مناطق هبوط Azure ومستأجري Azure Active Directory المتعددين
تم إنشاء مناطق هبوط Azure على مجموعات الإدارة. يتم تعيين نهج Azure ويتم وضع الاشتراكات في مجموعات الإدارة لتوفير عناصر تحكم الحوكمة المطلوبة التي تحتاجها المؤسسة لتلبية احتياجات الأمان والتوافق الخاصة بها.
تلميح
راجع تعيين التحكم في الأمان باستخدام مناطق هبوط Azure لمعرفة كيفية استخدام منطقة هبوط Azure ونهج Azure للمساعدة في تحقيق احتياجات الأمان والتوافق والاحتياجات التنظيمية لمؤسستك.
يتم نشر هذه الموارد داخل مستأجر Azure Active Directory (Azure AD) واحد. تدعم مجموعات الإدارة ومعظم موارد Azure الأخرى، مثل نهج Azure، فقط التشغيل داخل مستأجر Azure Active Directory واحد. يعتمد اشتراك Azure على مستأجر Azure Active Directory لمصادقة المستخدمين والخدمات والأجهزة مقابل Azure Resource Manager (ARM) للتحكم في عمليات الطائرة وبعض خدمات Azure، مثل Azure Storage، لعمليات مستوى البيانات.
يمكن أن تعتمد الاشتراكات المتعددة على نفس مستأجر Azure Active Directory. يمكن لكل اشتراك الاعتماد فقط على مستأجر Azure Active Directory واحد. لمزيد من المعلومات، راجع إضافة اشتراك Azure موجود إلى المستأجر الخاص بك.
في الرسم التخطيطي السابق، يتم نشر مجموعات الإدارة ونهج Azure واشتراكات Azure باتباع البنية المفاهيمية لمناطق هبوط Azure داخل مستأجر Azure Active Directory واحد.
يوصى بهذا النهج لمعظم المؤسسات بناء على متطلباتها. يمنح هذا الأسلوب المؤسسات أفضل تجربة تعاون ممكنة ويسمح لها بالتحكم في المستخدمين والموارد والتحكم فيها وعزلها داخل مستأجر Azure Active Directory واحد.
قد يطلب من مؤسستك استخدام العديد من مستأجري Azure Active Directory للعديد من السيناريوهات. تعرف على كيفية نشر وإدارة توزيع منطقة Azure المنتقل إليها في كل من هذه المستأجرين والاعتبارات والتوصيات للتعامل مع العديد من مستأجري Azure Active Directory.
ملاحظة
تركز هذه المقالة على Azure، وليس Microsoft 365 أو عروض Microsoft Cloud الأخرى، مثل Dynamics 365 أو Power Platform.
وهو يركز على النظام الأساسي بدلا من التطبيقات التي تم إنشاؤها على رأس النظام الأساسي في المستأجرين. للحصول على معلومات حول العديد من مستأجري Azure Active Directory وبنية التطبيق، راجع:
لماذا يكون مستأجر Azure Active Directory واحد كافيا
هناك أسباب قد تحتاج إلى العديد من مستأجري Azure Active Directory، ولكن من المهم فهم سبب كون مستأجر Azure Active Directory واحد كافيا عادة. يجب أن تكون نقطة البداية الافتراضية لجميع المؤسسات.
استخدم مستأجر Azure Active Directory الحالي للشركات لاشتراكات Azure للحصول على أفضل تجربة إنتاجية وتعاون عبر النظام الأساسي.
داخل مستأجر واحد، يمكن أن يكون لفرق التطوير ومالكي التطبيقات الأدوار الأقل امتيازا لإنشاء مثيلات غير إنتاجية لموارد Azure والتطبيقات الموثوق بها وتطبيقات الاختبار ومستخدمي الاختبار والمجموعات ونهج الاختبار لتلك الكائنات. لمزيد من المعلومات حول كيفية تفويض الإدارة مع مستأجر واحد، راجع عزل الموارد في مستأجر واحد.
إنشاء المزيد من مستأجري Azure Active Directory فقط عندما تكون هناك متطلبات لا يمكن تلبيتها باستخدام مستأجر Azure Active Directory الخاص بالشركة.
باستخدام Microsoft 365، يكون مستأجر Azure Active Directory الخاص بالشركة هو عموما أول مستأجر يتم توفيره في المؤسسة. يستخدم هذا المستأجر للوصول إلى تطبيقات الشركة وخدمات Microsoft 365. وهو يدعم التعاون داخل المؤسسة. السبب في البدء بهذا المستأجر الحالي هو أنه تم بالفعل توفيره وإدارته وتأمينه. من المحتمل أن تكون دورة الحياة المحددة للهويات قد تم إنشاؤها بالفعل. تسهل هذه الدورة التدريبية مهمة إلحاق التطبيقات والموارد والاشتراكات الجديدة. إنها بيئة ناضجة ومفهومة مع عملية وإجراءات وضوابط راسخة.
التعقيدات مع العديد من مستأجري Azure Active Directory
عند إنشاء مستأجر Azure Active Directory جديد، يتطلب الأمر عملا إضافيا لتوفير الهويات وإدارتها وتأمينها والتحكم فيها. يجب عليك أيضا إنشاء النهج والإجراءات المطلوبة. التعاون هو الأفضل في مستأجر Azure Active Directory واحد. يؤدي الانتقال إلى نموذج متعدد المستأجرين إلى إنشاء حد، مما قد يؤدي إلى احتكاك المستخدم، والنفقات العامة للإدارة، وزيادة مساحة سطح الهجوم، ما قد يتسبب في مخاطر أمنية ويعقد سيناريوهات المنتج وقيوده. من بين الأمثلة:
- هويات متعددة للمستخدمين والمسؤولين لكل مستأجر - إذا لم يتم استخدام Azure Active Directory B2B ، فإن المستخدم لديه مجموعات متعددة من بيانات الاعتماد لإدارتها. لمزيد من المعلومات، راجع الاعتبارات والتوصيات لسيناريوهات منطقة Azure المنتقل إليها متعددة المستأجرين.
- قيود خدمات Azure في دعم العديد من مستأجري Azure Active Directory - أحمال عمل Azure التي تدعم الهويات الموجودة في المستأجر الذي يرتبط به فقط. لمزيد من المعلومات، راجع تكامل منتجات وخدمات Azure Active Directory.
- لا يوجد تكوين مركزي أو إدارة لمستأجري Azure Active Directory - نهج أمان متعددة ونهج إدارة وتكوين ومداخل وواجهات برمجة التطبيقات وعمليات JML (المنضمين والمحركات والمغادرين).
- تعقيدات الفوترة والترخيص والمتطلبات المحتملة لازدواجية الترخيص لتراخيص Azure Active Directory Premium - لمزيد من المعلومات، راجع الاعتبارات والتوصيات لسيناريوهات منطقة Azure المنتقل إليها متعددة المستأجرين.
يجب أن تكون المؤسسات واضحة حول سبب انحرافها عن نموذج مستأجر Azure Active Directory الخاص بالشركة لضمان تبرير الحمل الإضافي والتعقيد في تلبية المتطلبات. هناك أمثلة على هذه المثيلات في مقالة السيناريوهات.
دور المسؤول العام (مسؤول العالمي) هو مصدر قلق آخر. يوفر دور مسؤول العمومي أعلى مستوى من الأذونات المتوفرة في مستأجر Azure Active Directory. في Azure، يمكن لأي مسؤول عمومي أن يفترض التحكم في أي اشتراك Azure مرتبط بمستأجر Azure Active Directory. لمزيد من المعلومات، راجع رفع مستوى الوصول لإدارة كافة اشتراكات Azure ومجموعات الإدارة.
هام
يجب استخدام Azure Active Directory Privileged Identity Management للمساعدة في حماية هذا الدور والأدوار المتميزة الأخرى داخل Azure Active Directory وAzure.
يمكن أن توفر ملكية هذا الدور عبر الفرق والأقسام الداخلية تحديا لأن فريق الهوية وفريق Azure غالبا ما يكون في فرق وأقسام وهياكل مؤسسة مختلفة.
الفرق التي تشغل Azure مسؤولة عن خدمات Azure وتريد ضمان أمان الخدمات التي يديرونها. عندما يكون للأفراد خارج هذا الفريق أدوار لديهم القدرة على الوصول إلى بيئاتهم المحتملة، يكون الأمان أضعف. لمزيد من المعلومات، راجع فهم الوظائف السحابية المطلوبة.
يوفر Azure Active Directory عناصر تحكم تساعد في التخفيف من هذه المشكلة على المستوى التقني، ولكن هذه المشكلة هي أيضا مناقشة الأشخاص والعملية. لمزيد من المعلومات، راجع التوصيات.
هام
مستأجرو Azure Active Directory المتعددون ليسوا النهج الموصى به لمعظم العملاء. يوصى بمستأجر Azure Active Directory واحد، عادة مستأجر Azure Active Directory الخاص بالشركة، لمعظم العملاء لأنه يوفر متطلبات الفصل الضرورية.
لمزيد من المعلومات، راجع: