Isolasi sumber daya dengan beberapa penyewa
Ada skenario khusus saat mendelegasikan administrasi dalam satu batas penyewa tidak memenuhi kebutuhan Anda. Di bagian ini, ada persyaratan yang dapat mendorong Anda untuk membuat arsitektur multi-penyewa. Organisasi multi-penyewa mungkin mencakup dua atau beberapa penyewa Microsoft Entra. Hal ini dapat menghasilkan kolaborasi lintas penyewa dan persyaratan manajemen yang unik. Arsitektur multipenyewa meningkatkan overhead dan kompleksitas manajemen dan harus digunakan dengan hati-hati. Sebaiknya gunakan satu penyewa jika kebutuhan Anda dapat dipenuhi dengan arsitektur tersebut. Untuk informasi selengkapnya, lihat Manajemen pengguna multi-penyewa.
Penyewa terpisah membuat batas baru, dan oleh karena itu memisahkan manajemen peran direktori Microsoft Entra, objek direktori, kebijakan Akses Bersyarat, grup sumber daya Azure, grup manajemen Azure, dan kontrol lainnya seperti yang dijelaskan di bagian sebelumnya.
Penyewa terpisah berguna bagi departemen TI organisasi untuk memvalidasi perubahan di seluruh penyewa dalam layanan Microsoft seperti, Intune, Microsoft Entra Connect, atau konfigurasi autentikasi hibrid sambil melindungi pengguna dan sumber daya organisasi. Ini termasuk menguji konfigurasi layanan yang mungkin memiliki efek di seluruh penyewa dan tidak dapat dilingkupkan ke subset pengguna di penyewa produksi.
Menyebarkan lingkungan non-produksi di penyewa terpisah mungkin diperlukan selama pengembangan aplikasi kustom yang dapat mengubah data objek pengguna produksi dengan MS Graph atau API yang serupa (misalnya, aplikasi yang diberikan Directory.ReadWrite.All, atau cakupan luas yang serupa).
Catatan
Sinkronisasi Microsoft Entra Connect ke beberapa penyewa, yang mungkin berguna saat menyebarkan lingkungan non-produksi di penyewa terpisah. Untuk informasi selengkapnya, lihat Microsoft Entra Connect: Topologi yang didukung.
Hasil
Selain hasil yang dicapai dengan arsitektur penyewa tunggal seperti yang dijelaskan sebelumnya, organisasi dapat sepenuhnya memisahkan interaksi sumber daya dan penyewa:
Pemisahan sumber daya
Visibilitas - Sumber daya dalam penyewa terpisah tidak dapat ditemukan atau dijumlahkan oleh pengguna dan administrator di penyewa lain. Demikian pula, laporan penggunaan dan log audit tercakup dalam batas penyewa baru. Pemisahan visibilitas ini memungkinkan organisasi untuk mengelola sumber daya yang diperlukan untuk proyek rahasia.
Jejak objek - Aplikasi yang menulis ke ID Microsoft Entra dan/atau layanan Microsoft Online lainnya melalui Microsoft Graph atau antarmuka manajemen lainnya dapat beroperasi di ruang objek terpisah. Ini memungkinkan tim pengembangan untuk melakukan pengujian selama siklus hidup pengembangan perangkat lunak tanpa memengaruhi penyewa lain.
Kuota - Konsumsi Kuota dan Batas Azure di seluruh penyewa dipisahkan dari konsumsi penyewa lainnya.
Pemisahan konfigurasi
Penyewa baru menyediakan serangkaian pengaturan di seluruh penyewa terpisah yang dapat mengakomodasi sumber daya dan memercayai aplikasi yang memiliki persyaratan yang memerlukan konfigurasi yang berbeda di tingkat penyewa. Selain itu, penyewa baru menyediakan serangkaian layanan Microsoft Online baru seperti Office 365.
Pemisahan administratif
Batas penyewa baru melibatkan sekumpulan peran direktori Microsoft Entra terpisah, yang memungkinkan Anda mengonfigurasi set administrator yang berbeda.
Penggunaan umum
Diagram berikut mengilustrasikan penggunaan umum isolasi sumber daya di beberapa penyewa: lingkungan praproduksi atau "sandbox" yang memerlukan lebih banyak pemisahan daripada yang dapat dicapai dengan administrasi yang didelegasikan dalam satu penyewa.
Contoso adalah organisasi yang menambah arsitektur penyewa perusahaan mereka dengan penyewa praproduksi yang disebut ContosoSandbox.com. Penyewa kotak pasir digunakan untuk mendukung pengembangan solusi perusahaan yang sedang berlangsung yang menulis ke MICROSOFT Entra ID dan Microsoft 365 menggunakan Microsoft Graph. Solusi ini disebarkan di penyewa perusahaan.
Penyewa sandbox dibawa secara online untuk mencegah aplikasi yang sedang dikembangkan tersebut memengaruhi sistem produksi baik secara langsung maupun tidak langsung, dengan menggunakan sumber daya penyewa dan memengaruhi kuota, atau pembatasan.
Pengembang memerlukan akses ke penyewa sandbox selama siklus hidup pengembangan, idealnya dengan akses layanan mandiri yang memerlukan izin tambahan yang dibatasi di lingkungan produksi. Contoh izin tambahan ini mungkin termasuk membuat, menghapus, memperbarui akun pengguna, mendaftarkan aplikasi, membuat provisi dan membatalkan provisi sumber daya Azure, serta mengubah kebijakan atau konfigurasi lingkungan secara keseluruhan.
Dalam contoh ini, Contoso menggunakan Microsoft Entra Kolaborasi B2B untuk memprovisikan pengguna dari penyewa perusahaan untuk memungkinkan pengguna yang dapat mengelola dan mengakses sumber daya dalam aplikasi di penyewa kotak pasir tanpa mengelola beberapa kredensial. Kemampuan ini terutama berorientasi pada skenario kolaborasi lintas organisasi. Namun, perusahaan dengan beberapa penyewa seperti Contoso dapat menggunakan kemampuan ini untuk menghindari administrasi siklus hidup kredensial tambahan dan kompleksitas pengalaman pengguna.
Gunakan pengaturan akses lintas penyewa External Identities untuk mengelola cara Anda berkolaborasi dengan organisasi Microsoft Entra lainnya melalui kolaborasi B2B. Pengaturan ini menentukan tingkat pengguna akses masuk di organisasi Microsoft Entra eksternal ke sumber daya Anda, dan tingkat akses keluar yang dimiliki pengguna Anda ke organisasi eksternal. Mereka juga memungkinkan Anda mempercayai autentikasi multifaktor (MFA) dan klaim perangkat (klaim yang sesuai dan klaim gabungan hibrid Microsoft Entra) dari organisasi Microsoft Entra lainnya. Untuk pertimbangan detail dan perencanaan, lihat Akses lintas penyewa di ID Eksternal Microsoft Entra.
Pendekatan lain bisa saja menggunakan kemampuan Microsoft Entra Connect untuk menyinkronkan kredensial Microsoft Entra lokal yang sama ke beberapa penyewa, menyimpan kata sandi yang sama tetapi membedakan pada pengguna domain UPN.
Isolasi sumber daya multipenyewa
Dengan penyewa baru, Anda memiliki sekumpulan administrator terpisah. Organisasi dapat memilih untuk menggunakan identitas perusahaan melalui kolaborasi Microsoft Entra B2B. Demikian pula, organisasi dapat menerapkan Azure Lighthouse untuk manajemen lintas penyewa sumber daya Azure sehingga langganan Azure non-produksi dikelola oleh identitas di rekan produksi. Azure Lighthouse tidak dapat digunakan untuk mengelola layanan di luar Azure, seperti Microsoft Intune. Untuk Penyedia Layanan Terkelola (MSP), Microsoft 365 Lighthouse adalah portal admin yang membantu mengamankan dan mengelola skala perangkat, data, dan pengguna untuk pelanggan bisnis kecil dan menengah (SMB) yang menggunakan Microsoft 365 Business Premium, Microsoft 365 E3, atau Windows 365 Business.
Ini akan memungkinkan pengguna untuk terus menggunakan kredensial perusahaan mereka, sambil mencapai manfaat pemisahan.
Kolaborasi Microsoft Entra B2B dalam penyewa kotak pasir harus dikonfigurasi untuk memungkinkan hanya identitas dari lingkungan perusahaan yang akan di-onboard menggunakan daftar izinkan/tolak Azure B2B. Untuk penyewa yang ingin Anda izinkan menggunakan B2B, pertimbangkan untuk menggunakan pengaturan akses lintas penyewa External Identities untuk autentikasi multifaktor penyewa\Kepercayaan perangkat.
Penting
Arsitektur multipenyewa dengan akses identitas eksternal yang diaktifkan hanya menyediakan isolasi sumber daya, tetapi tidak mengaktifkan isolasi identitas. Isolasi sumber daya menggunakan kolaborasi Microsoft Entra B2B dan Azure Lighthouse tidak mengurangi risiko yang terkait dengan identitas.
Jika lingkungan sandbox berbagi identitas dengan lingkungan perusahaan, skenario berikut berlaku untuk penyewa sandbox:
Aktor jahat yang membahayakan pengguna, perangkat, atau infrastruktur hibrid di penyewa perusahaan, dan diundang ke penyewa sandbox, mungkin mendapatkan akses ke aplikasi dan sumber daya penyewa sandbox.
Kesalahan operasional (misalnya, penghapusan akun pengguna atau pencabutan kredensial) di penyewa perusahaan dapat memengaruhi akses pengguna yang diundang ke penyewa kotak pasir.
Anda harus melakukan analisis risiko dan berpotensi mempertimbangkan isolasi identitas melalui beberapa penyewa untuk sumber daya kritis bisnis yang memerlukan pendekatan yang sangat defensif. Azure Privileged Identity Management dapat membantu mengurangi beberapa risiko dengan memberlakukan keamanan ekstra untuk mengakses penyewa dan sumber daya penting bisnis.
Objek direktori
Penyewa yang Anda gunakan untuk mengisolasi sumber daya mungkin berisi jenis objek, sumber daya Azure, dan aplikasi kepercayaan yang sama dengan penyewa utama Anda. Anda mungkin perlu menyediakan jenis objek berikut:
Pengguna dan grup: Identitas yang diperlukan oleh tim rekayasa solusi, seperti:
Administrator lingkungan sandbox.
Pemilik teknis aplikasi.
Pengembang aplikasi lini bisnis.
Uji akun pengguna akhir.
Identitas ini mungkin disediakan untuk:
Karyawan yang datang dengan akun perusahaan mereka melalui kolaborasi Microsoft Entra B2B.
Karyawan yang membutuhkan akun lokal untuk administrasi, akses administratif darurat, atau alasan teknis lainnya.
Pelanggan yang memiliki atau memerlukan Active Directory non-produksi lokal juga dapat menyinkronkan identitas lokal mereka ke penyewa sandbox jika diperlukan oleh sumber daya dan aplikasi yang mendasar.
Perangkat: Penyewa non-produksi berisi jumlah perangkat yang dikurangi sesuai dengan yang diperlukan dalam siklus rekayasa solusi:
Stasiun kerja administrasi
Komputer non-produksi dan perangkat seluler yang diperlukan untuk pengembangan, pengujian, dan dokumentasi
Aplikasi
Aplikasi terintegrasi Microsoft Entra: Objek aplikasi dan perwakilan layanan untuk:
Menguji instans aplikasi yang disebarkan dalam produksi (misalnya, aplikasi yang menulis ke ID Microsoft Entra dan Microsoft layanan online).
Layanan infrastruktur untuk mengelola dan memelihara penyewa non-produksi, berpotensi menjadi subset solusi yang tersedia di penyewa perusahaan.
Layanan Online Microsoft:
Biasanya, tim yang memiliki Microsoft Online Services dalam produksi harus menjadi pemilik instans non-produksi dari layanan tersebut.
Administrator lingkungan pengujian non-produksi tidak boleh menyediakan Microsoft Online Services kecuali layanan tersebut secara khusus sedang diuji. Hal ini untuk menghindari penggunaan layanan Microsoft yang tidak tepat, misalnya menyiapkan situs SharePoint produksi di lingkungan pengujian.
Demikian pula, provisi layanan Online Microsoft yang dapat dimulai oleh pengguna akhir (juga dikenal sebagai langganan ad-hoc) harus dikunci. Untuk informasi selengkapnya, lihat Apa itu pendaftaran layanan mandiri untuk ID Microsoft Entra?.
Umumnya, semua fitur lisensi yang tidak penting harus dinonaktifkan untuk penyewa menggunakan lisensi berbasis grup. Ini harus dilakukan oleh tim yang sama yang mengelola lisensi di penyewa produksi, untuk menghindari kesalahan konfigurasi oleh pengembang yang mungkin tidak tahu efek mengaktifkan fitur berlisensi.
Sumber daya Azure
Sumber daya Azure apa pun yang diperlukan dengan memercayai aplikasi juga dapat disebarkan. Misalnya, database, komputer virtual, kontainer, fungsi Azure, dan sebagainya. Untuk lingkungan kotak pasir, Anda harus menimbang penghematan biaya penggunaan SKU yang lebih murah untuk produk dan layanan dengan fitur keamanan yang lebih sedikit yang tersedia.
Model RBAC untuk kontrol akses masih harus digunakan di lingkungan non-produksi jika perubahan direplikasi ke produksi setelah pengujian selesai. Kegagalan untuk melakukannya memungkinkan kelemahan keamanan di lingkungan non-produksi untuk disebarkan ke penyewa produksi Anda.
Isolasi sumber daya dan identitas dengan beberapa penyewa
Hasil isolasi
Ada situasi terbatas di mana isolasi sumber daya tidak dapat memenuhi kebutuhan Anda. Anda dapat mengisolasi sumber daya dan identitas dalam arsitektur multipenyewa dengan menonaktifkan semua kemampuan kolaborasi lintas penyewa dan secara efektif membangun batas identitas terpisah. Pendekatan ini adalah pertahanan terhadap kesalahan operasional dan penyusupan identitas pengguna, perangkat, atau infrastruktur hibrid di penyewa perusahaan.
Penggunaan umum isolasi
Batas identitas terpisah biasanya digunakan untuk sumber daya dan aplikasi kritis bisnis seperti layanan yang dihadapi pelanggan. Dalam skenario ini, Fabrikam telah memutuskan untuk membuat penyewa terpisah untuk produk SaaS yang dihadapi pelanggan mereka untuk menghindari risiko penyusupan identitas karyawan yang memengaruhi pelanggan SaaS mereka. Diagram berikut mengilustrasikan arsitektur ini:
Penyewa FabrikamSaaS berisi lingkungan yang digunakan untuk aplikasi yang ditawarkan kepada pelanggan sebagai bagian dari model bisnis Fabrikam.
Isolasi objek direktori
Objek direktori di FabrikamSaas adalah sebagai berikut:
Pengguna dan grup: Identitas yang diperlukan oleh tim IT solusi, staf dukungan pelanggan, atau personel lain yang diperlukan yang dibuat dalam penyewa SaaS. Untuk mempertahankan isolasi, hanya akun lokal yang digunakan, dan kolaborasi Microsoft Entra B2B tidak diaktifkan.
Objek direktori Azure AD B2C: Jika lingkungan penyewa diakses oleh pelanggan, mungkin lingkungan tersebut berisi penyewa B2C Azure AD dan objek identitas terkait. Langganan yang menyimpan direktori ini adalah kandidat yang baik untuk lingkungan yang dihadapi oleh konsumen yang terisolasi.
Perangkat: Penyewa ini berisi lebih sedikit perangkat; hanya yang diperlukan untuk menjalankan solusi yang dihadapi pelanggan:
Stasiun kerja administrasi yang aman.
Stasiun kerja personel dukungan (ini dapat mencakup teknisi yang "sedang dipanggil" seperti yang dijelaskan di atas).
Isolasi aplikasi
Aplikasi terintegrasi Microsoft Entra: Objek aplikasi dan perwakilan layanan untuk:
Aplikasi produksi (misalnya, definisi aplikasi multipenyewa).
Layanan infrastruktur untuk mengelola dan memelihara lingkungan yang dihadapi pelanggan.
Sumber Daya Azure: Menghosting sumber daya IaaS, PaaS, dan SaaS dari instans produksi yang dihadapi pelanggan.