Сценарии для нескольких клиентов Microsoft Entra

Существует несколько причин, по которым организации может понадобиться или захотеться исследовать несколько арендаторов Microsoft Entra. Наиболее распространенными сценариями являются:

• слияния и приобретения
• нормативные или региональные требования к соответствию
• Требования к изоляции и автономии бизнес-подразделений или организаций
• Независимый поставщик программного обеспечения (ISV), предоставляющий приложения SaaS из Azure
• тестирование на уровне клиента / тестирование Microsoft 365
• Инициативы на местах, теневое ИТ, стартапы

Слияния и приобретения

По мере роста организаций они могут приобретать другие компании или организации. Эти приобретения, вероятно, уже имеют существующих арендаторов Microsoft Entra, которые размещают и предоставляют службы, такие как Microsoft 365 (Exchange Online, SharePoint, OneDrive или Teams), Dynamics 365 и Microsoft Azure, для компании или организации.

Как правило, при приобретении два клиента Microsoft Entra объединяются в один клиент Microsoft Entra. Эта консолидация снижает управленческие накладные расходы, улучшает опыт совместной работы и представляет единый бренд другим компаниям и организациям.

Важный

Имя личного домена (например, contoso.com) может быть связано только с одним клиентом Microsoft Entra одновременно. Таким образом, консолидация арендаторов предпочтительна, так как одно кастомное доменное имя может использоваться всеми идентичностями при возникновении сценария слияния или приобретения.

Из-за сложностей объединения двух клиентов Microsoft Entra в один, иногда клиенты остаются в одиночку и остаются отдельными в течение длительного или неопределенного периода времени.

Этот сценарий также может произойти, когда организации или компании хотят оставаться отдельными, так как другие организации могут приобрести свою компанию в будущем. Если организация держит клиентов Microsoft Entra изолированными и не консолидирует их, то при будущем слиянии или приобретении одной сущности меньше работы.

Нормативные или региональные требования к соответствию

Некоторые организации имеют строгие нормативные или страновые/региональные рамки и механизмы контроля соответствия (например, стандарты Великобритании, Закон Сарбейнса-Оксли (SOX) или NIST). Организации могут создавать несколько арендаторов Microsoft Entra для удовлетворения и соответствия этим требованиям.

Некоторые организации, имеющие офисы и пользователей по всему миру с более строгими регулированиями в области размещения данных, также могут создавать несколько клиентов Microsoft Entra. Но это конкретное требование обычно решается в одном тенанте Microsoft Entra с помощью функций, таких как Microsoft 365 Multi-Geo.

Другой сценарий заключается в том, что организациям требуется Azure Government (правительство США) или Azure China (под управлением 21Vianet). Для этих национальных облачных экземпляров Azure требуются собственные клиенты Microsoft Entra. Клиенты Microsoft Entra предназначены исключительно для этого национального облачного экземпляра Azure и используются для служб управления удостоверениями и доступом Azure в этом облачном экземпляре Azure.

Совет

Дополнительные сведения о сценариях идентификации национального и регионального облака Azure см. в следующих статье:

• Идентификация Azure для государственных учреждений
• Azure China: межграничное подключение и взаимодействие
• аутентификации Microsoft Entra & национальных и региональных облаков

Как и в предыдущих сценариях, если в вашей организации есть регуляторная или страновая/региональная структура для соблюдения требований, вам может не понадобиться несколько клиентов Microsoft Entra в качестве подхода по умолчанию. Большинство организаций могут соблюдать рамки в одном клиенте Microsoft Entra с помощью таких функций, как Управление Привилегированными Удостоверениями и Административные единицы.

Требования к изоляции подразделения или организации и автономии

Некоторые организации могут иметь сложные внутренние структуры в нескольких бизнес-подразделениях, или они могут требовать высокого уровня изоляции и автономии между частями своей организации.

Если этот сценарий возникает, а средства и рекомендации в изоляции ресурсов в одном экземпляре клиента не могут обеспечить требуемый уровень изоляции, вам может потребоваться развернуть, администрировать и эксплуатировать несколько арендаторов Microsoft Entra.

В таких сценариях чаще отсутствие централизованных функций, которые отвечают за развертывание, управление и эксплуатацию этих нескольких клиентов. Вместо этого они полностью передаются отдельному бизнес-подразделению или части организации для запуска и управления ими. Централизованная архитектура, стратегия или команда в стиле CCoE по-прежнему может предоставлять руководство и рекомендации по наилучшим практикам, которые должны быть настроены в отдельном арендаторе Microsoft Entra.

Предупреждение

Организации, имеющие операционные роли и обязанности, создают проблемы между командами, которые управляют клиентом Microsoft Entra организации. Azure должна определять приоритеты при создании и согласовании четкого RACI между двумя командами. Это действие гарантирует, что обе команды могут работать и доставлять свои услуги в организацию и своевременно обеспечивать ценность для бизнеса.

Некоторые организации имеют облачную инфраструктуру и группы разработки, использующие Azure. Организации полагаются на команду по управлению удостоверениями, которая контролирует корпоративный клиентский тенант Microsoft Entra для создания и управления учетными записями службы или группами. Если не существует согласованного RACI, часто возникает отсутствие процесса и понимания между командами, что приводит к трениям между командами и по всей организации. Некоторые организации считают, что несколько клиентов Microsoft Entra являются единственным способом преодолеть эту проблему.

Но несколько клиентов Microsoft Entra создают проблемы для конечных пользователей, повышает сложность защиты, управления и управления несколькими клиентами, а также потенциально увеличивает затраты на лицензирование. Лицензии, такие как Microsoft Entra ID P1 или P2, не охватывают несколько клиентов Microsoft Entra. Иногда использование Microsoft Entra B2B может помочь избежать дублирования лицензий для некоторых функций и служб. Если вы планируете использовать Microsoft Entra B2B в своем развертывании, просмотрите условия лицензирования каждой функции и службы, а также возможность поддержки для соответствия требованиям Microsoft Entra B2B.

Организации в этой ситуации должны устранить операционные проблемы, чтобы команды могли совместно работать в одном клиенте Microsoft Entra, а не создавать несколько клиентов Microsoft Entra в качестве обходного решения.

Независимый поставщик программного обеспечения (ISV) для доставки приложений SaaS из Azure

Поставщики независимого программного обеспечения (ISV), которые предоставляют своим клиентам продукты SaaS (программное обеспечение как услуга), могут извлечь выгоду из использования нескольких клиентов Microsoft Entra для работы с Azure.

Если вы являетесь ISV, возможно, у вас есть разделение между вашим корпоративным клиентом Microsoft Entra, включая использование Azure, для ваших обычных бизнес-задач, таких как электронная почта, общий доступ к файлам и внутренние приложения. Кроме того, у вас может быть отдельный клиент Microsoft Entra, где подписки Azure размещают и предоставляют приложения SaaS, которые вы предлагаете своим конечным клиентам. Этот подход является общим и разумным, так как он защищает вас и клиентов от инцидентов безопасности.

Дополнительные сведения см. в Независимые поставщики программного обеспечения (ISV) для зон посадки Azure.

Тестирование на уровне клиента / тестирование Microsoft 365

Некоторые действия и функции в продуктах, службах и предложениях Microsoft Cloud можно протестировать только в отдельном клиенте Microsoft Entra. Ниже приведены некоторые примеры.

• Microsoft 365 — Exchange Online, SharePoint и Teams
• Идентификатор Microsoft Entra ID – Microsoft Entra Connect, уровни риска защиты Идентификатора Microsoft Entra и приложения SaaS.
• Тестирование скриптов, использующих API Microsoft Graph, которые могут повлиять и внести изменения в рабочую среду.

Если вы хотите выполнить тестирование, например предыдущие сценарии, отдельный клиент Microsoft Entra является единственным вариантом.

Но отдельный клиент Microsoft Entra не для размещения подписок Azure, содержащих рабочие нагрузки независимо от среды, например разработки и тестирования. Даже среды разработки и тестирования должны содержаться в обычном клиенте Microsoft Entra для рабочей среды.

Совет

Сведения о том, как выполнять тестирование целевых зон Azure и рабочих нагрузок Azure или ресурсов в целевых зонах Azure, см. в статье:

• Как обрабатывать зоны высадки для рабочих нагрузок dev/test/production в архитектуре зон высадки Azure?
• подход тестирования для посадочных зон Azure

Низовые зоны / Тень ИТ / стартапы

Если команда хочет быстро внедрять инновации, они могут создать отдельный клиент Microsoft Entra, чтобы помочь им двигаться как можно быстрее. Они могут, намеренно или непреднамеренно, обойти процесс и инструкции центральной или платформенной команды по получению доступа к среде Azure для осуществления инноваций.

Этот сценарий распространен в стартапах, где они настраивают собственный клиент Microsoft Entra для запуска, размещения и управления бизнесом и службами. Как правило, это ожидается, но при приобретении стартапов дополнительный клиент Microsoft Entra создает точку принятия решений, в которой ИТ-команды приобретающей организации решают, что делать дальше.

Дополнительные сведения о том, как ориентироваться в этом сценарии, см. в разделах Слияния и приобретения и независимых поставщиков программного обеспечения (ISV), предоставляющих приложения SaaS из Azure в этой статье.

Важный

Мы настоятельно рекомендуем командам платформы обеспечить наличие легкодоступного и эффективного процесса, чтобы предоставить командам доступ к подписке или подпискам песочницы Azure, размещённым в корпоративном или основном клиенте Microsoft Entra организации. Этот процесс предотвращает возникновение теневых ИТ-сценариев и предотвращает проблемы в будущем для всех заинтересованных сторон.

Дополнительные сведения о песочницах см. в руководстве по группам управления в разделе проектирования организации ресурсов.

Сводка

Как описано в сценариях, существует несколько причин, по которым в вашей организации может потребоваться несколько клиентов Microsoft Entra. Но при создании нескольких арендаторов для удовлетворения требований в этих сценариях добавляется сложность и операционные задачи для поддержания нескольких арендаторов, а также потенциально увеличиваются затраты в связи с лицензионными требованиями. Дополнительные сведения см. в статье Рекомендации и рекомендации по целевым зонам Azure в мультитенантных сценариях.

Дальнейшие действия

Соображения и рекомендации по мультитенантным сценариям целевой зоны Azure