Scenarier för flera Microsoft Entra-klienter
Det finns några orsaker till varför en organisation kan behöva, eller kanske vill undersöka, flera Microsoft Entra-klienter. De vanligaste scenarierna är:
- Fusioner och förvärv
- Regel- eller lands-/regionefterlevnadskrav
- Affärsenhet eller organisationsisolering och självständighetskrav
- Oberoende programvaruleverantör (ISV) som levererar SaaS-program från Azure
- testning på klientorganisationsnivå/Microsoft 365-testning
- Grassroots/Shadow IT/start-ups
Fusioner och förvärv
När organisationer växer med tiden kan de förvärva andra företag eller organisationer. Dessa förvärv har troligtvis befintliga Microsoft Entra-klienter som redan är värd för och tillhandahåller tjänster såsom Microsoft 365 (Exchange Online, SharePoint, OneDrive eller Teams), Dynamics 365 och Microsoft Azure till företaget eller organisationen.
I ett förvärv konsolideras vanligtvis de två Microsoft Entra-klienterna till en enda Microsoft Entra-klientorganisation. Den här konsolideringen minskar hanteringskostnaderna, förbättrar samarbetsupplevelsen och presenterar en enda varumärkesidentitet för andra företag och organisationer.
Viktig
Ett anpassat domännamn (till exempel contoso.com) kan bara associeras med en Microsoft Entra-klient i taget. Därför rekommenderas att konsolidera klientorganisationer eftersom ett enda anpassat domännamn kan användas av alla identiteter när ett fusions- eller förvärvsscenario inträffar.
På grund av komplexiteten i att konsolidera två Microsoft Entra-klienter till en, lämnas ibland klientorganisationer ensamma och förblir separata under en längre eller obegränsad tidsperiod.
Det här scenariot kan också inträffa när organisationerna eller företagen vill förbli åtskilda eftersom andra organisationer kan förvärva sitt företag i framtiden. Om en organisation håller Microsoft Entra-klientorganisationer isolerade och de inte konsoliderar dem blir det mindre arbete om det sker en framtida sammanslagning eller förvärv av en enda entitet.
Krav på regel- eller lands-/regionefterlevnad
Vissa organisationer har strikta regel- eller lands-/regionefterlevnadskontroller och ramverk (till exempel UK Official, Sarbanes Oxley (SOX) eller NIST). Organisationer kan skapa flera Microsoft Entra-klienter för att uppfylla och följa dessa ramverk.
Vissa organisationer som har kontor och användare över hela världen med striktare regler för datahemvist kan också skapa flera Microsoft Entra-klienter. Men det här specifika kravet hanteras vanligtvis i en enda Microsoft Entra-klientorganisation med hjälp av funktioner, till exempel Microsoft 365 Multi-Geo.
Ett annat scenario är när organisationer kräver Azure Government (US Government) eller Azure China (som drivs av 21Vianet). Dessa nationella Azure-molninstanser kräver sina egna Microsoft Entra-klienter. Microsoft Entra-klienter är endast för den nationella Azure-molnmiljön och används för identitets- och åtkomsthanteringstjänster för Azure-prenumerationer inom den Azure-molnmiljön.
Tips
Mer information om identitetsscenarier för azure-nationella/regionala moln finns i:
Precis som i tidigare scenarier kanske du inte behöver flera Microsoft Entra-klienter som standard om din organisation har ett regel- eller lands-/regionefterlevnadsramverk att följa. De flesta organisationer kan följa ramverken i en enda Microsoft Entra-klientorganisation med hjälp av funktioner som Privileged Identity Management och Administrativa enheter.
Krav på isolering och autonomi för affärsenhet eller organisation
Vissa organisationer kan ha komplexa interna strukturer i flera affärsenheter, eller så kan de kräva en hög grad av isolering och autonomi mellan delar av organisationen.
När det här scenariot inträffar, och verktygen och vägledningen i Resursisolering i en enda klientorganisation inte kan tillhandahålla den isoleringsnivå som krävs, kan du behöva distribuera, hantera och använda flera Microsoft Entra-klienter.
I scenarier som detta är det vanligare att det inte finns några centraliserade funktioner som ansvarar för att distribuera, hantera och använda dessa flera klienter. I stället överlämnas de i sin helhet till den avgränsade affärsenheten eller en del av organisationen för att köra och hantera. Ett centraliserat arkitektur-, strategi- eller CCoE-liknande team kan fortfarande ge vägledning och rekommendationer om bästa praxis som måste konfigureras i den separata Microsoft Entra-klientorganisationen.
Varning
Organisationer som har operativa roller och ansvarsområden skapar utmaningar mellan team som driver organisationens Microsoft Entra-klientorganisation. Azure bör prioritera att skapa och komma överens om en tydlig RACI mellan de två teamen. Den här åtgärden säkerställer att båda teamen kan arbeta och leverera sina tjänster till organisationen och ge företaget ett värde tillbaka i tid.
Vissa organisationer har molninfrastruktur- och utvecklingsteam som använder Azure. Organisationerna förlitar sig på ett identitetsteam som har kontroll över företagets Microsoft Entra-klient för att skapa och hantera tjänstehuvuden och grupper. Om det inte finns en överenskommen RACI finns det ofta en brist på process och förståelse mellan teamen, vilket leder till friktion mellan teamen och i hela organisationen. Vissa organisationer anser att flera Microsoft Entra-klienter är det enda sättet att lösa den här utmaningen.
Men flera Microsoft Entra-klienter skapar utmaningar för slutanvändare, ökar komplexiteten i att skydda, hantera och styra flera klienter och potentiellt öka licenskostnaderna. Licenser, till exempel Microsoft Entra ID P1 eller P2, omfattar inte flera Microsoft Entra-klienter. Ibland kan Microsoft Entra B2B-användning minska licensieringsdupliceringen för vissa funktioner och tjänster. Om du planerar att använda Microsoft Entra B2B i din distribution, ska du läsa licensvillkoren och stöd för varje funktion och tjänst för att säkerställa berättigande för Microsoft Entra B2B.
Organisationer i den här situationen bör lösa de operativa utmaningarna för att säkerställa att team kan arbeta tillsammans i en enda Microsoft Entra-klientorganisation i stället för att skapa flera Microsoft Entra-klienter som en lösning.
Oberoende programvaruleverantör (ISV) levererar SaaS-program från Azure
ISV:er som levererar sina SaaS-produkter (programvara som en tjänst) till sina kunder kan ha nytta av att ha flera Microsoft Entra-klienter för sin Azure-användning.
Om du är en ISV kan du ha en separation mellan företagets Microsoft Entra-klientorganisation, inklusive Azure-användning, för dina dagliga verksamheter, till exempel e-post, fildelning och interna applikationer. Du kan också ha en separat Microsoft Entra-klientorganisation där Azure-prenumerationer värdar och levererar de SaaS-programmen som du tillhandahåller till dina slutanvändare. Den här metoden är vanlig och förnuftig eftersom den skyddar dig och dina kunder från säkerhetsincidenter.
För mer information, se överväganden för oberoende programvaruleverantör (ISV) för Azure-landningszoner.
Testning på klientnivå/Microsoft 365-testning
Vissa aktiviteter och funktioner i Microsoft Cloud-produkter, tjänster och erbjudanden kan bara testas i en separat Microsoft Entra-klientorganisation. Några exempel är:
- Microsoft 365 – Exchange Online, SharePoint och Teams
- Microsoft Entra ID – Microsoft Entra Connect, Risknivåer för Microsoft Entra ID Protection och SaaS-program
- Testa skript som använder Microsoft Graph-API:et och kan påverka och göra ändringar i produktionen
När du vill utföra testning som tidigare scenarier är en separat Microsoft Entra-klientorganisation ditt enda alternativ.
Men den separata Microsoft Entra-klientorganisationen är inte för värdskap av Azure-prenumerationer som innehåller arbetslaster, oavsett miljö, till exempel dev/test. Även utvecklings-/testmiljöer bör i stället finnas i din vanliga Microsoft Entra-klientorganisation för produktion.
Tips
Information om hur du hanterar testning av Azure-landningszoner och Azure-arbetsbelastningar eller resurser i Azure-landningszoner finns i:
Grassroots/Shadow IT/Start-ups
Om ett team vill förnya snabbt kan de skapa en separat Microsoft Entra-klientorganisation som hjälper dem att röra sig så snabbt som möjligt. De kan avsiktligt eller oavsiktligt undvika den centrala/plattformsteamets process och vägledning för att få åtkomst till en Azure-miljö för att göra sin innovation.
Det här scenariot är vanligt i nystartade företag där de konfigurerar sin egen Microsoft Entra-klientorganisation för att köra, vara värd för och driva verksamheten och tjänsterna. Det är normalt att förvänta sig, men när nystartade företag förvärvas skapar den extra Microsoft Entra-klientorganisationen en beslutspunkt där den förvärvande organisationens IT-team bestämmer vad de ska göra framöver.
Mer information om hur du navigerar i det här scenariot finns i avsnitten Fusioner och förvärv och Oberoende programvaruleverantör (ISV) som levererar SaaS-program från Azure i den här artikeln.
Viktig
Vi rekommenderar starkt att plattformsteamen har en lättillgänglig och effektiv process för att ge team åtkomst till en Azure-sandbox-prenumeration eller prenumerationer som finns i företagets eller den primära Microsoft Entra-klientorganisationen för organisationen. Den här processen förhindrar att skugg-IT-scenarier inträffar och förhindrar framtida utmaningar för alla inblandade parter.
Mer information om sandboxar finns i Vägledning för hanteringsgrupper inom resursorganisationens designområde.
Sammanfattning
Som beskrivs i scenarierna finns det flera orsaker till varför din organisation kan kräva flera Microsoft Entra-klienter. Men när du skapar flera klienter för att uppfylla kraven i dessa scenarier, lägger det till komplexitet och operativa uppgifter för att underhålla flera klienter och potentiellt lägga till kostnader för licensieringskrav. Mer information finns i Överväganden och rekommendationer för Azure-landningszoner i scenarier med flera klienter.