Cenários para vários locatários do Microsoft Entra

Há algumas razões pelas quais uma organização pode precisar, ou pode querer investigar, vários locatários do Microsoft Entra. Os cenários mais comuns são:

• Fusões e aquisições
• Requisitos de conformidade regulamentar ou de país/região
• Requisitos de isolamento e autonomia da unidade de negócio ou da organização
• ISV (fornecedor independente de software) que fornece aplicações SaaS a partir do Azure
• Teste ao nível do locatário / Teste do Microsoft 365
• Grassroots (Iniciativas de Base) / Shadow IT / Start-ups (Empresas Emergentes)

Fusões e aquisições

À medida que as organizações crescem ao longo do tempo, elas podem adquirir outras empresas ou organizações. É provável que essas aquisições tenham locatários existentes do Microsoft Entra já estabelecidos que hospedam e fornecem serviços, como Microsoft 365 (Exchange Online, SharePoint, OneDrive ou Teams), Dynamics 365 e Microsoft Azure, para a empresa ou organização.

Normalmente, em uma aquisição, os dois locatários do Microsoft Entra são consolidados em um único locatário do Microsoft Entra. Essa consolidação reduz a sobrecarga de gerenciamento, melhora a experiência de colaboração e apresenta uma identidade de marca única para outras empresas e organizações.

Importante

Um nome de domínio personalizado (por exemplo, contoso.com) só pode ser associado a um locatário do Microsoft Entra de cada vez. Portanto, a consolidação de locatários é preferível porque um único nome de domínio personalizado pode ser usado por todas as identidades quando ocorre um cenário de fusão ou aquisição.

Devido às complexidades de consolidar dois locatários do Microsoft Entra em um, às vezes os locatários são deixados sozinhos e permanecem separados por um período de tempo estendido ou indefinido.

Este cenário também pode ocorrer quando as organizações ou empresas querem permanecer separadas porque outras organizações podem adquirir a sua empresa no futuro. Se uma organização mantém os locatários do Microsoft Entra isolados e eles não os consolidam, há menos trabalho se houver uma futura fusão ou aquisição de uma única entidade.

Requisitos de conformidade regulamentar ou de país/região

Algumas organizações têm controles e estruturas rígidas de conformidade regulatória ou de país/região (por exemplo, UK Official, Sarbanes Oxley (SOX) ou NIST). As organizações podem criar vários locatários do Microsoft Entra para satisfazer e cumprir com esses requisitos.

Algumas organizações que têm escritórios e usuários em todo o mundo com regulamentos de residência de dados mais rígidos também podem criar vários locatários do Microsoft Entra. Mas este requisito específico é geralmente abordado dentro de um único inquilino do Microsoft Entra usando funcionalidades como Microsoft 365 Multi-Geo.

Outro cenário é quando as organizações exigem Azure Government (Governo dos EUA) ou Azure China (operado pela 21Vianet). Essas instâncias de nuvem nacionais do Azure exigem os seus próprios inquilinos do Microsoft Entra. Os locatários do Microsoft Entra são exclusivamente para essa instância de nuvem nacional do Azure e são utilizados para os serviços de gestão de identidades e acessos das subscrições do Azure nessa mesma instância de nuvem.

Dica

Para obter mais informações sobre os cenários de identidade da nuvem nacional/regional do Azure, consulte:

• Azure Government Identity
• Azure China conectividade e interoperabilidade transfronteiriça
• autenticação do Microsoft Entra & nuvens nacionais/regionais

Como nos cenários anteriores, se sua organização tiver uma estrutura de conformidade regulatória ou de país/região para cumprir, talvez você não precise de vários locatários do Microsoft Entra como abordagem padrão. A maioria das organizações pode cumprir os frameworks num único tenant do Microsoft Entra usando recursos, como Gestão de Identidades Privilegiadas e Unidades Administrativas.

Requisitos de isolamento e autonomia da unidade de negócio ou da organização

Algumas organizações podem ter estruturas internas complexas em várias unidades de negócios ou podem exigir um alto nível de isolamento e autonomia entre as partes de sua organização.

Quando esse cenário ocorre e as ferramentas e orientações em isolamento de recursos em um único locatário não podem fornecer o nível necessário de isolamento, talvez seja necessário implantar, gerenciar e operar vários locatários do Microsoft Entra.

Em cenários como esse, é mais comum que não haja funções centralizadas responsáveis por implantar, gerenciar e operar esses vários locatários. Em vez disso, eles são entregues na íntegra à unidade de negócios separada ou à parte da organização para operar e gerir. Uma equipa centralizada de arquitetura, estratégia, ou de estilo CCoE ainda pode fornecer orientações e recomendações sobre as melhores práticas a serem configuradas no locatário separado do Microsoft Entra.

Advertência

As organizações que têm funções e responsabilidades operacionais criam desafios entre as equipas que gerem o locatário Microsoft Entra da organização. O Azure deve priorizar a criação e o acordo sobre um RACI claro entre as duas equipes. Esta ação garante que ambas as equipas possam trabalhar e entregar os seus serviços à organização e devolver valor ao negócio em tempo útil.

Algumas organizações têm infraestrutura de nuvem e equipes de desenvolvimento que usam o Azure. As organizações contam com uma equipa de identidade que tem controlo sobre o inquilino corporativo do Microsoft Entra para a criação de principal de serviço ou criação e gestão de grupos. Se não houver um RACI acordado, muitas vezes há uma falta de processo e entendimento entre as equipes, o que leva a atritos entre as equipes e em toda a organização. Algumas organizações acreditam que vários clientes do Microsoft Entra são a única maneira de superar este desafio.

Mas vários locatários do Microsoft Entra criam desafios para os usuários finais, aumentam a complexidade na proteção, gerenciamento e controle de vários locatários e potencialmente aumentam os custos de licenciamento. As licenças, como o Microsoft Entra ID P1 ou P2, não abrangem vários locatários do Microsoft Entra. Às vezes, o uso do Microsoft Entra B2B pode aliviar a duplicação de licenciamento para algumas funcionalidades e serviços. Se você planeja usar o Microsoft Entra B2B em sua implantação, revise os termos de licenciamento e a capacidade de suporte de cada recurso e serviço para a elegibilidade do Microsoft Entra B2B.

As organizações nessa situação devem resolver os desafios operacionais para garantir que as equipes possam trabalhar juntas em um único locatário do Microsoft Entra em vez de criar vários locatários do Microsoft Entra como uma solução alternativa.

Fornecedor independente de software (ISV) que fornece aplicações SaaS a partir do Azure

Os ISVs que fornecem seus produtos SaaS (software como serviço) para seus clientes podem se beneficiar de ter vários locatários do Microsoft Entra para seu uso do Azure.

Se é um ISV, poderá ter uma separação entre o seu inquilino corporativo do Microsoft Entra, incluindo a utilização do Azure, para as suas atividades normais de negócio, como e-mail, partilha de ficheiros e aplicações internas. Você também pode ter um locatário separado do Microsoft Entra onde as assinaturas do Azure hospedam e entregam os aplicativos SaaS que você fornece aos seus clientes finais. Essa abordagem é comum e sensata porque protege você e seus clientes de incidentes de segurança.

Para obter mais informações, consulte Considerações sobre ISV (fornecedor independente de software) para zonas de aterrissagem do Azure.

Teste de nível de locatário / teste do Microsoft 365

Algumas atividades e recursos dos produtos, serviços e ofertas do Microsoft Cloud só podem ser testados em um locatário separado do Microsoft Entra. Alguns exemplos são:

• Microsoft 365 – Exchange Online, SharePoint e Teams
• Microsoft Entra ID – Microsoft Entra Connect, Microsoft Entra ID Protection Risk Levels e aplicativos SaaS
• Testando scripts que usam a API do Microsoft Graph e podem efetuar e fazer alterações na produção

Quando você deseja realizar testes como os cenários anteriores, um locatário separado do Microsoft Entra é sua única opção.

Mas o locatário separado do Microsoft Entra não é para hospedar assinaturas do Azure que contêm cargas de trabalho, independentemente do ambiente, por exemplo, desenvolvimento/teste. Mesmo os ambientes de desenvolvimento/teste devem, em vez disso, estar contidos em seu locatário regular do Microsoft Entra de "produção".

Dica

Para obter informações sobre como lidar com o teste de zonas de aterrissagem do Azure e cargas de trabalho ou recursos do Azure em ambientes de zonas de aterrissagem do Azure, consulte:

• Como lidamos com zonas de aterrissagem de carga de trabalho "desenvolvimento/teste/produção" na arquitetura de zona de aterrissagem do Azure?
• Abordagem de teste para zonas de aterrissagem do Azure

Iniciativas de base / Shadow IT / Start-ups

Se uma equipe quiser inovar rapidamente, ela pode criar um locatário separado do Microsoft Entra para ajudá-la a se mover o mais rápido possível. Eles podem, intencionalmente ou não, evitar o processo e a orientação da equipe central/plataforma para obter acesso a um ambiente do Azure para fazer sua inovação.

Esse cenário é comum em start-ups em que elas configuram seu próprio locatário do Microsoft Entra para executar, hospedar e operar os negócios e serviços. Normalmente, é de se esperar, mas quando as start-ups são adquiridas, o inquilino adicional do Microsoft Entra cria um ponto de decisão em que as equipas de TI da organização adquirente decidem como proceder.

Para obter mais informações sobre como navegar nesse cenário, consulte as seções Fusões e aquisições e ISV (fornecedor independente de software) que entrega aplicativos SaaS do Azure neste artigo.

Importante

É altamente recomendável que as equipas de plataforma implementem um processo fácil e eficiente para proporcionar às equipas acesso a uma assinatura de ambiente de teste do Azure ou a assinaturas que estão alojadas no locatário corporativo ou principal da Microsoft Entra para a organização. Esse processo evita que cenários de Shadow IT ocorram e previne desafios no futuro para todas as partes envolvidas.

Para obter mais informações sobre áreas restritas, consulte Orientação de grupos de gerenciamento na área de design da organização de recursos.

Resumo

Conforme detalhado nos cenários, há vários motivos pelos quais sua organização pode exigir vários locatários do Microsoft Entra. Mas quando você cria vários locatários para atender aos requisitos nesses cenários, isso adiciona complexidade e tarefas operacionais para manter os vários locatários e, potencialmente, adiciona custos para os requisitos de licenciamento. Para obter mais informações, consulte Considerações e recomendações para zonas de aterrissagem do Azure em cenários multilocatários.

Próximos passos

Considerações e recomendações para cenários de zona de aterragem do Azure multicliente