Strefy docelowe platformy Azure i wiele dzierżaw firmy Microsoft Entra
Strefy docelowe platformy Azure są oparte na grupach zarządzania. Zasady platformy Azure są przypisywane, a subskrypcje są umieszczane w grupach zarządzania w celu zapewnienia wymaganych mechanizmów kontroli ładu, które organizacja musi spełnić wymagania dotyczące zabezpieczeń i zgodności.
Napiwek
Zobacz Mapowanie mechanizmów kontroli zabezpieczeń za pomocą stref docelowych platformy Azure, aby dowiedzieć się, jak używać strefy docelowej platformy Azure i usługi Azure Policy, aby ułatwić osiągnięcie potrzeb organizacji w zakresie zabezpieczeń, zgodności i przepisów prawnych.
Te zasoby są wdrażane w ramach jednej dzierżawy firmy Microsoft Entra. Grupy zarządzania i większość innych zasobów platformy Azure, takich jak Usługa Azure Policy, obsługuje tylko działanie w ramach jednej dzierżawy firmy Microsoft Entra. Subskrypcja platformy Azure opiera się na dzierżawie firmy Microsoft Entra w celu uwierzytelniania użytkowników, usług i urządzeń w usłudze Azure Resource Manager (ARM) w celu sterowania operacjami płaszczyzny i niektórymi usługami platformy Azure, takimi jak Usługa Azure Storage, na potrzeby operacji płaszczyzny danych.
Wiele subskrypcji może polegać na tej samej dzierżawie firmy Microsoft Entra. Każda subskrypcja może polegać tylko na jednej dzierżawie firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Dodawanie istniejącej subskrypcji platformy Azure do dzierżawy.
Na poprzednim diagramie grupy zarządzania, zasady platformy Azure i subskrypcje platformy Azure są wdrażane zgodnie z architekturą koncepcyjną stref docelowych platformy Azure w ramach jednej dzierżawy firmy Microsoft Entra.
Takie podejście jest zalecane w przypadku większości organizacji w oparciu o ich wymagania. Takie podejście zapewnia organizacjom najlepsze możliwe środowisko współpracy i pozwala im kontrolować, zarządzać i izolować użytkowników i zasoby w ramach jednej dzierżawy firmy Microsoft Entra.
Organizacja może być wymagana do korzystania z wielu dzierżaw firmy Microsoft w wielu scenariuszach. Zobacz , jak wdrożyć wdrożenie strefy docelowej platformy Azure i zarządzać nim w każdej z tych dzierżaw oraz uwagi i zalecenia dotyczące obsługi wielu dzierżaw firmy Microsoft Entra.
Uwaga
Ten artykuł koncentruje się na platformie Azure, a nie na platformie Microsoft 365 lub innych ofertach w chmurze firmy Microsoft, takich jak Dynamics 365 lub Power Platform.
Koncentruje się on na platformie, a nie na aplikacjach opartych na platformie w dzierżawach. Aby uzyskać informacje o wielu dzierżawach i architekturze aplikacji firmy Microsoft, zobacz:
Dlaczego jedna dzierżawa firmy Microsoft Entra jest wystarczająca
Istnieją powody, dla których może być wymagana wiele dzierżaw firmy Microsoft Entra, ale ważne jest, aby zrozumieć, dlaczego jedna dzierżawa firmy Microsoft Entra jest zwykle wystarczająca. Powinien to być domyślny punkt początkowy dla wszystkich organizacji.
Korzystaj z istniejącej firmowej dzierżawy firmy Microsoft Entra dla subskrypcji platformy Azure, aby uzyskać najlepszą produktywność i współpracę na całej platformie.
W ramach jednej dzierżawy zespoły programistyczne i właściciele aplikacji mogą mieć najmniej uprzywilejowane role do tworzenia nieprodukcyjnych wystąpień zasobów platformy Azure i zaufanych aplikacji, aplikacji testowych, użytkowników testowych i grup oraz testowania zasad dla tych obiektów. Aby uzyskać więcej informacji na temat delegowania administracji za pomocą jednej dzierżawy, zobacz Izolacja zasobów w jednej dzierżawie.
Utwórz więcej dzierżaw firmy Microsoft Entra tylko wtedy, gdy istnieją wymagania, których nie można spełnić przy użyciu firmowej dzierżawy firmy Microsoft Entra.
W przypadku platformy Microsoft 365 firmowa dzierżawa firmy Microsoft Entra jest zazwyczaj pierwszą dzierżawą aprowizowaną w organizacji. Ta dzierżawa jest używana na potrzeby dostępu do aplikacji firmowych i usług Platformy Microsoft 365. Obsługuje współpracę w organizacji. Przyczyną rozpoczęcia pracy z tą istniejącą dzierżawą jest to, że została już aprowizowana, zarządzana i zabezpieczona. Zdefiniowany cykl życia tożsamości prawdopodobnie został już ustalony. Ten kurs ułatwia dołączanie nowych aplikacji, zasobów i subskrypcji. Jest to dojrzałe, zrozumiałe środowisko z ustalonym procesem, procedurami i mechanizmami kontroli.
Złożoność z wieloma dzierżawami firmy Microsoft Entra
Podczas tworzenia nowej dzierżawy microsoft Entra wymaga dodatkowej pracy w celu aprowizacji, zabezpieczania i zarządzania tożsamościami oraz zarządzania nimi. Należy również ustanowić wymagane zasady i procedury. Współpraca jest najlepsza w jednej dzierżawie firmy Microsoft Entra. Przejście do modelu wielodostępnego tworzy granicę, co może spowodować tarcie użytkowników, obciążenie związane z zarządzaniem i zwiększenie obszaru obszaru podatnego na ataki, co może spowodować ryzyko bezpieczeństwa i skomplikować scenariusze i ograniczenia produktów. Przykłady obejmują:
- Wiele tożsamości dla użytkowników i administratorów dla każdej dzierżawy — jeśli firma Microsoft Entra B2B nie jest używana, użytkownik ma wiele zestawów poświadczeń do zarządzania. Aby uzyskać więcej informacji, zobacz Zagadnienia i zalecenia dotyczące scenariuszy wielodostępnych stref docelowych platformy Azure.
- Ograniczenia usług platformy Azure dotyczące obsługi wielu dzierżaw firmy Microsoft Entra — obciążenia platformy Azure, które obsługują tylko tożsamości dostępne w dzierżawie, z którą jest powiązana. Aby uzyskać więcej informacji, zobacz Integracja produktów i usług platformy Azure firmy Microsoft.
- Brak scentralizowanej konfiguracji ani zarządzania dzierżawami firmy Microsoft Entra — wiele zasad zabezpieczeń, zasad zarządzania, konfiguracji, portali, interfejsów API i JML (sprzężeń, przenoszenia i opuszczających) procesów.
- Złożoność rozliczeń i licencjonowania oraz potencjalne wymaganie duplikowania licencji dla licencji microsoft Entra ID P1 lub P2 — aby uzyskać więcej informacji, zobacz Zagadnienia i zalecenia dotyczące scenariuszy wielodostępnych stref docelowych platformy Azure.
Organizacje muszą być jasne, dlaczego odbiegają od firmowego modelu dzierżawy Firmy Microsoft Entra, aby upewnić się, że dodatkowe obciążenie i złożoność są uzasadnione w spełnieniu wymagań. W artykule dotyczącym scenariuszy przedstawiono przykłady tych wystąpień.
Ważne
Użyj usługi Microsoft Entra Privileged Identity Management , aby chronić uprzywilejowane role w ramach identyfikatora Entra firmy Microsoft i platformy Azure.
Własność ról uprzywilejowanych w zespołach i działach wewnętrznych może stanowić wyzwanie, ponieważ zespół tożsamości i zespół platformy Azure często znajdują się w różnych zespołach, działach i strukturach organizacji.
Zespoły, które obsługują platformę Azure, są odpowiedzialne za usługi platformy Azure i chcą zapewnić bezpieczeństwo zarządzanych usług. Gdy osoby spoza tego zespołu mają role z uprawnieniami do potencjalnie uzyskiwania dostępu do swoich środowisk, bezpieczeństwo jest słabsze. Aby uzyskać więcej informacji, zobacz Omówienie wymaganych funkcji w chmurze.
Identyfikator Entra firmy Microsoft udostępnia mechanizmy kontroli, które pomagają wyeliminować ten problem na poziomie technicznym, ale ten problem jest również dyskusją dotyczącą osób i procesów. Aby uzyskać więcej informacji, zobacz Zalecenia.
Ważne
Wiele dzierżaw firmy Microsoft Entra nie jest zalecanym podejściem dla większości klientów. Jedna dzierżawa firmy Microsoft Entra, zazwyczaj firmowa dzierżawa firmy Microsoft Entra, jest zalecana dla większości klientów, ponieważ zapewnia niezbędne wymagania dotyczące separacji.
Aby uzyskać więcej informacji, zobacz:
- Definiowanie dzierżaw firmy Microsoft Entra
- Architektura: standaryzacja pojedynczego katalogu i tożsamości
- Metoda testowania dla stref docelowych platformy Azure
- Wprowadzenie do delegowanych środowisk administracyjnych i izolowanych
- Izolacja zasobów w jednej dzierżawie
- Dzierżawy platformy Microsoft 365 dla przedsiębiorstw