Pertimbangan dan rekomendasi untuk skenario zona pendaratan Azure multi-penyewa

Artikel ini, zona pendaratan Azure dan beberapa penyewa Microsoft Entra, menjelaskan bagaimana grup manajemen dan Azure Policy serta langganan berinteraksi dan beroperasi dengan penyewa Microsoft Entra. Artikel ini menjelaskan batasan sumber daya ini saat beroperasi dalam satu penyewa Microsoft Entra. Dalam kondisi ini, jika beberapa penyewa Microsoft Entra ada, atau diperlukan untuk organisasi, zona pendaratan Azure harus disebarkan ke masing-masing penyewa Microsoft Entra secara terpisah.

Zona pendaratan Azure dengan beberapa penyewa Microsoft Entra

Diagram sebelumnya menunjukkan contoh Contoso Corporation, yang memiliki empat penyewa Microsoft Entra karena merger dan akuisisi karena perusahaan telah berkembang dari waktu ke waktu.

Domain penyewa *.onmicrosoft.com Microsoft Entra	Catatan penggunaan
contoso.onmicrosoft.com	Penyewa Microsoft Entra perusahaan utama yang digunakan oleh Contoso Corporation. Layanan Azure dan Microsoft 365 digunakan dalam penyewa ini.
fabrikam.onmicrosoft.com	Penyewa Microsoft Entra utama yang digunakan oleh Fabrikam. Layanan Azure dan Microsoft 365 digunakan dalam penyewa ini. Penyewa ini tetap dipisahkan sejak akuisisi oleh Contoso Corporation.
tailwind.onmicrosoft.com	Penyewa Microsoft Entra utama yang digunakan oleh Tailwind. Layanan Azure dan Microsoft 365 digunakan dalam penyewa ini. Penyewa ini tetap dipisahkan sejak akuisisi oleh Contoso Corporation.
contoso365test.onmicrosoft.com	Penyewa Microsoft Entra yang digunakan oleh Contoso Corporation untuk menguji ID Microsoft Entra dan layanan dan konfigurasi Microsoft 365 saja. Semua lingkungan Azure berada dalam contoso.onmicrosoft.com penyewa Microsoft Entra.

Contoso Corporation memulai dengan satu penyewa Microsoft Entra dari contoso.onmicrosoft.com. Seiring waktu, mereka melakukan beberapa akuisisi perusahaan lain dan membawa perusahaan-perusahaan ini ke Contoso Corporation.

Akuisisi Fabrikam (fabrikam.onmicrosoft.com) dan Tailwind (tailwind.onmicrosoft.com) membawa penyewa Microsoft Entra yang sudah ada di mana layanan Microsoft 365 (Exchange Online, SharePoint, OneDrive) dan Azure digunakan. Perusahaan-perusahaan ini, dan penyewa Microsoft Entra terkait, tetap dipisahkan karena bagian dari Contoso Corporation dan perusahaannya mungkin dijual di masa depan.

Contoso Corporation memiliki penyewa Microsoft Entra terpisah untuk tujuan tunggal menguji ID Microsoft Entra dan layanan dan fitur Microsoft 365. Tetapi tidak ada layanan Azure yang diuji di penyewa Microsoft Entra terpisah ini. Mereka diuji di contoso.onmicrosoft.com penyewa Microsoft Entra.

Tip

Untuk informasi selengkapnya tentang menguji zona pendaratan Azure dan beban kerja dan sumber daya Azure dalam lingkungan zona pendaratan Azure, lihat:

• Cara menangani zona pendaratan beban kerja "dev/test/production" di arsitektur zona pendaratan Azure
• Pendekatan pengujian untuk zona pendaratan Azure

Catatan

Zona pendaratan Azure disebarkan dalam satu penyewa Microsoft Entra. Jika Anda memiliki beberapa penyewa Microsoft Entra yang ingin Anda sebarkan sumber daya Azure, dan ingin mengontrol, mengatur, dan memantaunya dengan menggunakan zona pendaratan Azure, Anda harus menyebarkan zona pendaratan Azure dalam masing-masing penyewa tersebut satu per satu.

Pertimbangan dan rekomendasi untuk zona pendaratan Azure dalam skenario multi-penyewa

Bagian ini menjelaskan pertimbangan dan rekomendasi utama tentang zona pendaratan Azure dan skenario dan penggunaan multi-penyewa Microsoft Entra.

Pertimbangan

• Mulailah dengan pendekatan penyewa tunggal untuk desain penyewa Microsoft Entra Anda.
  • Penyewa tunggal biasanya adalah penyewa Microsoft Entra perusahaan organisasi tempat identitas pengguna ada dan layanan, seperti Microsoft 365, sedang berjalan.
  • Hanya buat lebih banyak penyewa Microsoft Entra ketika ada persyaratan yang tidak dapat dipenuhi dengan menggunakan penyewa Microsoft Entra perusahaan.
• Pertimbangkan untuk menggunakan unit administratif ID Microsoft Entra untuk mengelola pemisahan dan isolasi pengguna, grup, dan perangkat (misalnya, tim yang berbeda) dalam satu penyewa Microsoft Entra. Gunakan sumber daya ini alih-alih membuat beberapa penyewa Microsoft Entra.
• Pertimbangkan untuk menggunakan langganan kotak pasir untuk pengembangan dan investigasi beban kerja aplikasi awal. Untuk informasi selengkapnya, lihat Cara menangani zona pendaratan beban kerja "dev/test/production" di arsitektur zona pendaratan Azure.
• Memigrasikan langganan Azure antara penyewa Microsoft Entra rumit dan mengharuskan aktivitas pra dan pasca migrasi selesai untuk mengaktifkan migrasi. Untuk informasi selengkapnya, lihat Mentransfer langganan Azure ke direktori Microsoft Entra yang berbeda. Lebih mudah untuk membangun kembali beban kerja aplikasi di langganan Azure baru di penyewa tujuan. Ini memberi Anda lebih banyak kontrol atas migrasi.
• Pertimbangkan kompleksitas mengelola, mengatur, mengonfigurasi, memantau, dan mengamankan beberapa penyewa Microsoft Entra. Satu penyewa Microsoft Entra lebih mudah dikelola, diatur, dan diamankan.
• Pertimbangkan proses, alur kerja, dan alat JML (joiners, mover, dan leaver) Anda. Pastikan sumber daya ini dapat mendukung dan menangani beberapa penyewa Microsoft Entra.
• Pertimbangkan efek pada pengguna akhir saat mereka mengelola, mengatur, dan mengamankan beberapa identitas untuk mereka sendiri.
• Saat memilih beberapa penyewa Microsoft Entra, pertimbangkan efek pada kolaborasi lintas penyewa, terutama dari perspektif pengguna akhir. Pengalaman dan dukungan kolaborasi Microsoft 365 antara pengguna dalam satu penyewa Microsoft Entra optimal.
• Pertimbangkan efek pada audit dan pemeriksaan kepatuhan terhadap peraturan di beberapa penyewa Microsoft Entra sebelum memilih pendekatan.
• Pertimbangkan peningkatan biaya lisensi saat beberapa penyewa Microsoft Entra digunakan. Lisensi untuk produk seperti layanan Microsoft Entra ID P1 atau P2 atau Microsoft 365 tidak mencakup seluruh penyewa Microsoft Entra.
• Pendaftaran Perjanjian Enterprise tunggal dapat mendukung dan menyediakan langganan ke beberapa penyewa Microsoft Entra dengan mengatur tingkat autentikasi pada pendaftaran ke akun kerja dan sekolah lintas penyewa. Untuk informasi selengkapnya, lihat Administrasi portal Azure EA.
• Satu Perjanjian Pelanggan Microsoft dapat mendukung dan menyediakan langganan ke beberapa penyewa Microsoft Entra. Untuk informasi selengkapnya, lihat Mengelola penyewa di akun penagihan Perjanjian Pelanggan Microsoft Anda.
• Saat memilih arsitektur multi-penyewa Microsoft Entra, pertimbangkan batasan yang mungkin terjadi untuk tim aplikasi dan pengembang. Ketahui batasan dalam integrasi Microsoft Entra untuk produk dan layanan Azure, seperti Azure Virtual Desktop, Azure Files, dan Azure SQL. Untuk informasi selengkapnya, lihat bagian integrasi Microsoft Entra produk dan layanan Azure di artikel ini.
• Pertimbangkan untuk menggunakan Microsoft Entra B2B untuk menyederhanakan dan meningkatkan pengalaman dan administrasi pengguna saat organisasi Anda memiliki beberapa penyewa Microsoft Entra.
• Pertimbangkan untuk menggunakan platform identitas Microsoft, dengan ID Microsoft Entra dengan kemampuan B2B dan B2C, sehingga pengembang dapat membuat aplikasi dalam satu langganan Azure dan dalam satu penyewa. Metode ini mendukung pengguna dari banyak sumber identitas. Untuk informasi selengkapnya, lihat Aplikasi multi-penyewa dan Solusi multi-penyewa Arsitek di Azure.
• Pertimbangkan untuk menggunakan fitur yang tersedia untuk organisasi multi-penyewa. Untuk informasi selengkapnya, lihat Apa itu organisasi multi-penyewa di ID Microsoft Entra.
• Pertimbangkan untuk selalu memperbarui zona pendaratan Azure Anda.

Integrasi Microsoft Entra produk dan layanan Azure

Banyak produk dan layanan Azure tidak mendukung Microsoft Entra B2B sebagai bagian dari integrasi Microsoft Entra asli mereka. Hanya ada beberapa layanan yang mendukung autentikasi Microsoft Entra B2B sebagai bagian dari integrasi Microsoft Entra mereka. Lebih aman bagi default layanan untuk tidak mendukung Microsoft Entra B2B sebagai bagian dari integrasi Microsoft Entra mereka.

Layanan yang menyediakan integrasi asli dengan ID Microsoft Entra, seperti Azure Storage, Azure SQL, Azure Files, dan Azure Virtual Desktop, menggunakan pendekatan gaya "satu klik" atau "tanpa klik" untuk berintegrasi. Mereka memerlukan skenario autentikasi dan otorisasi sebagai bagian dari layanan mereka. Pendekatan ini biasanya didukung terhadap "penyewa rumah", dan beberapa layanan mungkin mengaktifkan dukungan untuk skenario Microsoft Entra B2B/B2C. Untuk informasi selengkapnya tentang hubungan langganan Azure dengan ID Microsoft Entra, lihat Mengaitkan atau menambahkan langganan Azure ke penyewa Microsoft Entra Anda.

Penting untuk mempertimbangkan dengan cermat penyewa Microsoft Entra mana yang dikaitkan dengan langganan Azure Anda. Hubungan ini menentukan produk dan layanan mana, dan fiturnya, yang digunakan tim aplikasi atau beban kerja yang perlu mendukung identitas dan dari mana penyewa identitas berasal. Biasanya, identitas berada di penyewa Microsoft Entra perusahaan.

Jika beberapa penyewa Microsoft Entra digunakan untuk menghosting semua langganan Azure, tim beban kerja aplikasi tidak dapat memanfaatkan beberapa produk dan layanan Azure integrasi Microsoft Entra. Jika tim beban kerja aplikasi harus mengembangkan aplikasi mereka di sekitar batasan yang diberlakukan ini, proses autentikasi dan otorisasi menjadi lebih kompleks dan kurang aman.

Hindari masalah ini dengan menggunakan satu penyewa Microsoft Entra sebagai rumah untuk semua langganan Azure Anda. Satu penyewa adalah pendekatan terbaik untuk autentikasi dan otorisasi untuk aplikasi atau layanan Anda. Arsitektur sederhana ini memberi tim beban kerja aplikasi lebih sedikit untuk mengelola, mengatur, dan mengontrol, dan menghapus potensi batasan.

Untuk informasi selengkapnya, lihat Isolasi sumber daya dalam satu penyewa.

Rekomendasi

• Gunakan satu penyewa Microsoft Entra, yang biasanya merupakan penyewa Microsoft Entra perusahaan. Hanya buat lebih banyak penyewa Microsoft Entra ketika ada persyaratan yang tidak dapat dipenuhi dengan menggunakan penyewa Microsoft Entra perusahaan.
• Gunakan langganan kotak pasir untuk menyediakan lingkungan pengembangan yang aman, terkontrol, dan terisolasi kepada tim aplikasi dalam satu penyewa Microsoft Entra yang sama. Untuk informasi selengkapnya, lihat Cara menangani zona pendaratan beban kerja "dev/test/production" di arsitektur zona pendaratan Azure.
• Gunakan aplikasi multi-penyewa Microsoft Entra saat Anda membuat integrasi dari alat operasional, seperti ServiceNow, dan menghubungkannya ke beberapa penyewa Microsoft Entra. Untuk informasi selengkapnya, lihat Praktik terbaik untuk semua arsitektur isolasi.
• Jika Anda adalah ISV, lihat Pertimbangan vendor perangkat lunak independen (ISV) untuk zona pendaratan Azure.
• Gunakan Azure Lighthouse untuk menyederhanakan pengalaman manajemen lintas penyewa. Untuk informasi selengkapnya, lihat Penggunaan Azure Lighthouse di skenario multi-penyewa zona pendaratan Azure.
• Pada pendaftaran Perjanjian Enterprise atau Perjanjian Pelanggan Microsoft Anda yang berada di penyewa Microsoft Entra tujuan, buat pemilik akun, pemilik bagian faktur, dan pembuat langganan. Tetapkan pemilik dan pembuat ke langganan yang mereka buat untuk menghindari perubahan direktori pada langganan Azure setelah dibuat. Untuk informasi selengkapnya, lihat Menambahkan akun dari penyewa Microsoft Entra lain dan Mengelola penyewa di akun penagihan Perjanjian Pelanggan Microsoft Anda.
• Lihat panduan operasi keamanan Microsoft Entra.
• Jaga jumlah akun Administrator Global minimal, kurang dari 5 lebih disukai.
• Aktifkan Privileged Identity Management (PIM) untuk semua akun admin untuk memastikan tidak ada hak istimewa yang berdiri dan untuk menyediakan akses JIT.
• Memerlukan persetujuan dalam PIM untuk mengaktifkan peran penting, seperti peran Administrator Global. Pertimbangkan untuk membuat pemberi izin dari beberapa tim untuk menyetujui penggunaan Administrator Global.
• Aktifkan pemantauan dan pemberitahuan kepada semua pemangku kepentingan yang diperlukan tentang aktivasi peran Administrator Global.
• Pastikan bahwa pengaturan "Manajemen akses untuk sumber daya Azure" pada Administrator Global diatur ke Tidak di mana tidak diperlukan.
• Aktifkan dan konfigurasikan layanan dan fitur Microsoft Entra berikut untuk menyederhanakan pengalaman multi-penyewa untuk administrasi dan pengguna dalam organisasi Anda:
  • Kolaborasi B2B
  • Koneksi langsung B2B
  • Pengaturan akses lintas penyewa
  • Sinkronisasi lintas penyewa
  • Organisasi Multipenyewa (Pratinjau)
• Untuk organisasi dengan penyewa Microsoft Entra di beberapa cloud Microsoft, seperti cloud Microsoft Azure Commercial, Microsoft Azure Tiongkok 21Vianet, Microsoft Azure Government, mengonfigurasi pengaturan cloud Microsoft untuk kolaborasi B2B (pratinjau) untuk menyederhanakan pengalaman pengguna saat berkolaborasi di seluruh penyewa.
• Tim aplikasi dan pengembang harus meninjau sumber daya berikut saat membuat aplikasi dan layanan untuk multi-penyewaan:
  • Aplikasi multi-penyewa di ID Microsoft Entra
  • Solusi multi-penyewa arsitek di Azure

Langkah berikutnya

Mengotomatiskan zona pendaratan Azure di beberapa penyewa