مشاركة عبر

سيناريوهات لمستأجري Azure Active Directory المتعددين

  • مقالة

هناك بعض الأسباب التي قد تجعل المؤسسة تحتاج إلى العديد من مستأجري Azure Active Directory أو قد ترغب في التحقيق فيها. السيناريوهات الأكثر شيوعا هي:

عمليات الدمج والاستحواذ

مع نمو المؤسسات بمرور الوقت، قد تحصل على شركات أو مؤسسات أخرى. من المحتمل أن يكون لدى هذه الاستحواذات مستأجرو Azure Active Directory الحاليون بالفعل الذين يستضيفون ويوفرون الخدمات، مثل Microsoft 365 (Exchange Online أو SharePoint أو OneDrive أو Teams) Dynamics 365 وMicrosoft Azure للشركة أو المؤسسة.

عادة، في عملية الاستحواذ، يتم دمج مستأجري Azure Active Directory في مستأجر Azure Active Directory واحد. يقلل هذا الدمج من النفقات العامة للإدارة، ويحسن تجربة التعاون، ويقدم هوية علامة تجارية واحدة للشركات والمؤسسات الأخرى.

هام

يمكن ربط اسم مجال مخصص (على سبيل المثال، contoso.com) بمستأجر Azure Active Directory واحد فقط في كل مرة. لذلك، يفضل دمج المستأجرين لأنه يمكن استخدام اسم مجال مخصص واحد من قبل جميع الهويات عند حدوث سيناريو دمج أو استحواذ.

نظرا لتعقيدات دمج اثنين من مستأجري Azure Active Directory في مستأجر واحد، في بعض الأحيان يترك المستأجرون وحدهم ويظلون منفصلين لفترة طويلة أو غير محددة من الوقت.

يمكن أن يحدث هذا السيناريو أيضا عندما ترغب المؤسسات أو الشركات في البقاء منفصلة لأن المؤسسات الأخرى قد تحصل على شركتها في المستقبل. إذا أبقت المؤسسة مستأجري Azure Active Directory معزولين ولم يدمجوهم، فهناك عمل أقل إذا كان هناك دمج أو اقتناء مستقبلي لكيان واحد.

متطلبات الامتثال التنظيمية أو البلد/المنطقة

لدى بعض المؤسسات ضوابط وأطر امتثال تنظيمية أو قطرية/منطقة صارمة (على سبيل المثال، UK Official أو Sarbanes Oxley (SOX) أو NIST). قد تنشئ المؤسسات العديد من مستأجري Azure Active Directory لتلبية إطارات العمل هذه والامتثال لها.

قد تنشئ بعض المؤسسات التي لديها مكاتب ومستخدمون في جميع أنحاء العالم مع لوائح موقع بيانات أكثر صرامة أيضا العديد من مستأجري Azure Active Directory. ولكن عادة ما تتم معالجة هذا المطلب المحدد داخل مستأجر Azure Active Directory واحد باستخدام ميزات، مثل Microsoft 365 Multi-Geo.

سيناريو آخر هو عندما تتطلب المؤسسات Azure Government (حكومة الولايات المتحدة) أو Azure China (المشغلة بواسطة 21Vianet). تتطلب مثيلات سحابة Azure الوطنية هذه مستأجري Azure Active Directory الخاصين بهم. مستأجرو Azure Active Directory هم فقط لمثيل سحابة Azure الوطني هذا ويستخدمون لهوية اشتراكات Azure وخدمات إدارة الوصول داخل مثيل سحابة Azure هذا.

تلميح

لمزيد من المعلومات حول سيناريوهات هوية سحابة Azure الوطنية/الإقليمية، راجع:

كما هو الحال في السيناريوهات السابقة، إذا كان لدى مؤسستك إطار توافق تنظيمي أو بلد/منطقة للامتثال له، فقد لا تحتاج إلى العديد من مستأجري Azure Active Directory كنهج افتراضي. يمكن لمعظم المؤسسات الامتثال لأطر العمل داخل مستأجر Azure Active Directory واحد باستخدام ميزات، مثل إدارة الهويات المتميزةوالوحدات الإدارية.

متطلبات الوحدة التجارية أو العزلة التنظيمية والاستقلالية

قد يكون لدى بعض المؤسسات هياكل داخلية معقدة عبر وحدات أعمال متعددة، أو قد تتطلب مستوى عاليا من العزلة والاستقلالية بين أجزاء من مؤسستها.

عند حدوث هذا السيناريو، ولا يمكن للأدوات والإرشادات في عزل الموارد في مستأجر واحد توفير المستوى المطلوب من العزل، قد تضطر إلى توزيع وإدارة وتشغيل العديد من مستأجري Azure Active Directory.

في سيناريوهات مثل هذه، من الأكثر شيوعا أنه لا توجد وظائف مركزية مسؤولة عن توزيع هؤلاء المستأجرين المتعددين وإدارتهم وتشغيلهم. بدلا من ذلك، يتم تسليمها بالكامل إلى وحدة الأعمال المنفصلة أو جزء من المؤسسة لتشغيلها وإدارتها. قد لا يزال فريق التصميم المركزي أو الاستراتيجية أو نمط CCoE يوفر إرشادات وتوصيات حول أفضل الممارسات التي يجب تكوينها في مستأجر Azure Active Directory المنفصل.

تحذير

تنشئ المؤسسات التي لها أدوار ومسؤوليات تشغيلية تحديات بين الفرق التي تدير مستأجر Azure Active Directory للمؤسسة. يجب أن يعطي Azure الأولوية لإنشاء RACI واضح والاتفاق عليه بين الفريقين. يضمن هذا الإجراء أن كلا الفريقين يمكنهما العمل وتقديم خدماتهما إلى المؤسسة وتوفير القيمة مرة أخرى للأعمال في الوقت المناسب.

لدى بعض المؤسسات بنية أساسية سحابية وفرق تطوير تستخدم Azure. تعتمد المؤسسات على فريق هوية لديه التحكم في مستأجر Azure Active Directory الخاص بالشركة لإنشاء كيان الخدمة أو إنشاء المجموعة وإدارتها. إذا لم يكن هناك RACI متفق عليه، فغالبا ما يكون هناك نقص في العملية والتفاهم بين الفرق، ما يؤدي إلى الاحتكاك بين الفرق وعبر المؤسسة. تعتقد بعض المؤسسات أن العديد من مستأجري Azure Active Directory هو الطريقة الوحيدة للتغلب على هذا التحدي.

ولكن العديد من مستأجري Azure Active Directory يخلقون تحديات للمستخدمين النهائيين، ويزيد من التعقيد في تأمين وإدارة وحوكمة العديد من المستأجرين، ومن المحتمل أن يزيد من تكاليف الترخيص. لا تمتد التراخيص، مثل Azure Active Directory Premium، إلى العديد من مستأجري Azure Active Directory. في بعض الأحيان، يمكن أن يخفف استخدام Azure Active Directory B2B من تكرار الترخيص لبعض الميزات والخدمات. إذا كنت تخطط لاستخدام Azure Active Directory B2B في التوزيع الخاص بك، فراجع شروط ترخيص كل ميزة وخدمة وإمكانية الدعم لأهلية Azure Active Directory B2B.

يجب على المؤسسات في هذه الحالة حل التحديات التشغيلية للتأكد من أن الفرق يمكنها العمل معا في مستأجر Azure Active Directory واحد بدلا من إنشاء العديد من مستأجري Azure Active Directory كحل بديل.

بائع برامج مستقل (ISV) يقدم تطبيقات SaaS من Azure

قد تستفيد ISVs التي تقدم منتجات SaaS (البرامج كخدمة) لعملائها من وجود العديد من مستأجري Azure Active Directory لاستخدامهم في Azure.

إذا كنت من ISV، فقد يكون لديك فصل بين مستأجر Azure Active Directory لشركتك، بما في ذلك استخدام Azure، لأنشطتك التجارية كالمعتاد، مثل البريد الإلكتروني ومشاركة الملفات والتطبيقات الداخلية. قد يكون لديك أيضا مستأجر Azure Active Directory منفصل حيث تستضيف اشتراكات Azure تطبيقات SaaS التي تقدمها لعملائك النهائيين وتقدمها. هذا النهج شائع ومعقول لأنه يحميك أنت وعملائك من الحوادث الأمنية.

لمزيد من المعلومات، راجع اعتبارات مورد البرامج المستقل (ISV) لمناطق هبوط Azure.

اختبار مستوى المستأجر / اختبار Microsoft 365

لا يمكن اختبار بعض الأنشطة والميزات في منتجات Microsoft Cloud وخدماته وعروضه إلا في مستأجر Azure Active Directory منفصل. ومن الأمثلة على ذلك:

  • Microsoft 365 - Exchange Online وSharePoint وTeams
  • Azure Active Directory - Azure Active Directory Connect ومستويات مخاطر حماية هوية Azure Active Directory وتطبيقات SaaS
  • اختبار البرامج النصية التي تستخدم واجهة برمجة تطبيقات Microsoft Graph ويمكنها التأثير على الإنتاج وإجراء تغييرات عليه

عندما تريد إجراء اختبار مثل السيناريوهات السابقة، فإن مستأجر Azure Active Directory المنفصل هو خيارك الوحيد.

ولكن مستأجر Azure Active Directory المنفصل ليس لاستضافة اشتراكات Azure التي تحتوي على أحمال العمل، بغض النظر عن البيئة، على سبيل المثال dev/test. يجب بدلا من ذلك تضمين حتى بيئات التطوير/الاختبار في مستأجر Azure Active Directory "الإنتاج" العادي.

تلميح

للحصول على معلومات حول كيفية التعامل مع اختبار مناطق هبوط Azure وأحمال عمل Azure أو مواردها داخل بيئات مناطق هبوط Azure، راجع:

القواعد الشعبية / Shadow IT / الشركات الناشئة

إذا أراد الفريق الابتكار بسرعة، فقد ينشئ مستأجر Azure Active Directory منفصلا لمساعدتهم على التحرك في أسرع وقت ممكن. قد يتجنبون، عن قصد أو عن غير قصد، عملية فريق النظام الأساسي/المركزي والتوجيه للوصول إلى بيئة Azure للقيام بابتكارهم.

هذا السيناريو شائع في الشركات الناشئة حيث يقومون بإعداد مستأجر Azure Active Directory الخاص بهم لتشغيل الأعمال والخدمات واستضافتها وتشغيلها منها. عادة ما يكون من المتوقع، ولكن عند الحصول على الشركات الناشئة، ينشئ مستأجر Azure Active Directory الإضافي نقطة قرار حيث تقرر فرق تكنولوجيا المعلومات في المؤسسة المكتسبة ما يجب القيام به من الآن فصاعدا.

لمزيد من المعلومات حول كيفية التنقل في هذا السيناريو، راجع عمليات الدمج والاستحواذومورد البرامج المستقل (ISV) الذي يقدم تطبيقات SaaS من أقسام Azure في هذه المقالة.

هام

نوصي بشدة بأن يكون لدى فرق النظام الأساسي عملية سهلة الوصول وفعالة لمنح الفرق حق الوصول إلى اشتراك بيئة الاختبار المعزولة ل Azure أو الاشتراكات الموجودة في مستأجر الشركة أو Azure Active Directory الأساسي للمؤسسة. تمنع هذه العملية حدوث سيناريوهات Shadow IT وتمنع التحديات في المستقبل لجميع الأطراف المعنية.

لمزيد من المعلومات حول بيئة الاختبار المعزولة، راجع إرشادات مجموعات الإدارة داخل منطقة تصميم مؤسسة الموارد.

الملخص

كما هو مفصل في السيناريوهات، هناك عدة أسباب لماذا قد تتطلب مؤسستك العديد من مستأجري Azure Active Directory. ولكن عند إنشاء مستأجرين متعددين لتلبية المتطلبات ضمن هذه السيناريوهات، فإنه يضيف التعقيد والمهام التشغيلية للحفاظ على المستأجرين المتعددين ومن المحتمل أن يضيف تكاليف متطلبات الترخيص. لمزيد من المعلومات، راجع الاعتبارات والتوصيات لمناطق هبوط Azure في سيناريوهات متعددة المستأجرين.

الخطوات التالية

الاعتبارات والتوصيات لسيناريوهات منطقة Azure المنتقل إليها متعددة المستأجرين