ID P1 ou P2, não abrangem vários locatários do Microsoft Entra. Às vezes, o uso do Microsoft Entra B2B pode aliviar a duplicação de licenciamento para alguns recursos e serviços. Se você planeja usar o Microsoft Entra B2B em sua implantação, examine os termos de licenciamento e a capacidade de suporte de cada recurso e serviço para a qualificação do Microsoft Entra B2B.

As organizações nessa situação devem resolver os desafios operacionais para garantir que as equipes possam trabalhar juntas em um único locatário do Microsoft Entra em vez de criar vários locatários do Microsoft Entra como uma solução alternativa.

IsV (fornecedor de software independente) que fornece aplicativos SaaS do Azure

ISVs que fornecem seus produtos SaaS (software como serviço) para seus clientes podem se beneficiar de ter várias locações do Microsoft Entra para uso no Azure.

Se você é um ISV, pode ter separação entre seu locatário corporativo do Microsoft Entra, incluindo o uso do Azure, para suas atividades comerciais rotineiras, como email, compartilhamento de arquivos e aplicativos internos. Você também pode ter um locatário separado do Microsoft Entra em que as assinaturas do Azure hospedam e entregam os aplicativos SaaS que você fornece aos clientes finais. Essa abordagem é comum e sensata porque protege você e seus clientes contra incidentes de segurança.

Para obter mais informações, confira Considerações do ISV (fornecedor de software independente) para zonas de destino do Azure.

Teste em nível de locatário/teste do Microsoft 365

Algumas atividades e recursos nos produtos, serviços e ofertas da Microsoft Cloud só podem ser testados em um locatário separado do Microsoft Entra. Alguns exemplos são:

• Microsoft 365 – Exchange Online, SharePoint e Teams
• Microsoft Entra ID – Microsoft Entra Connect, Níveis de Risco de Proteção contra ID do Microsoft Entra e aplicativos SaaS
• Testando scripts que usam a API do Microsoft Graph e podem afetar e fazer alterações na produção

Quando você deseja executar testes como os cenários anteriores, um locatário separado do Microsoft Entra é sua única opção.

Porém, o locatário separado do Microsoft Entra não é para hospedar assinaturas do Azure que contêm cargas de trabalho, independentemente do ambiente, por exemplo, desenvolvimento/teste. Mesmo ambientes de desenvolvimento/teste devem, em vez disso, estar contidos em seu locatário regular de "produção" do Microsoft Entra.

Dica

Para obter informações sobre como lidar com o teste de zonas de destino do Azure e cargas de trabalho ou recursos do Azure em ambientes de zonas de destino do Azure, consulte:

• Como lidamos com zonas de destino de carga de trabalho de "desenvolvimento/teste/produção" na arquitetura da zona de destino do Azure?
• Abordagem de teste para zonas de destino do Azure

Iniciativas de Base / TI paralela / Start-ups

Se uma equipe quiser inovar rapidamente, ela poderá criar um locatário separado do Microsoft Entra para ajudá-la a avançar o mais rápido possível. Eles podem, intencionalmente ou não, evitar o processo e as diretrizes da equipe central/plataforma para obter acesso a um ambiente do Azure para fazer sua inovação.

Esse cenário é comum em start-ups nas quais elas configuram seu próprio Microsoft Entra tenant para administrar, hospedar e operar os negócios e serviços. Normalmente, é esperado, mas quando as start-ups são adquiridas, o locatário adicional do Microsoft Entra cria um ponto de decisão em que as equipes de TI da organização adquirente decidem os próximos passos.

Para obter mais informações sobre como navegar neste cenário, consulte as seções Fusões e aquisições e Fornecedores de Software Independente (ISV) que fornecem aplicativos SaaS do Azure neste artigo.

Importante

É altamente recomendável que as equipes da plataforma tenham um processo facilmente acessível e eficiente para dar às equipes acesso a uma ou mais assinaturas de área restrita do Azure sediadas no locatário corporativo ou principal do Microsoft Entra da organização. Esse processo impede que cenários de TI sombra ocorram e impede desafios no futuro para todas as partes envolvidas.

Para obter mais informações sobre sandboxes, confira Diretrizes de grupos de gerenciamento na área de design organizacional de recursos.

Resumo

Conforme detalhado nos cenários, há vários motivos pelos quais sua organização pode exigir vários locatários do Microsoft Entra. Mas quando você cria vários locatários para atender aos requisitos dentro desses cenários, ele adiciona complexidade e tarefas operacionais para manter os vários locatários e potencialmente adiciona custos para requisitos de licenciamento. Para obter mais informações, confira Considerações e recomendações para zonas de destino do Azure em cenários multilocatário.

Próximas etapas

Considerações e recomendações para cenários multilocatário da zona de destino do Azure