Zonas de aterrissagem do Azure e vários locatários do Microsoft Entra
As zonas de aterrissagem do Azure são criadas em grupos de gerenciamento. As políticas do Azure são atribuídas e as assinaturas são colocadas em grupos de gerenciamento para fornecer os controles de governança necessários de que uma organização precisa para atender às suas necessidades de segurança e conformidade.
Dica
Consulte Mapeamento de controle de segurança com zonas de aterrissagem do Azure para saber como usar a zona de aterrissagem do Azure e a Política do Azure para ajudar a atender às necessidades de segurança, conformidade e regulamentação da sua organização.
Esses recursos são implantados em um único locatário do Microsoft Entra. Os grupos de gerenciamento e a maioria dos outros recursos do Azure, como a Política do Azure, oferecem suporte apenas à operação em um único locatário do Microsoft Entra. Uma assinatura do Azure depende de um locatário do Microsoft Entra para autenticar usuários, serviços e dispositivos no Azure Resource Manager (ARM) para controlar as operações do plano e alguns serviços do Azure, como o Armazenamento do Azure, para operações do plano de dados.
Várias assinaturas podem contar com o mesmo locatário do Microsoft Entra. Cada assinatura só pode contar com um único locatário do Microsoft Entra. Para obter mais informações, consulte Adicionar uma assinatura existente do Azure ao seu locatário.
No diagrama anterior, os grupos de gerenciamento, as Políticas do Azure e as assinaturas do Azure são implantados seguindo a arquitetura conceitual das zonas de aterrissagem do Azure em um único locatário do Microsoft Entra.
Essa abordagem é recomendada para a maioria das organizações com base em seus requisitos. Essa abordagem oferece às organizações a melhor experiência de colaboração possível e permite que elas controlem, controlem e isolem usuários e recursos em um único locatário do Microsoft Entra.
Sua organização pode ser obrigada a usar vários locatários do Microsoft Entra para muitos cenários. Veja como implantar e gerenciar a implantação da zona de aterrissagem do Azure em cada um desses locatários e considerações e recomendações para lidar com vários locatários do Microsoft Entra.
Observação
Este artigo se concentra no Azure, não no Microsoft 365 ou em outras ofertas do Microsoft Cloud, como o Dynamics 365 ou o Power Platform.
Ele se concentra na plataforma em vez de aplicativos que são construídos sobre a plataforma em locatários. Para obter informações sobre vários locatários do Microsoft Entra e arquitetura de aplicativos, consulte:
Por que um único locatário do Microsoft Entra é suficiente
Há motivos pelos quais você pode exigir vários locatários do Microsoft Entra, mas é importante entender por que um único locatário do Microsoft Entra normalmente é suficiente. Deve ser o ponto de partida padrão para todas as organizações.
Use seu locatário corporativo existente do Microsoft Entra para assinaturas do Azure para obter a melhor experiência de produtividade e colaboração em toda a plataforma.
Em um único locatário, as equipes de desenvolvimento e os proprietários de aplicativos podem ter as funções menos privilegiadas para criar instâncias de não produção de recursos e aplicativos confiáveis do Azure, testar aplicativos, testar usuários e grupos e testar políticas para esses objetos. Para obter mais informações sobre como delegar a administração com um único locatário, consulte Isolamento de recursos em um único locatário.
Crie mais locatários do Microsoft Entra somente quando houver requisitos que não possam ser atendidos usando o locatário corporativo do Microsoft Entra.
Com o Microsoft 365, o locatário corporativo do Microsoft Entra geralmente é o primeiro locatário provisionado na organização. Esse locatário é usado para acesso a aplicativos corporativos e serviços do Microsoft 365. Ele suporta a colaboração dentro de uma organização. O motivo para começar com esse locatário existente é porque ele já foi provisionado, gerenciado e protegido. O ciclo de vida definido das identidades provavelmente já está estabelecido. Este curso facilita a tarefa de integrar novos aplicativos, recursos e assinaturas. É um ambiente maduro e compreendido, com processos, procedimentos e controles estabelecidos.
Complexidades com vários locatários do Microsoft Entra
Quando você cria um novo locatário do Microsoft Entra, ele requer trabalho extra para provisionar, gerenciar, proteger e controlar as identidades. Você também deve estabelecer as políticas e procedimentos necessários. A colaboração é melhor em um único locatário do Microsoft Entra. A mudança para um modelo multilocatário cria um limite, o que pode resultar em atrito do usuário, sobrecarga de gerenciamento e aumentar a área de superfície de ataque, o que pode causar um risco de segurança e complicar cenários e limitações do produto. Alguns exemplos incluem:
- Várias identidades para usuários e administradores para cada locatário – Se o Microsoft Entra B2B não for usado, o usuário terá vários conjuntos de credenciais para gerenciar. Para obter mais informações, consulte Considerações e recomendações para cenários de zona de aterrissagem do Azure multilocatário.
- Limitações dos serviços do Azure no suporte a vários locatários do Microsoft Entra – cargas de trabalho do Azure que oferecem suporte apenas a identidades hospedadas no locatário ao qual ele está vinculado. Para obter mais informações, consulte Integração do Microsoft Entra com produtos e serviços do Azure.
- Nenhuma configuração ou gerenciamento centralizado para locatários do Microsoft Entra – Várias políticas de segurança, políticas de gerenciamento, configuração, portais, APIs e processos JML (juneiners, movers e leavers).
- Complexidades de cobrança e licenciamento e potencial requisito de duplicação de licença para licenças P1 ou P2 do Microsoft Entra ID - Para obter mais informações, consulte Considerações e recomendações para cenários de zona de aterrissagem do Azure multilocatário.
As organizações precisam ser claras sobre por que estão se desviando do modelo corporativo de locatário do Microsoft Entra para garantir que a sobrecarga e a complexidade extras sejam justificadas para atender aos requisitos. Há exemplos dessas instâncias no artigo de cenários.
A função de Administrador Global (Administrador Global) é outra preocupação. A função Administrador Global fornece o nível mais alto de permissões disponíveis em um locatário do Microsoft Entra. No Azure, qualquer administrador global pode assumir o controle de qualquer assinatura do Azure vinculada ao locatário do Microsoft Entra. Para obter mais informações, confira Elevar o acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure.
Importante
O Microsoft Entra Privileged Identity Management deve ser usado para ajudar a proteger essa função e outras funções privilegiadas na ID do Microsoft Entra e no Azure.
A propriedade dessa função entre equipes e departamentos internos pode ser um desafio, já que a equipe de Identidade e a equipe do Azure geralmente estão em equipes, departamentos e estruturas organizacionais diferentes.
As equipes que operam o Azure são responsáveis pelos serviços do Azure e desejam garantir a segurança dos serviços que gerenciam. Quando indivíduos fora dessa equipe têm funções com o poder de acessar potencialmente seus ambientes, a segurança é mais fraca. Para obter mais informações, consulte Compreender as funções de nuvem necessárias.
O Microsoft Entra ID fornece controles que ajudam a mitigar esse problema em um nível técnico, mas esse problema também é uma discussão de pessoas e processos. Para obter mais informações, consulte Recomendações.
Importante
Vários locatários do Microsoft Entra não são a abordagem recomendada para a maioria dos clientes. Um único locatário do Microsoft Entra, normalmente o locatário corporativo do Microsoft Entra, é recomendado para a maioria dos clientes porque fornece os requisitos de separação necessários.
Para saber mais, veja: