Scenario's voor meerdere Microsoft Entra-tenants

  • Artikel

Er zijn enkele redenen waarom een organisatie mogelijk meerdere Microsoft Entra-tenants nodig heeft of wilt onderzoeken. De meest voorkomende scenario's zijn:

Fusies en overnames

Naarmate organisaties in de loop van de tijd groeien, kunnen ze andere bedrijven of organisaties verkrijgen. Deze overnames hebben waarschijnlijk bestaande Microsoft Entra-tenants al vastgesteld die services hosten en leveren, zoals Microsoft 365 (Exchange Online, SharePoint, OneDrive of Teams), Dynamics 365 en Microsoft Azure, voor het bedrijf of de organisatie.

Bij een overname worden de twee Microsoft Entra-tenants doorgaans samengevoegd tot één Microsoft Entra-tenant. Deze samenvoeging vermindert de beheeroverhead, verbetert de samenwerkingservaring en presenteert één merkidentiteit aan andere bedrijven en organisaties.

Belangrijk

Een aangepaste domeinnaam (bijvoorbeeld contoso.com) kan slechts worden gekoppeld aan één Microsoft Entra-tenant tegelijk. Het consolideren van tenants heeft dus de voorkeur omdat één aangepaste domeinnaam door alle identiteiten kan worden gebruikt wanneer er een fusie- of overnamescenario plaatsvindt.

Vanwege de complexiteit van het consolideren van twee Microsoft Entra-tenants in één, blijven de tenants soms alleen en blijven ze gedurende een langere of onbepaalde tijd gescheiden.

Dit scenario kan ook optreden wanneer de organisaties of bedrijven gescheiden willen blijven, omdat andere organisaties in de toekomst hun bedrijf kunnen verwerven. Als een organisatie de Microsoft Entra-tenants geïsoleerd houdt en ze deze niet consolideren, is er minder werk als er een toekomstige fusie of overname van één entiteit is.

Nalevingsvereisten voor regelgeving of land/regio

Sommige organisaties hebben strikte controles en frameworks voor naleving van regelgeving of landen/regio's (bijvoorbeeld UK Official, Sarbanes Oxley (SOX) of NIST. Organisaties kunnen meerdere Microsoft Entra-tenants maken om aan deze frameworks te voldoen en te voldoen.

Sommige organisaties met kantoren en gebruikers over de hele wereld met strengere regelgeving voor gegevenslocatie kunnen ook meerdere Microsoft Entra-tenants maken. Maar deze specifieke vereiste wordt meestal aangepakt binnen één Microsoft Entra-tenant met behulp van functies, zoals Microsoft 365 Multi-Geo.

Een ander scenario is wanneer organisaties Azure Government (US Government) of Azure China (beheerd door 21Vianet) vereisen. Deze nationale Azure-cloudinstanties vereisen hun eigen Microsoft Entra-tenants. De Microsoft Entra-tenants zijn uitsluitend bedoeld voor dat nationale Azure-cloudexemplaren en worden gebruikt voor de identiteits- en toegangsbeheerservices van Azure-abonnementen binnen dat Azure-cloudexemplaren.

Tip

Zie voor meer informatie over identiteitsscenario's van azure/regionale cloud:

Net als in de vorige scenario's, als uw organisatie een nalevingsframework voor regelgeving of land/regio heeft om te voldoen, hebt u mogelijk niet meerdere Microsoft Entra-tenants nodig als standaardbenadering. De meeste organisaties kunnen voldoen aan de frameworks binnen één Microsoft Entra-tenant met behulp van functies, zoals Privileged Identity Management en Beheer istratieve eenheden.

Vereisten voor bedrijfseenheid of organisatieisolatie en autonomie

Sommige organisaties hebben mogelijk complexe interne structuren in meerdere bedrijfseenheden, of ze vereisen mogelijk een hoog niveau van isolatie en autonomie tussen onderdelen van hun organisatie.

Wanneer dit scenario zich voordoet en de hulpprogramma's en richtlijnen in resource-isolatie in één tenant niet het vereiste isolatieniveau kunnen bieden, moet u mogelijk meerdere Microsoft Entra-tenants implementeren, beheren en gebruiken.

In dergelijke scenario's is het gebruikelijker dat er geen gecentraliseerde functies zijn die verantwoordelijk zijn voor het implementeren, beheren en gebruiken van deze meerdere tenants. In plaats daarvan worden ze volledig overgedragen aan de gescheiden bedrijfseenheid of een deel van de organisatie dat moet worden uitgevoerd en beheerd. Een gecentraliseerd architectuur-, strategie- of CCoE-stijlteam kan nog steeds richtlijnen en aanbevelingen bieden voor aanbevolen procedures die moeten worden geconfigureerd in de afzonderlijke Microsoft Entra-tenant.

Waarschuwing

Organisaties met operationele rollen en verantwoordelijkheden zorgen voor uitdagingen tussen teams die de Microsoft Entra-tenant van de organisatie uitvoeren. Azure moet prioriteit geven aan het maken en akkoord gaan met een duidelijke RACI tussen de twee teams. Deze actie zorgt ervoor dat beide teams kunnen werken en hun services aan de organisatie kunnen leveren en tijdig waarde kunnen bieden aan het bedrijf.

Sommige organisaties hebben cloudinfrastructuur- en ontwikkelteams die Gebruikmaken van Azure. De organisaties zijn afhankelijk van een identiteitsteam dat controle heeft over de Microsoft Entra-tenant van het bedrijf voor het maken van een service-principal of het maken en beheren van groepen. Als er geen overeengekomen RACI is, is er vaak een gebrek aan proces en begrip tussen de teams, wat tot wrijving tussen de teams en de hele organisatie leidt. Sommige organisaties geloven dat meerdere Microsoft Entra-tenants de enige manier zijn om deze uitdaging te overwinnen.

Maar meerdere Microsoft Entra-tenants zorgen voor uitdagingen voor eindgebruikers, verhoogt de complexiteit in het beveiligen, beheren en beheren van meerdere tenants en verhoogt mogelijk de licentiekosten. Licenties, zoals Microsoft Entra ID P1 of P2, omvatten niet meerdere Microsoft Entra-tenants. Soms kan het gebruik van Microsoft Entra B2B de duplicatie van licenties voor sommige functies en services verminderen. Als u Van plan bent Om Microsoft Entra B2B te gebruiken in uw implementatie, controleert u de licentievoorwaarden en ondersteuningsmogelijkheden van elke functie en service voor geschiktheid voor Microsoft Entra B2B.

Organisaties in deze situatie moeten de operationele uitdagingen oplossen om ervoor te zorgen dat teams kunnen samenwerken in één Microsoft Entra-tenant in plaats van meerdere Microsoft Entra-tenants te maken als tijdelijke oplossing.

Onafhankelijke softwareleverancier (ISV) die SaaS-toepassingen van Azure levert

ISV's die hun SaaS-producten (software as a service) aan hun klanten leveren, kunnen profiteren van meerdere Microsoft Entra-tenants voor hun Azure-gebruik.

Als u een ISV bent, hebt u mogelijk een scheiding tussen uw Zakelijke Microsoft Entra-tenant, inclusief Azure-gebruik, voor uw zakelijke activiteiten, zoals e-mail, het delen van bestanden en interne toepassingen. Mogelijk hebt u ook een afzonderlijke Microsoft Entra-tenant waarin Azure-abonnementen worden gehost en de SaaS-toepassingen leveren die u aan uw eindklanten levert. Deze aanpak is gebruikelijk en verstandig omdat u en uw klanten worden beschermd tegen beveiligingsincidenten.

Zie De overwegingen voor onafhankelijke softwareleveranciers (ISV) voor Azure-landingszones voor meer informatie.

Testen op tenantniveau / Microsoft 365-tests

Sommige activiteiten en functies in de Microsoft Cloud-producten, -services en -aanbiedingen kunnen alleen worden getest in een afzonderlijke Microsoft Entra-tenant. Enkele voorbeelden:

  • Microsoft 365 – Exchange Online, SharePoint en Teams
  • Microsoft Entra ID : Microsoft Entra Verbinding maken, Risiconiveaus voor Microsoft Entra-id-beveiliging en SaaS-toepassingen
  • Scripts testen die gebruikmaken van de Microsoft Graph API en die kunnen worden doorgevoerd en wijzigingen aanbrengen in de productie

Wanneer u tests zoals in de vorige scenario's wilt uitvoeren, is een afzonderlijke Microsoft Entra-tenant uw enige optie.

Maar de afzonderlijke Microsoft Entra-tenant is niet bedoeld voor het hosten van Azure-abonnementen die workloads bevatten, ongeacht de omgeving, bijvoorbeeld dev/test. Zelfs ontwikkel-/testomgevingen moeten in plaats daarvan worden opgenomen in uw reguliere 'productie' Microsoft Entra-tenant.

Tip

Zie voor meer informatie over het afhandelen van het testen van Azure-landingszones en Azure-workloads of -resources in Azure-landingszonesomgevingen:

Grassroots / Shadow IT / Start-ups

Als een team snel wil innoveren, kunnen ze een afzonderlijke Microsoft Entra-tenant maken om ze zo snel mogelijk te helpen zich te verplaatsen. Ze kunnen opzettelijk of onbedoeld het proces en de richtlijnen van het centrale/platformteam vermijden om toegang te krijgen tot een Azure-omgeving om hun innovatie uit te voeren.

Dit scenario is gebruikelijk in start-ups waar ze hun eigen Microsoft Entra-tenant instellen om het bedrijf en de services uit te voeren, te hosten en uit te voeren. Het is doorgaans te verwachten, maar wanneer start-ups worden verkregen, maakt de extra Microsoft Entra-tenant een beslissingspunt waar de IT-teams van de organisatie bepalen wat er in de toekomst moet gebeuren.

Zie de secties Fusies en overnames en Onafhankelijke softwareleverancier (ISV) die SaaS-toepassingen leveren vanuit Azure-secties in dit artikel voor meer informatie over het navigeren in dit scenario.

Belangrijk

We raden platformteams ten zeerste aan een eenvoudig toegankelijk en efficiënt proces te gebruiken om teams toegang te geven tot een Azure-sandboxabonnement of -abonnementen die zijn opgenomen in de zakelijke of primaire Microsoft Entra-tenant voor de organisatie. Dit proces voorkomt dat schaduw-IT-scenario's optreden en voorkomt in de toekomst uitdagingen voor alle betrokken partijen.

Zie de richtlijnen voor beheergroepen in het ontwerpgebied van de resourceorganisatie voor meer informatie over sandboxes.

Samenvatting

Zoals beschreven in de scenario's, zijn er verschillende redenen waarom uw organisatie mogelijk meerdere Microsoft Entra-tenants vereist. Wanneer u echter meerdere tenants maakt om te voldoen aan de vereisten binnen deze scenario's, worden complexiteit en operationele taken toegevoegd om de meerdere tenants te onderhouden en worden er mogelijk kosten toegevoegd voor licentievereisten. Zie Overwegingen en aanbevelingen voor Azure-landingszones in scenario's met meerdere tenants voor meer informatie.

Volgende stappen

Overwegingen en aanbevelingen voor azure-landingszonescenario's met meerdere tenants