多個 Microsoft Entra 租戶的情境
一個組織可能需要或想要調查多個 Microsoft Entra 租用戶的原因有幾個。 最常見的案例包括:
- 合併和收購
- 法規或國家/地區合規性需求
- 業務單位或組織隔離與自主需求
- 獨立軟體廠商 (ISV) 從 Azure 提供 SaaS 應用程式
- 租用戶層級測試與 Microsoft 365 測試
- 草根/影子 IT/初創公司
合併和收購
隨著組織的成長,他們可能會收購其他公司或組織。 這些收購案很可能已經有現有的 Microsoft Entra 租戶,這些租戶負責托管並提供服務,例如 Microsoft 365(Exchange Online、SharePoint、OneDrive 或 Teams)、Dynamics 365,以及 Microsoft Azure,給公司或組織。
一般而言,在併購中,兩個 Microsoft Entra 租戶會合併成單一 Microsoft Entra 租戶。 這項整合可減少管理額外負荷、改善共同作業體驗,並將單一品牌身分識別呈現給其他公司和組織。
重要
自訂網域名稱(例如,contoso.com)一次只能與一個 Microsoft Entra 租用戶相關聯。 因此,合併租戶是比較好的,因為合併或收購情況發生時,所有身分識別都可以使用單一自訂網域名稱。
由於將兩個 Microsoft Entra 租用戶合併為一個的複雜性,這些租用戶有時會長期或無限期地單獨存在。
當組織或公司想要保持獨立時,也可能會發生此案例,因為其他組織未來可能會取得其公司。 如果組織將 Microsoft Entra 租戶保持隔離且不合併它們,這樣在未來合併或收購單一實體時,工作量較少。
法規或國家/地區合規性需求
某些組織有嚴格的法規或國家/地區合規性控制和架構(例如,英國官方、薩班斯·奧克斯利(SOX)或 NIST)。 組織可能會建立多個 Microsoft Entra 租戶,以遵循這些架構。
某些在全球各地設有辦公室和使用者的組織,由於數據駐留法規更嚴格,可能也會建立多個 Microsoft Entra 租戶。 但這項特定需求通常會透過在單一 Microsoft Entra 租戶中使用功能來解決,例如 Microsoft 365 多地理位置。
另一個案例是當組織需要 Azure 政府(美國政府) 或 Azure 中國(由 21Vianet 運作)。 這些國家級的 Azure 雲端實例需要其專屬的 Microsoft Entra 租戶。 Microsoft Entra 租使用者僅供該國家 Azure 雲端實例使用,並用於該 Azure 雲端實例內的 Azure 訂用帳戶身分識別和存取管理服務。
就像在先前的案例中一樣,如果您的組織具有需要符合的法規或國家/地區合規性架構,您可能不需要多個 Microsoft Entra 租用戶作為預設方法。 大部分的組織都可以透過使用功能,例如 特權身份管理 和 管理單位,在單一 Microsoft Entra 租戶內符合這些框架。
業務單位或組織的隔離與自主性需求
某些組織在多個業務單位之間可能有複雜的內部結構,或可能需要組織部分之間的高度隔離和自主性。
發生此案例時,單一租使用者 資源隔離中的工具和指引 無法提供所需的隔離等級,您可能必須部署、管理及操作多個Microsoft Entra 租使用者。
在這類情況中,缺乏負責部署、管理及操作多租戶的集中式功能是比較常見的。 相反地,資源會完整交給獨立運營的業務單位或組織中的某一部分,以進行管理和操作。 集中式架構、策略或 CCoE 樣式的團隊可能仍會針對必須在個別 Microsoft Entra 租用戶中設定的最佳做法提供指引和建議。
警告
具有營運角色與責任的組織會在負責營運組織的 Microsoft Entra 租使用者的團隊之間造成挑戰。 Azure 應優先制定並同意這兩個團隊之間的明確分工責任(RACI)表。 此動作可確保這兩個小組都能工作並提供其服務給組織,並及時將價值提供給業務。
某些組織有使用 Azure 的雲端基礎結構和開發小組。 組織依賴擁有公司層級 Microsoft Entra 租戶控制權的身分識別團隊,以進行服務主體或群組的建立和管理。 如果沒有達成共識的 RACI,團隊間通常缺乏流程和共識,這會導致團隊之間以及整個組織內部發生摩擦。 某些組織認為,使用多個 Microsoft Entra 租戶是克服這項挑戰的唯一方法。
但是,多個Microsoft Entra 租使用者會為終端用戶帶來挑戰、提高保護、管理和管理多個租用戶的複雜性,並可能會增加授權成本。 授權,例如 Microsoft Entra ID P1 或 P2,不會跨越多個 Microsoft Entra 租戶。 有時候,Microsoft Entra B2B 使用有助於減少某些功能和服務的授權重複。 如果您打算在部署中使用Microsoft Entra B2B,請檢閱每項功能和服務的授權條款及支援性,以取得Microsoft Entra B2B 資格。
在此情況下,組織應解決運作上的挑戰,以確保團隊可以在單一 Microsoft Entra 租戶中合作,而不是建立多個 Microsoft Entra 租戶作為因應措施。
從 Azure 傳遞 SaaS 應用程式的獨立軟體廠商 (ISV)
將 SaaS(軟體即服務)產品提供給客戶的ISV,可能會因擁有多個Microsoft Entra 租使用者來使用 Azure 而受益。
如果您是 ISV,則您可能會將公司 Microsoft Entra 租戶與日常業務活動所需的服務分開,例如 Azure 使用量、電子郵件、檔案共用和內部應用程式。 您可能也會有個別的 Microsoft Entra 租戶,其中 Azure 訂閱會託管並提供您提供給終端客戶的 SaaS 應用程式。 這種方法很常見且合理,因為它可保護您和您的客戶免於發生安全性事件。
如需詳細資訊,請參閱Azure 登陸區域的獨立軟體廠商(ISV)考慮事項。
租戶層級測試 / Microsoft 365 測試
Microsoft雲端產品、服務和供應專案中的某些活動和功能只能在個別的 Microsoft Entra 租使用者中進行測試。 一些範例包括:
- Microsoft 365 – Exchange Online、SharePoint 和 Teams
- Microsoft Entra ID – Microsoft Entra Connect、Microsoft Entra ID Protection Risk Levels 和 SaaS 應用程式
- 測試使用 Microsoft Graph API 的腳本,並且能夠影響並更改生產環境
當您想要像先前的案例一樣執行測試時,單獨 Microsoft Entra 租戶是唯一的選項。
但個別Microsoft Entra 租使用者 不 裝載包含工作負載的 Azure 訂用帳戶,例如開發/測試。 即使是開發/測試環境也應該被包含在您的一般「生產環境」Microsoft Entra 租用戶中。
提示
如需如何在 Azure 登陸區域環境中處理測試 Azure 登陸區域和 Azure 工作負載或資源的相關信息,請參閱:
草根/ 影子 IT / 初創公司
如果團隊想要快速創新,他們可能會建立一個個別的 Microsoft Entra 租使用者,以協助他們儘快推進。 他們可能會刻意或無意地避免中央/平台團隊的流程和指引,以取得 Azure 環境的存取權並進行創新。
在新創公司中,此情況很常見,它們會設定自己的 Microsoft Entra 租使用者,以執行、寄宿和操作商務及服務。 通常這是可以預期的,但當初創公司被收購時,額外的 Microsoft Entra 租戶會創造一個決策點,讓收購組織的 IT 團隊決定未來該如何行動。
如需有關如何處理此案例的詳細資訊,請參閱本文中的 合併和收購 章節與 獨立軟體廠商(ISV)從 Azure 提供 SaaS 應用程式 章節。
重要
強烈建議平台小組建立輕鬆且有效的流程,以便讓小組能夠存取組織中公司或主要 Microsoft Entra 租戶下的 Azure 沙盒訂用帳戶或多個訂用帳戶。 此程式可防止影子 IT 案例發生,並防止未來涉及各方的挑戰。
如需沙箱的詳細資訊,請參閱資源組織設計區域中 管理群組指引。
總結
如案例所述,貴組織可能需要多個 Microsoft Entra 租用戶的原因有很多。 但是,當您建立多個租使用者以符合這些案例中的需求時,它會增加複雜度和作業工作,以維護多個租使用者,並可能會增加授權需求的成本。 如需詳細資訊,請參閱 多租戶案例中 Azure 著陸區的考慮和建議。