Överväganden och rekommendationer för multiklientscenarier med Azure-landningszoner

Artikeln Azure-landningszoner och flera Microsoft Entra-klienter beskriver hur hanteringsgrupper och Azure Policy och prenumerationer interagerar och fungerar med Microsoft Entra-klienter. I artikeln beskrivs begränsningarna för dessa resurser när de används i en enda Microsoft Entra-klientorganisation. Om det finns flera Microsoft Entra-klientorganisationer eller krävs för en organisation måste Azure-landningszonerna distribueras till var och en av Microsoft Entra-klienterna separat.

Azure-landningszoner med flera Microsoft Entra-klienter

Diagram över flera Microsoft Entra-klienter med Azure-landningszoner distribuerade.

Det föregående diagrammet visar ett exempel på Contoso Corporation, som har fyra Microsoft Entra-klienter på grund av fusioner och förvärv eftersom företaget har vuxit med tiden.

Microsoft Entra-klientdomän *.onmicrosoft.com	Användningsanteckningar
contoso.onmicrosoft.com	Microsoft Entra-klientorganisation för primära företag som används av Contoso Corporation. Azure- och Microsoft 365-tjänster används i den här klientorganisationen.
fabrikam.onmicrosoft.com	Primär Microsoft Entra-klient som används av Fabrikam. Azure- och Microsoft 365-tjänster används i den här klientorganisationen. Denna klientorganisation har varit åtskild sedan Contoso Corporations förvärv.
tailwind.onmicrosoft.com	Primär Microsoft Entra-klient som används av Tailwind. Azure- och Microsoft 365-tjänster används i den här klientorganisationen. Denna klientorganisation har varit åtskild sedan Contoso Corporations förvärv.
contoso365test.onmicrosoft.com	Microsoft Entra-klient som används av Contoso Corporation för testning av Microsoft Entra-ID och Microsoft 365-tjänster och konfiguration. Alla Azure-miljöer finns i contoso.onmicrosoft.com Microsoft Entra-klientorganisationen.

Contoso Corporation började med en Microsoft Entra-klientorganisation för contoso.onmicrosoft.com. Med tiden gjorde de flera förvärv av andra företag och förde dessa företag till Contoso Corporation.

Förvärven av Fabrikam (fabrikam.onmicrosoft.com) och Tailwind (tailwind.onmicrosoft.com) medförde befintliga Microsoft Entra-klienter där Microsoft 365 (Exchange Online, SharePoint, OneDrive) och Azure-tjänster används inom. Dessa företag och tillhörande Microsoft Entra-klienter hålls åtskilda eftersom delar av Contoso Corporation och dess företag kan säljas i framtiden.

Contoso Corporation har en separat Microsoft Entra-klientorganisation för att testa Microsoft Entra-ID och Microsoft 365-tjänster och -funktioner. Men inga Azure-tjänster testas i den här separata Microsoft Entra-klientorganisationen. De testas i contoso.onmicrosoft.com Microsoft Entra-klientorganisationen.

Dricks

Mer information om hur du testar Azure-landningszoner och Azure-arbetsbelastningar och resurser i Miljöer för Azure-landningszoner finns i:

• Hantera "dev/test/production"-arbetsbelastningslandningszoner i Azure-landningszonarkitektur
• Testmetod för Azure-landningszoner

Kommentar

Azure-landningszoner distribueras i en enda Microsoft Entra-klientorganisation. Om du har flera Microsoft Entra-klienter som du vill distribuera Azure-resurser inom, och du vill styra, styra och övervaka dem med hjälp av Azure-landningszoner, måste du distribuera Azure-landningszoner inom var och en av dessa klienter individuellt.

Överväganden och rekommendationer för Azure-landningszoner i scenarier med flera klienter

I det här avsnittet beskrivs viktiga överväganden och rekommendationer om Azure-landningszoner och Microsoft Entra-scenarier och användning av flera klienter.

Att tänka på

• Börja med en enda klientmetod för din Microsoft Entra-klientdesign.
  • Den enda klientorganisationen är vanligtvis organisationens microsoft entra-klientorganisation där användarens identiteter finns och en tjänst, som Microsoft 365, körs.
  • Skapa bara fler Microsoft Entra-klienter när det finns krav som inte kan uppfyllas med hjälp av företagets Microsoft Entra-klientorganisation.
• Överväg att använda administrativa Microsoft Entra-ID-enheter för att hantera segregering och isolering av användare, grupper och enheter (till exempel olika team) i en enda Microsoft Entra-klientorganisation. Använd den här resursen i stället för att skapa flera Microsoft Entra-klienter.
• Överväg att använda sandbox-prenumerationer för den inledande programarbetsbelastningens utveckling och undersökning. Mer information finns i Hantera "dev/test/production"-arbetsbelastningslandningszoner i Azure-landningszonarkitektur.
• Migrering av Azure-prenumerationer mellan Microsoft Entra-klienter är komplext och kräver att aktiviteter före och efter migreringen slutförs för att möjliggöra en migrering. Mer information finns i Överföra en Azure-prenumeration till en annan Microsoft Entra-katalog. Det är enklare att återskapa programarbetsbelastningen i en ny Azure-prenumeration i målklientorganisationen. Det ger dig mer kontroll över migreringen.
• Överväg komplexiteten med att hantera, styra, konfigurera, övervaka och skydda flera Microsoft Entra-klienter. En enda Microsoft Entra-klientorganisation är enklare att hantera, styra och skydda.
• Överväg processen, arbetsflödena och verktygen för JML (kopplingar, movers och leavers). Se till att dessa resurser kan stödja och hantera flera Microsoft Entra-klienter.
• Tänk på effekten på slutanvändarna när de hanterar, styr och skyddar flera identiteter för sig själva.
• När du väljer flera Microsoft Entra-klienter bör du överväga effekten på samarbete mellan klientorganisationer, särskilt från slutanvändarens perspektiv. Microsoft 365-samarbetsupplevelsen och supporten mellan användare inom en enda Microsoft Entra-klientorganisation är optimal.
• Överväg effekten på gransknings- och regelefterlevnadskontroller för flera Microsoft Entra-klienter innan du väljer en metod.
• Överväg att öka licenskostnaderna när flera Microsoft Entra-klienter används. Licenser för produkter som Microsoft Entra ID P1 eller P2 eller Microsoft 365-tjänster sträcker sig inte över Microsoft Entra-klienter.
• En enda ugovor za preduzeća registrering kan stödja och tillhandahålla prenumerationer till flera Microsoft Entra-klienter genom att ange autentiseringsnivån för registreringen till arbets- och skolkonto mellan klientorganisationer. Mer information finns i Administration av Azure EA-portalen.
• En enda Microsoft korisnički ugovor kan stödja och tillhandahålla prenumerationer till flera Microsoft Entra-klienter. Mer information finns i Hantera klienter i ditt Microsoft korisnički ugovor faktureringskonto.
• När du väljer en Microsoft Entra-arkitektur för flera klientorganisationer bör du överväga de begränsningar som kan uppstå för programteam och utvecklare. Tänk på begränsningar i Microsoft Entra-integrering för Azure-produkter och -tjänster, till exempel Azure Virtual Desktop, Azure Files och Azure SQL. Mer information finns i avsnittet Microsoft Entra-integrering i Azure-produkter och -tjänster i den här artikeln.
• Överväg att använda Microsoft Entra B2B för att förenkla och förbättra användarupplevelsen och administrationen när din organisation har flera Microsoft Entra-klienter.
• Överväg att använda Microsoft platforma za identitete, med Microsoft Entra-ID med B2B- och B2C-funktioner, så att utvecklare kan skapa program i en enda Azure-prenumeration och inom en enda klientorganisation. Den här metoden stöder användare från många identitetskällor. Mer information finns i appar med flera klientorganisationer och Architect-lösningar för flera klientorganisationer i Azure.
• Överväg att använda de funktioner som är tillgängliga för organisationer med flera klientorganisationer. För mer information, se Vad är en fleranvändarorganisation i Microsoft Entra ID.
• Överväg att hålla din Azure-landningszon uppdaterad.

Azure-produkter och -tjänster Microsoft Entra-integrering

Många Azure-produkter och -tjänster stöder inte Microsoft Entra B2B som en del av deras interna Microsoft Entra-integrering. Det finns bara ett fåtal tjänster som stöder Microsoft Entra B2B-autentisering som en del av deras Microsoft Entra-integreringar. Det är säkrare att tjänsten som standard inte stöder Microsoft Entra B2B som en del av deras Microsoft Entra-integrering.

Tjänster som tillhandahåller en intern integrering med Microsoft Entra-ID, till exempel Azure Storage, Azure SQL, Azure Files och Azure Virtual Desktop, använder stilen "one-click" eller "no-click" för att integrera. De kräver autentiserings- och auktoriseringsscenarier som en del av sin tjänst. Den här metoden stöds vanligtvis mot "hemklientorganisationen" och vissa tjänster kan aktivera stöd för Microsoft Entra B2B/B2C-scenarier. Mer information om Azure-prenumerationens relation till Microsoft Entra-ID finns i Associera eller lägga till en Azure-prenumeration i din Microsoft Entra-klientorganisation.

Det är viktigt att noga överväga vilken Microsoft Entra-klientorganisation dina Azure-prenumerationer är associerade med. Den här relationen avgör vilka produkter och tjänster samt deras funktioner, program- eller arbetsbelastningsteam som behöver stöd för identiteterna och från vilken klientorganisation identiteterna kommer från. Identiteter finns vanligtvis i företagets Microsoft Entra-klientorganisation.

Om flera Microsoft Entra-klienter används som värd för alla Azure-prenumerationer kan programarbetsbelastningsteam inte dra nytta av vissa Azure-produkter och -tjänster som Microsoft Entra-integreringar. Om programarbetsbelastningsteamen måste utveckla sina program kring de här begränsningarna blir autentiserings- och auktoriseringsprocessen mer komplex och mindre säker.

Undvik det här problemet genom att använda en enda Microsoft Entra-klientorganisation som hem för alla dina Azure-prenumerationer. En enskild klientorganisation är den bästa metoden för autentisering och auktorisering för ditt program eller din tjänst. Den här enkla arkitekturen ger programarbetsbelastningsteamet mindre att hantera, styra och kontrollera, och det tar bort potentiella begränsningar.

Mer information finns i Resursisolering i en enda klientorganisation.

Rekommendationer

• Använd en enda Microsoft Entra-klientorganisation, som vanligtvis är företagets Microsoft Entra-klientorganisation. Skapa bara fler Microsoft Entra-klienter när det finns krav som inte kan uppfyllas med hjälp av företagets Microsoft Entra-klientorganisation.
• Använd sandbox-prenumerationer för att ge programteam säkra, kontrollerade och isolerade utvecklingsmiljöer i samma enda Microsoft Entra-klientorganisation. Mer information finns i Hantera "dev/test/production"-arbetsbelastningslandningszoner i Azure-landningszonarkitektur.
• Använd Microsoft Entra-program med flera klienter när du skapar integreringar från operativa verktyg, till exempel ServiceNow, och ansluter dem till flera Microsoft Entra-klienter. Mer information finns i Metodtips för alla isoleringsarkitekturer.
• Om du är en ISV kan du läsa Överväganden för oberoende programvaruleverantör (ISV) för Azure-landningszoner.
• Använd Azure Lighthouse för att förenkla hanteringsupplevelser mellan klientorganisationer. Mer information finns i Azure Lighthouse-användning i Azure-landningszoner med flera klientscenarier.
• På dina ugovor za preduzeća registreringar eller Microsoft korisnički ugovor som finns i microsoft Entra-målklientorganisationen skapar du kontoägare, fakturaavsnittsägare och prenumerationsskapare. Tilldela ägare och skapare till de prenumerationer som de skapar för att undvika att behöva ändra kataloger i Azure-prenumerationer när de har skapats . Mer information finns i Lägga till ett konto från en annan Microsoft Entra-klientorganisation och Hantera klienter i ditt Microsoft korisnički ugovor faktureringskonto.
• Se säkerhetsåtgärdsguiden för Microsoft Entra.
• Behåll antalet globala administratörskonton till ett minimum, mindre än 5 är att föredra.
• Aktivera Privileged Identity Management (PIM) för alla administratörskonton för att säkerställa att det inte finns någon stående behörighet och för att ge JIT-åtkomst.
• Kräv godkännande i PIM för att aktivera viktiga roller, till exempel rollen Global administratör. Överväg att skapa godkännare från flera team för att godkänna användning av global administratör.
• Aktivera övervakning och meddelanden till alla nödvändiga intressenter om aktiveringen av rollen Global administratör.
• Se till att inställningen "Åtkomsthantering för Azure-resurser" på globala administratörer är inställd på Nej där den inte krävs.

Viktigt!

Microsoft rekommenderar att du använder roller med minst behörighet. Detta bidrar till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.

• Aktivera och konfigurera följande Microsoft Entra-tjänster och -funktioner för att förenkla multitenantupplevelsen för administration och användare i din organisation:
  • B2B-samarbete
  • B2B-direktanslutning
  • Åtkomstinställningar mellan klientorganisationer
  • Synkronisering mellan klientorganisationer
  • Fleranvändarorganisation
• För organisationer med en Microsoft Entra-klientorganisation i flera Microsoft-moln, till exempel Microsoft Azure Commercial Cloud, Microsoft Azure China 21Vianet, Microsoft Azure Government, konfigurerar du Microsoft-molninställningar för B2B-samarbete för att förenkla användarupplevelsen när du samarbetar mellan klienter.
• Programteam och utvecklare bör granska följande resurser när program och tjänster skapas för flera innehavare:
  • appar med flera klientorganisationer i Microsoft Entra ID
  • Arkitektera multitenantlösningar på Azure

Nästa steg

Automatisera Azure-landningszoner mellan flera klienter