Forgatókönyvek több Microsoft Entra-bérlőhöz

Néhány oka lehet annak, hogy egy szervezetnek több Microsoft Entra-bérlőre van szüksége, vagy érdemes lehet kivizsgálnia. A leggyakoribb forgatókönyvek a következők:

• Egyesülések és felvásárlások
• Szabályozási vagy ország-/régiómegfelelési követelmények
• Üzleti egységre vagy szervezeti elkülönítésre és önállóságra vonatkozó követelmények
• SaaS-alkalmazásokat az Azure-ból szállító független szoftverszállító (ISV)
• Bérlői szintű tesztelés / Microsoft 365-tesztelés
• Alulról építkozó / Árnyék it / startupok

Egyesülések és felvásárlások

Ahogy a szervezetek idővel növekednek, más vállalatokat vagy szervezeteket is beszerezhetnek. Ezek a beszerzések valószínűleg már meglévő Microsoft Entra-bérlőkkel rendelkeznek, amelyek üzemeltetik és biztosítják a szolgáltatásokat, például a Microsoft 365-öt (Exchange Online, SharePoint, OneDrive vagy Teams), a Dynamics 365-öt és a Microsoft Azure-t a vállalatnak vagy a szervezetnek.

A beszerzés során a két Microsoft Entra-bérlő általában egyetlen Microsoft Entra-bérlőbe van összesítve. Ez a konszolidáció csökkenti a felügyeleti terheket, javítja az együttműködési élményt, és egyetlen márkadentitást biztosít más vállalatoknak és szervezeteknek.

Fontos

Egyéni tartománynév (például contoso.com) egyszerre csak egy Microsoft Entra-bérlőhöz társítható. Ezért a bérlők összevonása azért ajánlott, mert egyetlen egyéni tartománynevet minden identitás használhat összevonási vagy felvásárlási forgatókönyv esetén.

A Két Microsoft Entra-bérlő egybe foglalásának összetettsége miatt előfordulhat, hogy a bérlők egyedül maradnak, és hosszabb vagy határozatlan ideig külön maradnak.

Ez a forgatókönyv akkor is előfordulhat, ha a szervezetek vagy vállalatok külön szeretnének maradni, mert a jövőben más szervezetek is megszerezhetik a vállalatukat. Ha egy szervezet elkülöníti a Microsoft Entra-bérlőket, és nem konszolidálja őket, kevesebb munka áll rendelkezésre, ha egy entitás jövőbeli egyesülése vagy felvásárlása történik.

Szabályozási vagy ország-/régiómegfelelési követelmények

Egyes szervezetek szigorú szabályozási vagy ország-/régiómegfelelési ellenőrzésekkel és keretrendszerekkel rendelkeznek (például uk official, Sarbanes Oxley (SOX) vagy NIST). A szervezetek több Microsoft Entra-bérlőt is létrehozhatnak, hogy megfeleljenek ezeknek a keretrendszereknek, és megfeleljenek ezeknek a keretrendszereknek.

Egyes szervezetek, amelyeknél a világ különböző pontjain található irodák és felhasználók szigorúbb adattárolási szabályokkal rendelkeznek, több Microsoft Entra-bérlőt is létrehozhatnak. Ezt a követelményt azonban általában egyetlen Microsoft Entra-bérlőn belül kezelik olyan funkciókkal, mint a Microsoft 365 Multi-Geo.

Egy másik forgatókönyv az, amikor a szervezeteknek az Azure Government (US Government) vagy az Azure China (21Vianet által üzemeltetett) azure-ra van szükségük. Ezeknek a nemzeti Azure-felhőpéldányoknak saját Microsoft Entra-bérlőkre van szükségük. A Microsoft Entra-bérlők kizárólag az adott országos Azure-felhőpéldányhoz tartoznak, és az Azure-előfizetések identitás- és hozzáférés-kezelési szolgáltatásaihoz használhatók az adott Azure-felhőpéldányon belül.

Tipp.

További információ az Azure nemzeti/regionális felhő identitásforgatókönyveiről:

• Azure Government Identity
• Az Azure China határokon átnyúló kapcsolata és interoperabilitása
• Microsoft Entra-hitelesítés > országos/regionális felhők

Az előző forgatókönyvekhez hasonlóan, ha a szervezet szabályozási vagy ország-/régiómegfelelőségi keretrendszerrel rendelkezik, akkor előfordulhat, hogy alapértelmezett megközelítésként nem kell több Microsoft Entra-bérlőt használnia. A legtöbb szervezet képes megfelelni a keretrendszereknek egyetlen Microsoft Entra-bérlőn belül olyan funkciókkal, mint a Privileged Identity Management és Rendszergazda istrative egységek.

Üzleti egységre vagy szervezeti elkülönítésre és önállóságra vonatkozó követelmények

Egyes szervezetek összetett belső struktúrákkal rendelkezhetnek több üzleti egységben, vagy magas szintű elkülönítést és önállóságot igényelhetnek a szervezet egyes részei között.

Ha ez a forgatókönyv bekövetkezik, és az erőforrások elkülönítésének eszközei és útmutatásai egyetlen bérlőben nem tudják biztosítani a szükséges elkülönítési szintet, előfordulhat, hogy több Microsoft Entra-bérlőt kell üzembe helyeznie, kezelnie és üzemeltetnie.

Az ilyen helyzetekben gyakoribb, hogy nincsenek központosított függvények, amelyek a több bérlő üzembe helyezéséért, felügyeletéért és üzemeltetéséért felelősek. Ehelyett teljes egészében át lesznek osztva a különálló üzleti egységnek vagy a szervezet egy részének, hogy működjenek és felügyelhessenek. Egy központosított architektúra, stratégia vagy CCoE stílusú csapat továbbra is útmutatást és javaslatokat adhat az ajánlott eljárásokhoz, amelyeket a különálló Microsoft Entra-bérlőben kell konfigurálni.

Figyelmeztetés

Azok a szervezetek, amelyek működési szerepkörökhöz és felelősségekhez tartoznak, kihívást jelentenek a szervezet Microsoft Entra-bérlőjét üzemeltető csapatok között. Az Azure-nak fontossági sorrendbe kell helyeznie a két csapat közötti egyértelmű RACI létrehozását és egyetértését. Ez a művelet biztosítja, hogy mindkét csapat működjön és kézbesítse szolgáltatásaikat a szervezetnek, és időben adja vissza az értéket a vállalatnak.

Egyes szervezetek felhőinfrastruktúra- és fejlesztői csapatokkal rendelkeznek, amelyek az Azure-t használják. A szervezetek olyan identitáscsoportra támaszkodnak, amely a vállalati Microsoft Entra-bérlő felett felügyeli a szolgáltatásnév létrehozását vagy a csoportok létrehozását és kezelését. Ha nincs elfogadott RACI, gyakran hiányzik a folyamat és a megértés a csapatok között, ami súrlódáshoz vezet a csapatok és a szervezet között. Egyes szervezetek úgy vélik, hogy több Microsoft Entra-bérlő az egyetlen módja ennek a kihívásnak.

Több Microsoft Entra-bérlő azonban kihívást jelent a végfelhasználók számára, összetettebbé teszi a több bérlő védelmét, kezelését és szabályozását, és potenciálisan növeli a licencelési költségeket. Az olyan licencek, mint a P1 vagy P2 Microsoft Entra-azonosító, nem terjednek ki több Microsoft Entra-bérlőre. A Microsoft Entra B2B használata néha enyhítheti egyes funkciók és szolgáltatások licencelési duplikációját. Ha a Microsoft Entra B2B-t szeretné használni az üzemelő példányban, tekintse át az egyes funkciók és szolgáltatások licencfeltételeit és a Microsoft Entra B2B-jogosultságok támogatottságát.

Az ilyen helyzetben lévő szervezeteknek meg kell oldaniuk az üzemeltetési kihívásokat, hogy a csapatok egyetlen Microsoft Entra-bérlőben működjenek együtt, és ne több Microsoft Entra-bérlőt hozzanak létre kerülő megoldásként.

SaaS-alkalmazásokat az Azure-ból szállító független szoftverszállító (ISV)

Azok az ISV-k, amelyek saaS-termékeiket (szolgáltatásként szoftvereiket) szolgáltatják az ügyfeleiknek, több Microsoft Entra-bérlővel is rendelkezhetnek az Azure-használatukhoz.

Ha Ön isV-bérlő, akkor előfordulhat, hogy különvált a vállalati Microsoft Entra-bérlője, beleértve az Azure-használatot is a szokásos üzleti tevékenységeihez, például az e-mailekhez, a fájlmegosztáshoz és a belső alkalmazásokhoz. Előfordulhat, hogy egy külön Microsoft Entra-bérlővel is rendelkezik, ahol az Azure-előfizetések üzemeltetik és kézbesítik az Ön által a végfelhasználóknak biztosított SaaS-alkalmazásokat. Ez a megközelítés gyakori és ésszerű, mivel megvédi Önt és ügyfeleit a biztonsági incidensektől.

További információkért tekintse meg az Azure-beli kezdőzónák független szoftverszállítói (ISV) szempontjait.

Bérlői szintű tesztelés / Microsoft 365-tesztelés

A Microsoft Cloud-termékek, -szolgáltatások és -ajánlatok egyes tevékenységei és funkciói csak külön Microsoft Entra-bérlőn tesztelhetők. Néhány példa:

• Microsoft 365 – Exchange Online, SharePoint és Teams
• Microsoft Entra ID – Microsoft Entra Csatlakozás, Microsoft Entra ID-védelem kockázati szintek és SaaS-alkalmazások
• A Microsoft Graph API-t használó szkriptek tesztelése, amelyek hatással lehetnek az éles környezetre és módosíthatják azokat

Ha az előző forgatókönyvekhez hasonlóan szeretné elvégezni a tesztelést, az egyetlen lehetőség egy különálló Microsoft Entra-bérlő.

A különálló Microsoft Entra-bérlő azonban nem olyan Azure-előfizetések üzemeltetésére használható, amelyek számítási feladatokat tartalmaznak, függetlenül a környezettől, például a fejlesztési/tesztelési feladatokhoz. A fejlesztői/tesztelési környezeteket is inkább a szokásos "éles" Microsoft Entra-bérlőben kell tárolni.

Tipp.

Az Azure-beli célzónák és azure-beli számítási feladatok vagy erőforrások Azure-beli kezdőzónákon belüli tesztelésének kezeléséről a következő témakörben olvashat bővebben:

• Hogyan kezeljük a "dev/test/production" számítási feladat kezdőzónáinak kezelését az Azure célzóna architektúrájában?
• Az Azure-beli célzónák tesztelési megközelítése

Alulról építkozó / Árnyék it / Start-ups

Ha egy csapat gyorsan szeretne újítani, létrehozhat egy külön Microsoft Entra-bérlőt, amely segít nekik a lehető leggyorsabban mozogni. Szándékosan vagy akaratlanul elkerülhetik a központi/platform csapatának folyamatát és útmutatását az Azure-környezethez való hozzáféréshez az innováció elvégzéséhez.

Ez a forgatókönyv gyakori azokban az induló vállalkozásokban, ahol saját Microsoft Entra-bérlőt állítottak be az üzlet és szolgáltatások futtatására, üzemeltetésére és üzemeltetésére. Ez általában várható, de az indítások beszerzésekor a további Microsoft Entra-bérlő létrehoz egy döntési pontot, ahol a beszerző szervezet informatikai csapatai döntenek a teendőkről.

A forgatókönyv navigálásával kapcsolatos további információkért tekintse meg a jelen cikk SaaS-alkalmazásokat az Azure-ból szállító Egyesülések és felvásárlások, valamint független szoftverszállító (ISV) című szakaszát.

Fontos

Erősen javasoljuk, hogy a platformcsapatok könnyen elérhető és hatékony folyamattal rendelkezzenek, amely hozzáférést biztosít a csapatoknak egy Olyan Azure-tesztkörnyezet-előfizetéshez vagy -előfizetéshez, amely a szervezet vállalati vagy elsődleges Microsoft Entra-bérlőjében található. Ez a folyamat megakadályozza az árnyék informatikai forgatókönyvek előfordulását, és megakadályozza a jövőbeli kihívásokat az összes érintett fél számára.

A tesztkörnyezetekkel kapcsolatos további információkért tekintse meg a felügyeleti csoportok útmutatását az erőforrás-szervezet tervezési területén.

Összesítés

A forgatókönyvekben leírtaknak megfelelően a szervezetnek több Microsoft Entra-bérlőre is szüksége lehet. Ha azonban több bérlőt hoz létre, hogy megfeleljen a fenti forgatókönyvek követelményeinek, összetettségi és üzemeltetési feladatokat tesz lehetővé a több bérlő fenntartása érdekében, és a licencelési követelmények költségei is hozzáadhatók. További információkért tekintse meg az Azure-beli célzónákra vonatkozó szempontokat és javaslatokat több-bérlős forgatókönyvekben.

További lépések

Megfontolandó szempontok és javaslatok több-bérlős Azure-beli célzóna-forgatókönyvekhez