Share via

Cenários para vários locatários do Microsoft Entra

  • Artigo

Há algumas razões pelas quais uma organização pode precisar ou querer investigar vários locatários do Microsoft Entra. Os cenários mais comuns são:

Fusões e aquisições

À medida que as organizações crescem ao longo do tempo, elas podem adquirir outras empresas ou organizações. Essas aquisições provavelmente terão locatários existentes do Microsoft Entra já estabelecidos que hospedam e fornecem serviços, como Microsoft 365 (Exchange Online, SharePoint, OneDrive ou Teams), Dynamics 365 e Microsoft Azure, para a empresa ou organização.

Normalmente, em uma aquisição, os dois locatários do Microsoft Entra são consolidados em um único locatário do Microsoft Entra. Essa consolidação reduz a sobrecarga de gerenciamento, melhora a experiência de colaboração e apresenta uma identidade de marca única para outras empresas e organizações.

Importante

Um nome de domínio personalizado (por exemplo, contoso.com) só pode ser associado a um locatário do Microsoft Entra por vez. Portanto, a consolidação de locatários é preferida porque um único nome de domínio personalizado pode ser usado por todas as identidades quando ocorre um cenário de fusão ou aquisição.

Devido às complexidades da consolidação de dois locatários do Microsoft Entra em um, às vezes os locatários são deixados sozinhos e permanecem separados por um período de tempo prolongado ou indefinido.

Esse cenário também pode ocorrer quando as organizações ou empresas querem permanecer separadas, porque outras organizações podem adquirir sua empresa no futuro. Se uma organização mantiver os locatários do Microsoft Entra isolados e eles não os consolidarem, haverá menos trabalho se houver uma futura fusão ou aquisição de uma única entidade.

Requisitos de conformidade com o país ou a região

Algumas organizações têm controles e estruturas rígidos de conformidade regulatória ou de país/região (por exemplo, UK Official, Sarbanes Oxley (SOX) ou NIST). As organizações podem criar vários locatários do Microsoft Entra para atender e cumprir essas estruturas.

Algumas organizações que têm escritórios e usuários em todo o mundo com regulamentos de residência de dados mais rígidos também podem criar vários locatários do Microsoft Entra. Mas esse requisito específico geralmente é abordado em um único locatário do Microsoft Entra usando recursos, como o Microsoft 365 Multi-Geo.

Outro cenário é quando as organizações exigem o Azure Government (Governo dos EUA) ou o Azure China (operado pela 21Vianet). Essas instâncias nacionais de nuvem do Azure exigem seus próprios locatários do Microsoft Entra. Os locatários do Microsoft Entra são exclusivamente para essa instância de nuvem nacional do Azure e são usados para os serviços de gerenciamento de identidade e acesso de assinaturas do Azure nessa instância de nuvem do Azure.

Dica

Para obter mais informações sobre os cenários de identidade da nuvem nacional/regional do Azure, consulte:

Como nos cenários anteriores, se sua organização tiver uma estrutura de conformidade regulatória ou de país/região para cumprir, talvez você não exija vários locatários do Microsoft Entra como a abordagem padrão. A maioria das organizações pode estar em conformidade com as estruturas em um único locatário do Microsoft Entra usando recursos, como Gerenciamento de Identidades Privilegiadas e Unidades Administrativas.

Requisitos de isolamento e autonomia da unidade de negócio ou da organização

Algumas organizações podem ter estruturas internas complexas em várias unidades de negócios ou podem exigir um alto nível de isolamento e autonomia entre as partes de sua organização.

Quando esse cenário ocorre e as ferramentas e orientações em Isolamento de recursos em um único locatário não podem fornecer o nível necessário de isolamento, talvez seja necessário implantar, gerenciar e operar vários locatários do Microsoft Entra.

Em cenários como esse, é mais comum que não haja funções centralizadas responsáveis por implantar, gerenciar e operar esses vários locatários. Em vez disso, eles são entregues integralmente à unidade de negócios separada ou parte da organização para executar e gerenciar. Uma equipe centralizada de arquitetura, estratégia ou estilo CCoE ainda pode fornecer orientação e recomendações sobre práticas recomendadas que devem ser configuradas no locatário separado do Microsoft Entra.

Aviso

As organizações que têm funções e responsabilidades operacionais criam desafios entre as equipes que operam o locatário do Microsoft Entra da organização. O Azure deve priorizar a criação e o acordo sobre um RACI claro entre as duas equipes. Essa ação garante que ambas as equipes possam trabalhar e entregar seus serviços para a organização e fornecer valor de volta ao negócio em tempo hábil.

Algumas organizações têm infraestrutura de nuvem e equipes de desenvolvimento que usam o Azure. As organizações dependem de uma equipe de identidade que tem controle sobre o locatário corporativo do Microsoft Entra para a criação da entidade de serviço ou criação e gerenciamento de grupo. Se não há um RACI acordado, muitas vezes há uma falta de processo e entendimento entre as equipes, o que leva a atritos entre as equipes e em toda a organização. Algumas organizações acreditam que vários locatários do Microsoft Entra é a única maneira de superar esse desafio.

Mas vários locatários do Microsoft Entra criam desafios para os usuários finais, aumentam a complexidade na proteção, gerenciamento e controle de vários locatários e potencialmente aumentam os custos de licenciamento. As licenças, como o Microsoft Entra ID P1 ou P2, não abrangem vários locatários do Microsoft Entra. Às vezes, o uso do Microsoft Entra B2B pode aliviar a duplicação de licenciamento para alguns recursos e serviços. Se você planeja usar o Microsoft Entra B2B em sua implantação, revise os termos de licenciamento e a capacidade de suporte de cada recurso e serviço para elegibilidade do Microsoft Entra B2B.

As organizações nessa situação devem resolver os desafios operacionais para garantir que as equipes possam trabalhar juntas em um único locatário do Microsoft Entra, em vez de criar vários locatários do Microsoft Entra como uma solução alternativa.

Fornecedor independente de software (ISV) que fornece aplicativos SaaS do Azure

Os ISVs que fornecem seus produtos SaaS (software como serviço) para seus clientes podem se beneficiar de ter vários locatários do Microsoft Entra para uso do Azure.

Se você for um ISV, talvez tenha separação entre seu locatário corporativo do Microsoft Entra, incluindo o uso do Azure, para suas atividades de negócios como de costume, como email, compartilhamento de arquivos e aplicativos internos. Você também pode ter um locatário separado do Microsoft Entra onde as assinaturas do Azure hospedam e entregam os aplicativos SaaS que você fornece aos seus clientes finais. Essa abordagem é comum e sensata porque protege você e seus clientes de incidentes de segurança.

Para obter mais informações, consulte Considerações sobre ISV (fornecedor independente de software) para zonas de aterrissagem do Azure.

Teste de nível de locatário / Teste do Microsoft 365

Algumas atividades e recursos nos produtos, serviços e ofertas do Microsoft Cloud só podem ser testados em um locatário separado do Microsoft Entra. Alguns exemplos são:

  • Microsoft 365 – Exchange Online, SharePoint e Teams
  • Microsoft Entra ID – Microsoft Entra Connect, Microsoft Entra ID Protection Risk Levels e aplicativos SaaS
  • Testando scripts que usam a API do Microsoft Graph e podem afetar e fazer alterações na produção

Quando você deseja executar testes como os cenários anteriores, um locatário separado do Microsoft Entra é sua única opção.

Mas o locatário separado do Microsoft Entra não é para hospedar assinaturas do Azure que contêm cargas de trabalho, independentemente do ambiente, por exemplo, desenvolvimento/teste. Até mesmo os ambientes de desenvolvimento/teste devem estar contidos em seu locatário regular do Microsoft Entra de "produção".

Dica

Para obter informações sobre como lidar com o teste de zonas de aterrissagem do Azure e cargas de trabalho ou recursos do Azure em ambientes de zonas de aterrissagem do Azure, consulte:

Grassroots / Shadow IT / Start-ups

Se uma equipe quiser inovar rapidamente, ela pode criar um locatário separado do Microsoft Entra para ajudá-la a se mover o mais rápido possível. Eles podem, intencionalmente ou não, evitar o processo e a orientação da equipe central/plataforma para obter acesso a um ambiente do Azure para fazer sua inovação.

Esse cenário é comum em start-ups em que elas configuram seu próprio locatário do Microsoft Entra para executar, hospedar e operar os negócios e os serviços. Normalmente, é de se esperar, mas quando as startups são adquiridas, o locatário extra do Microsoft Entra cria um ponto de decisão onde as equipes de TI da organização adquirente decidem o que fazer daqui para frente.

Para obter mais informações sobre como navegar nesse cenário, consulte as seções Fusões e aquisições e ISV (fornecedor independente de software) entregando aplicativos SaaS do Azure neste artigo.

Importante

É altamente recomendável que as equipes de plataforma tenham um processo facilmente acessível e eficiente para dar às equipes acesso a uma assinatura de área restrita do Azure ou assinaturas hospedadas no locatário corporativo ou principal do Microsoft Entra para a organização. Esse processo evita que cenários de Shadow IT ocorram e evita desafios no futuro para todas as partes envolvidas.

Para obter mais informações sobre áreas restritas, consulte Diretrizes de grupos de gerenciamento na área de design da organização de recursos.

Resumo

Conforme detalhado nos cenários, há vários motivos pelos quais sua organização pode exigir vários locatários do Microsoft Entra. Mas quando você cria vários locatários para atender aos requisitos nesses cenários, isso adiciona complexidade e tarefas operacionais para manter os vários locatários e potencialmente adiciona custos para os requisitos de licenciamento. Para obter mais informações, consulte Considerações e recomendações para zonas de aterrissagem do Azure em cenários multilocatário.

Próximas etapas

Considerações e recomendações para cenários de zona de aterrissagem do Azure multilocatário