Scenari per più tenant di Microsoft Entra

Esistono alcuni motivi per cui un'organizzazione potrebbe avere bisogno o voler analizzare più tenant di Microsoft Entra. Gli scenari più comuni sono:

• Fusioni e acquisizioni
• Requisiti normativi o di conformità per paese/area geografica
• Requisiti di isolamento e autonomia dell'unità aziendale o dell'organizzazione
• Fornitore di software indipendente (ISV) che offre applicazioni SaaS da Azure
• Test a livello di tenant/test di Microsoft 365
• Grassroots/Shadow IT/start-up

Fusioni e acquisizioni

Man mano che le organizzazioni crescono nel tempo, potrebbero acquisire altre aziende o organizzazioni. Queste acquisizioni hanno probabilmente tenant Microsoft Entra esistenti già stabiliti che ospitano e forniscono servizi, ad esempio Microsoft 365 (Exchange Online, SharePoint, OneDrive o Teams), Dynamics 365 e Microsoft Azure, all'azienda o all'organizzazione.

In genere, in un'acquisizione, i due tenant di Microsoft Entra vengono consolidati in un singolo tenant di Microsoft Entra. Questo consolidamento riduce il sovraccarico di gestione, migliora l'esperienza di collaborazione e presenta una singola identità di marca ad altre aziende e organizzazioni.

Importante

Un nome di dominio personalizzato (ad esempio, contoso.com) può essere associato solo a un tenant di Microsoft Entra alla volta. Il consolidamento dei tenant è quindi preferibile perché un singolo nome di dominio personalizzato può essere usato da tutte le identità quando si verifica una fusione o uno scenario di acquisizione.

A causa delle complessità del consolidamento di due tenant di Microsoft Entra in uno, a volte i tenant vengono lasciati soli e rimangono separati per un periodo di tempo prolungato o indefinito.

Questo scenario può verificarsi anche quando le organizzazioni o le aziende vogliono rimanere separate perché altre organizzazioni potrebbero acquisire la propria azienda in futuro. Se un'organizzazione mantiene isolati i tenant di Microsoft Entra e non li consolida, se si verifica una fusione o un'acquisizione futura di una singola entità, è necessario meno lavoro.

Requisiti normativi o di conformità per paese/area geografica

Alcune organizzazioni hanno rigorosi controlli e framework di conformità normativi o nazionali (ad esempio, Uk Official, Sarbanes Oxley (SOX) o NIST. Le organizzazioni possono creare più tenant di Microsoft Entra per soddisfare e rispettare questi framework.

Alcune organizzazioni che dispongono di uffici e utenti in tutto il mondo con normative di residenza dei dati più restrittive possono anche creare più tenant di Microsoft Entra. Tuttavia, questo particolare requisito viene in genere risolto all'interno di un singolo tenant di Microsoft Entra usando funzionalità, ad esempio Microsoft 365 Multi-Geo.

Un altro scenario è quando le organizzazioni richiedono Azure per enti pubblici (US Government) o Azure Cina (gestito da 21Vianet). Queste istanze cloud di Azure nazionali richiedono i propri tenant Microsoft Entra. I tenant di Microsoft Entra sono esclusivamente per l'istanza cloud di Azure nazionale e vengono usati per i servizi di gestione delle identità e degli accessi delle sottoscrizioni di Azure all'interno dell'istanza cloud di Azure.

Suggerimento

Per altre informazioni sugli scenari di identità del cloud nazionale/regionale di Azure, vedere:

• identità Azure per enti pubblici
• Connettività e interoperabilità transfrontaliere di Azure Cina
• Autenticazione Microsoft Entra e cloud nazionali/regionali

Come negli scenari precedenti, se l'organizzazione dispone di un framework di conformità alle normative o al paese o all'area geografica per la conformità, potrebbe non essere necessario più tenant di Microsoft Entra come approccio predefinito. La maggior parte delle organizzazioni può essere conforme ai framework all'interno di un singolo tenant di Microsoft Entra usando funzionalità quali Privileged Identity Management e unità Amministrazione istrative.

Requisiti di isolamento e autonomia dell'unità aziendale o dell'organizzazione

Alcune organizzazioni potrebbero avere strutture interne complesse in più business unit oppure potrebbero richiedere un elevato livello di isolamento e autonomia tra le parti dell'organizzazione.

Quando si verifica questo scenario e gli strumenti e le linee guida in Isolamento risorse in un singolo tenant non possono fornire il livello di isolamento richiesto, potrebbe essere necessario distribuire, gestire e gestire più tenant di Microsoft Entra.

Negli scenari di questo tipo, è più comune che non ci siano funzioni centralizzate responsabili della distribuzione, della gestione e del funzionamento di questi più tenant. Al contrario, vengono consegnate completamente alla business unit separata o parte dell'organizzazione per l'esecuzione e la gestione. Un'architettura centralizzata, una strategia o un team di stile CCoE potrebbe comunque fornire indicazioni e consigli sulle procedure consigliate che devono essere configurate nel tenant separato di Microsoft Entra.

Avviso

Le organizzazioni con ruoli operativi e responsabilità creano sfide tra i team che gestiscono il tenant Di Microsoft Entra dell'organizzazione. Azure deve classificare in ordine di priorità la creazione e l'accordo su un'archiviazione con ridondanza geografica tra i due team. Questa azione garantisce che entrambi i team possano lavorare e fornire servizi all'organizzazione e fornire valore all'azienda in modo tempestivo.

Alcune organizzazioni hanno team di sviluppo e infrastruttura cloud che usano Azure. Le organizzazioni si basano su un team di gestione delle identità che ha il controllo sul tenant aziendale di Microsoft Entra per la creazione e la gestione dell'entità servizio. Se non esiste un'istanza raCI concordata, spesso non c'è una mancanza di processo e di comprensione tra i team, che porta ad attriti tra i team e l'intera organizzazione. Alcune organizzazioni ritengono che più tenant di Microsoft Entra siano l'unico modo per superare questa sfida.

Tuttavia, più tenant di Microsoft Entra creano sfide per gli utenti finali, aumenta la complessità nella protezione, nella gestione e nella governance di più tenant e potenzialmente aumentano i costi di licenza. Le licenze, ad esempio Microsoft Entra ID P1 o P2, non si estendono su più tenant di Microsoft Entra. A volte, l'utilizzo di Microsoft Entra B2B può ridurre la duplicazione delle licenze per alcune funzionalità e servizi. Se si prevede di usare Microsoft Entra B2B nella distribuzione, esaminare le condizioni di licenza e le condizioni di licenza di ogni servizio e supporto per l'idoneità di Microsoft Entra B2B.

Le organizzazioni in questa situazione devono risolvere le sfide operative per garantire che i team possano collaborare in un singolo tenant di Microsoft Entra anziché creare più tenant di Microsoft Entra come soluzione alternativa.

Fornitore di software indipendente (ISV) che offre applicazioni SaaS da Azure

Gli ISV che offrono ai clienti prodotti SaaS (software as a Service) possono trarre vantaggio dalla presenza di più tenant Di Microsoft Entra per l'utilizzo di Azure.

Se si è un ISV, si potrebbe avere una separazione tra il tenant Microsoft Entra aziendale, incluso l'utilizzo di Azure, per le attività aziendali come al solito, ad esempio posta elettronica, condivisione di file e applicazioni interne. È anche possibile avere un tenant Microsoft Entra separato in cui le sottoscrizioni di Azure ospitano e forniscono le applicazioni SaaS fornite ai clienti finali. Questo approccio è comune e sensibile perché protegge l'utente e i clienti dagli incidenti di sicurezza.

Per altre informazioni, vedere Considerazioni sul fornitore di software indipendente (ISV) per le zone di destinazione di Azure.

Test a livello di tenant/test di Microsoft 365

Alcune attività e funzionalità nei prodotti, nei servizi e nelle offerte di Microsoft Cloud possono essere testate solo in un tenant Microsoft Entra separato. Alcuni esempi sono:

• Microsoft 365 - Exchange Online, SharePoint e Teams
• Microsoft Entra ID – Microsoft Entra Connessione, livelli di rischio di protezione id Microsoft Entra e applicazioni SaaS
• Test di script che usano l'API Microsoft Graph e possono influire e apportare modifiche all'ambiente di produzione

Quando si desidera eseguire test come gli scenari precedenti, un tenant Microsoft Entra separato è l'unica opzione.

Tuttavia, il tenant Microsoft Entra separato non è destinato all'hosting di sottoscrizioni di Azure che contengono carichi di lavoro, indipendentemente dall'ambiente, ad esempio sviluppo/test. Anche gli ambienti di sviluppo/test devono essere invece contenuti nel tenant regolare "production" di Microsoft Entra.

Suggerimento

Per informazioni su come gestire i test delle zone di destinazione di Azure e dei carichi di lavoro o delle risorse di Azure all'interno di ambienti di destinazione di Azure, vedere:

• Come si gestiscono le zone di destinazione del carico di lavoro "sviluppo/test/produzione" nell'architettura della zona di destinazione di Azure?
• Approccio di test per le zone di destinazione di Azure

Grassroots/Shadow IT/Start-up

Se un team vuole innovare rapidamente, potrebbe creare un tenant Microsoft Entra separato per aiutarli a spostarsi il più rapidamente possibile. Potrebbero, intenzionalmente o involontariamente, evitare il processo e le indicazioni del team centrale/della piattaforma per ottenere l'accesso a un ambiente Azure per svolgere l'innovazione.

Questo scenario è comune nelle start-up da cui configurano il proprio tenant di Microsoft Entra per l'esecuzione, l'hosting e il funzionamento dei servizi e dell'azienda. È in genere previsto, ma quando vengono acquisite le start-up, il tenant aggiuntivo di Microsoft Entra crea un punto decisionale in cui i team IT dell'acquisizione decidono cosa fare in futuro.

Per altre informazioni su come esplorare questo scenario, vedere le sezioni Fusioni e acquisizioni e fornitore di software indipendente (ISV) che offre applicazioni SaaS da Azure in questo articolo.

Importante

È consigliabile che i team della piattaforma dispongano di un processo facilmente accessibile ed efficiente per consentire ai team di accedere a una sottoscrizione o a sottoscrizioni sandbox di Azure ospitate nel tenant aziendale o primario di Microsoft Entra per l'organizzazione. Questo processo impedisce che si verifichino scenari SHADOW IT e impedisca sfide in futuro per tutte le parti coinvolte.

Per altre informazioni sulle sandbox, vedere Linee guida per i gruppi di gestione all'interno dell'area di progettazione dell'organizzazione delle risorse.

Riepilogo

Come descritto in dettaglio negli scenari, esistono diversi motivi per cui l'organizzazione potrebbe richiedere più tenant di Microsoft Entra. Tuttavia, quando si creano più tenant per soddisfare i requisiti all'interno di questi scenari, aggiunge complessità e attività operative per gestire più tenant e potenzialmente aggiunge costi per i requisiti di licenza. Per altre informazioni, vedere Considerazioni e consigli per le zone di destinazione di Azure in scenari multi-tenant.

Passaggi successivi

Considerazioni e consigli per scenari di zona di destinazione di Azure multi-tenant