Considerazioni e consigli per scenari di zona di destinazione di Azure multi-tenant
L'articolo Zone di destinazione di Azure e più tenant di Microsoft Entra descrive come i gruppi di gestione e i Criteri di Azure e le sottoscrizioni interagiscono e operano con i tenant di Microsoft Entra. L'articolo descrive la limitazione di queste risorse quando operano all'interno di un singolo tenant di Microsoft Entra. In queste condizioni, se esistono più tenant di Microsoft Entra o sono necessari per un'organizzazione, le zone di destinazione di Azure devono essere distribuite separatamente in ognuno dei tenant di Microsoft Entra.
Zone di destinazione di Azure con più tenant di Microsoft Entra
Il diagramma precedente mostra un esempio di Contoso Corporation, che ha quattro tenant di Microsoft Entra a causa di fusioni e acquisizioni, man mano che l'azienda è cresciuta nel tempo.
Dominio tenant *.onmicrosoft.com di Microsoft Entra |
Note sull'utilizzo |
|---|---|
contoso.onmicrosoft.com |
Tenant aziendale principale di Microsoft Entra usato da Contoso Corporation. I servizi di Azure e Microsoft 365 vengono usati in questo tenant. |
fabrikam.onmicrosoft.com |
Tenant principale di Microsoft Entra usato da Fabrikam. I servizi di Azure e Microsoft 365 vengono usati in questo tenant. Questo tenant è rimasto separato dopo l'acquisizione da parte di Contoso Corporation. |
tailwind.onmicrosoft.com |
Tenant principale di Microsoft Entra usato da Tailwind. I servizi di Azure e Microsoft 365 vengono usati in questo tenant. Questo tenant è rimasto separato dopo l'acquisizione da parte di Contoso Corporation. |
contoso365test.onmicrosoft.com |
Tenant di Microsoft Entra usato da Contoso Corporation per testare solo i servizi e la configurazione di Microsoft Entra ID e Microsoft 365. Tutti gli ambienti di Azure si trovano all'interno del contoso.onmicrosoft.com tenant di Microsoft Entra. |
Contoso Corporation ha iniziato con un tenant di Microsoft Entra di contoso.onmicrosoft.com. Nel corso del tempo, hanno effettuato più acquisizioni di altre aziende e hanno portato queste aziende nella Contoso Corporation.
Le acquisizioni di Fabrikam (fabrikam.onmicrosoft.com) e Tailwind (tailwind.onmicrosoft.com) portate con loro tenant Microsoft Entra esistenti in cui vengono usati i servizi di Microsoft 365 (Exchange Online, SharePoint, OneDrive) e Azure. Queste società, e i tenant Microsoft Entra associati, vengono mantenuti separati perché parti di Contoso Corporation e le sue società potrebbero essere vendute in futuro.
Contoso Corporation ha un tenant di Microsoft Entra separato per l'unico scopo di testare i servizi e le funzionalità di Microsoft Entra ID e Microsoft 365. Ma non vengono testati servizi di Azure in questo tenant Microsoft Entra separato. Vengono testati nel contoso.onmicrosoft.com tenant di Microsoft Entra.
Suggerimento
Per altre informazioni sul test delle zone di destinazione di Azure e dei carichi di lavoro e delle risorse di Azure all'interno di ambienti di destinazione di Azure, vedere:
Nota
Le zone di destinazione di Azure vengono distribuite all'interno di un singolo tenant di Microsoft Entra. Se si hanno più tenant di Microsoft Entra in cui si vogliono distribuire le risorse di Azure e si vuole controllare, gestire e monitorare tali tenant usando le zone di destinazione di Azure, è necessario distribuire le zone di destinazione di Azure all'interno di ognuno di questi tenant singolarmente.
Considerazioni e consigli per le zone di destinazione di Azure in scenari multi-tenant
Questa sezione illustra le considerazioni e le raccomandazioni principali sulle zone di destinazione di Azure e sugli scenari multi-tenant di Microsoft Entra e sull'utilizzo.
Considerazioni
- Iniziare con un approccio a tenant singolo alla progettazione del tenant di Microsoft Entra.
- Il tenant singolo è in genere il tenant Microsoft Entra aziendale dell'organizzazione in cui esistono le identità dell'utente e un servizio, come Microsoft 365, è in esecuzione.
- Creare più tenant di Microsoft Entra solo quando sono presenti requisiti che non possono essere soddisfatti usando il tenant Microsoft Entra aziendale.
- È consigliabile usare le unità amministrative di Microsoft Entra ID per gestire la separazione e l'isolamento di utenti, gruppi e dispositivi (ad esempio, team diversi) all'interno di un singolo tenant di Microsoft Entra. Usare questa risorsa invece di creare più tenant di Microsoft Entra.
- Prendere in considerazione l'uso di sottoscrizioni sandbox per lo sviluppo e l'analisi iniziale del carico di lavoro dell'applicazione. Per altre informazioni, vedere Come gestire le zone di destinazione del carico di lavoro "sviluppo/test/produzione" nell'architettura della zona di destinazione di Azure.
- La migrazione delle sottoscrizioni di Azure tra i tenant di Microsoft Entra è complessa e richiede il completamento di attività preliminari e successive alla migrazione per abilitare una migrazione. Per altre informazioni, vedere Trasferire una sottoscrizione di Azure in una directory di Microsoft Entra diversa. È più semplice ricompilare il carico di lavoro dell'applicazione in una nuova sottoscrizione di Azure nel tenant di destinazione. Offre un maggiore controllo sulla migrazione.
- Prendere in considerazione le complessità di gestione, governance, configurazione, monitoraggio e protezione di più tenant di Microsoft Entra. Un singolo tenant di Microsoft Entra è più facile da gestire, gestire e proteggere.
- Prendere in considerazione il processo, i flussi di lavoro e gli strumenti JML (joiner, mover e leaver). Assicurarsi che queste risorse possano supportare e gestire più tenant di Microsoft Entra.
- Considerare l'effetto sugli utenti finali quando gestiscono, regolano e proteggono automaticamente più identità.
- Quando si scelgono più tenant di Microsoft Entra, prendere in considerazione l'effetto sulla collaborazione tra tenant, in particolare dal punto di vista di un utente finale. L'esperienza di collaborazione e il supporto di Microsoft 365 tra gli utenti all'interno di un singolo tenant di Microsoft Entra è ottimale.
- Prendere in considerazione l'effetto sui controlli di controllo e conformità alle normative in più tenant di Microsoft Entra prima di scegliere un approccio.
- Prendere in considerazione l'aumento dei costi di licenza quando vengono usati più tenant di Microsoft Entra. Le licenze per prodotti come i servizi Microsoft Entra ID P1 o P2 o Microsoft 365 non si estendono nei tenant di Microsoft Entra.
- Una singola registrazione Contratto Enterprise può supportare e fornire sottoscrizioni a più tenant di Microsoft Entra impostando il livello di autenticazione sulla registrazione su account aziendale e dell'istituto di istruzione tra tenant. Per altre informazioni, vedere Amministrazione di Azure EA Portal.
- Un singolo Contratto del cliente Microsoft può supportare e fornire sottoscrizioni a più tenant di Microsoft Entra. Per altre informazioni, vedere Gestire i tenant nell'account di fatturazione Contratto del cliente Microsoft.
- Quando si sceglie un'architettura multi-tenant di Microsoft Entra, prendere in considerazione le limitazioni che possono verificarsi per i team e gli sviluppatori di applicazioni. Tenere presente le limitazioni nell'integrazione di Microsoft Entra per prodotti e servizi di Azure, ad esempio Desktop virtuale Azure, File di Azure e Azure SQL. Per altre informazioni, vedere la sezione Integrazione dei prodotti e dei servizi di Azure di Microsoft Entra in questo articolo.
- Prendere in considerazione l'uso di Microsoft Entra B2B per semplificare e migliorare l'esperienza utente e l'amministrazione quando l'organizzazione ha più tenant di Microsoft Entra.
- È consigliabile usare Microsoft Identity Platform, con Microsoft Entra ID con funzionalità B2B e B2C, in modo che gli sviluppatori possano creare applicazioni in una singola sottoscrizione di Azure e all'interno di un singolo tenant. Questo metodo supporta gli utenti di molte origini di identità. Per altre informazioni, vedere App multi-tenant e Progettare soluzioni multi-tenant in Azure.
- Prendere in considerazione l'uso delle funzionalità disponibili per le organizzazioni multi-tenant. Per altre informazioni, vedere Che cos'è un'organizzazione multi-tenant in Microsoft Entra ID.
- Prendere in considerazione la possibilità di mantenere aggiornata la zona di destinazione di Azure.
Integrazione di microsoft Entra per prodotti e servizi di Azure
Molti prodotti e servizi di Azure non supportano Microsoft Entra B2B come parte dell'integrazione nativa di Microsoft Entra. Esistono solo alcuni servizi che supportano l'autenticazione B2B di Microsoft Entra come parte delle integrazioni di Microsoft Entra. Per impostazione predefinita, il servizio non supporta Microsoft Entra B2B come parte dell'integrazione di Microsoft Entra.
I servizi che forniscono un'integrazione nativa con Microsoft Entra ID, ad esempio Archiviazione di Azure, Azure SQL, File di Azure e Desktop virtuale Azure, usano un approccio di tipo "un clic" o "senza clic" per l'integrazione. Richiedono scenari di autenticazione e autorizzazione come parte del servizio. Questo approccio è in genere supportato per il "tenant principale" e alcuni servizi potrebbero abilitare il supporto per gli scenari Microsoft Entra B2B/B2C. Per altre informazioni sulla relazione tra la sottoscrizione di Azure e Microsoft Entra ID, vedere Associare o aggiungere una sottoscrizione di Azure al tenant di Microsoft Entra.
È importante considerare attentamente il tenant di Microsoft Entra a cui sono associate le sottoscrizioni di Azure. Questa relazione determina i prodotti e i servizi e le relative funzionalità, i team dell'applicazione o del carico di lavoro che devono supportare le identità e dal tenant da cui provengono le identità. In genere, le identità si trovano nel tenant Microsoft Entra aziendale.
Se più tenant di Microsoft Entra vengono usati per ospitare tutte le sottoscrizioni di Azure, i team del carico di lavoro delle applicazioni non possono sfruttare alcuni prodotti e servizi di Azure che microsoft Entra integrations. Se i team del carico di lavoro dell'applicazione devono sviluppare le applicazioni in base a queste limitazioni imposte, il processo di autenticazione e autorizzazione diventa più complesso e meno sicuro.
Evitare questo problema usando un singolo tenant di Microsoft Entra come home per tutte le sottoscrizioni di Azure. Un singolo tenant è l'approccio migliore per l'autenticazione e l'autorizzazione per l'applicazione o il servizio. Questa semplice architettura offre al team del carico di lavoro dell'applicazione meno la gestione, la governance e il controllo e rimuove i potenziali vincoli.
Per altre informazioni, vedere Isolamento delle risorse in un singolo tenant.
Consigli
- Usare un singolo tenant di Microsoft Entra, che in genere è il tenant Microsoft Entra aziendale. Creare più tenant di Microsoft Entra solo quando sono presenti requisiti che non possono essere soddisfatti usando il tenant Microsoft Entra aziendale.
- Usare le sottoscrizioni sandbox per fornire ai team delle applicazioni ambienti di sviluppo sicuri, controllati e isolati all'interno dello stesso singolo tenant di Microsoft Entra. Per altre informazioni, vedere Come gestire le zone di destinazione del carico di lavoro "sviluppo/test/produzione" nell'architettura della zona di destinazione di Azure.
- Usare le applicazioni multi-tenant Di Microsoft Entra quando si creano integrazioni da strumenti operativi, ad esempio ServiceNow, e si connettono a più tenant di Microsoft Entra. Per altre informazioni, vedere Procedure consigliate per tutte le architetture di isolamento.
- Se si è un ISV, vedere Considerazioni sul fornitore di software indipendente (ISV) per le zone di destinazione di Azure.
- Usare Azure Lighthouse per semplificare le esperienze di gestione tra tenant. Per altre informazioni, vedere Uso di Azure Lighthouse in scenari multi-tenant delle zone di destinazione di Azure.
- Nelle registrazioni di Contratto Enterprise o Contratto del cliente Microsoft ospitate nel tenant Microsoft Entra di destinazione, creare proprietari di account, proprietari di sezioni della fattura e creatori di sottoscrizioni. Assegnare i proprietari e gli autori alle sottoscrizioni create per evitare di dover modificare le directory nelle sottoscrizioni di Azure dopo la creazione. Per altre informazioni, vedere Aggiungere un account da un altro tenant di Microsoft Entra e Gestire i tenant nell'account di fatturazione Contratto del cliente Microsoft.
- Vedere la Guida alle operazioni di sicurezza di Microsoft Entra.
- Mantenere il numero di account Amministrazione istrator globali su almeno, è preferibile meno di 5.
- Abilitare Privileged Identity Management (PIM) per tutti gli account amministratore per garantire l'assenza di privilegi permanenti e fornire l'accesso JIT.
- Richiedere l'approvazione in PIM per attivare i ruoli critici, ad esempio il ruolo global Amministrazione istrator. Prendere in considerazione la creazione di responsabili approvazione da più team per approvare l'utilizzo di Global Amministrazione istrator.
- Abilitare il monitoraggio e le notifiche a tutti gli stakeholder necessari sull'attivazione del ruolo Amministrazione istrator globale.
- Assicurarsi che l'impostazione "Gestione degli accessi per le risorse di Azure" in Global Amministrazione istrators sia impostata su No dove non è necessario.
- Abilitare e configurare i servizi e le funzionalità di Microsoft Entra seguenti per semplificare l'esperienza multi-tenant per l'amministrazione e gli utenti all'interno dell'organizzazione:
- Per le organizzazioni con un tenant di Microsoft Entra in più cloud Microsoft, ad esempio il cloud commerciale di Microsoft Azure, Microsoft Azure China 21Vianet, Microsoft Azure per enti pubblici, configurare le impostazioni cloud Microsoft per Collaborazione B2B (anteprima) per semplificare le esperienze dell'utente durante la collaborazione tra tenant.
- I team delle applicazioni e gli sviluppatori devono esaminare le risorse seguenti durante la creazione di applicazioni e servizi per la multi-tenancy: