Partilhar via


Isolamento de recursos com vários locatários

Há cenários específicos em que delegar a administração em um único limite de locatário não atende às suas necessidades. Nesta seção, há requisitos que podem levá-lo a criar uma arquitetura multilocatário. As organizações multilocatárias podem abranger dois ou mais locatários do Microsoft Entra. Isso pode resultar em requisitos exclusivos de colaboração e gerenciamento entre locatários. As arquiteturas multilocatárias aumentam a sobrecarga e a complexidade do gerenciamento e devem ser usadas com cautela. Recomendamos o uso de um único locatário se suas necessidades puderem ser atendidas com essa arquitetura. Para obter informações mais detalhadas, consulte Gerenciamento de usuários multilocatário.

Um locatário separado cria um novo limite e, portanto, o gerenciamento dissociado de funções de diretório do Microsoft Entra, objetos de diretório, políticas de Acesso Condicional, grupos de recursos do Azure, grupos de gerenciamento do Azure e outros controles, conforme descrito nas seções anteriores.

Um locatário separado é útil para o departamento de TI de uma organização validar alterações em todo o locatário em serviços da Microsoft, como Intune, Microsoft Entra Connect ou uma configuração de autenticação híbrida, enquanto protege os usuários e recursos de uma organização. Isso inclui testar configurações de serviço que podem ter efeitos em todo o locatário e não podem ter escopo para um subconjunto de usuários no locatário de produção.

A implantação de um ambiente que não seja de produção em um locatário separado pode ser necessária durante o desenvolvimento de aplicativos personalizados que podem alterar dados de objetos de usuário de produção com o MS Graph ou APIs semelhantes (por exemplo, aplicativos que recebem Directory.ReadWrite.All ou escopo amplo semelhante).

Nota

Sincronização do Microsoft Entra Connect com vários locatários, o que pode ser útil ao implantar um ambiente que não seja de produção em um locatário separado. Para obter mais informações, consulte Microsoft Entra Connect: topologias suportadas.

resultados

Além dos resultados alcançados com uma arquitetura de locatário único, conforme descrito anteriormente, as organizações podem dissociar totalmente as interações de recurso e locatário:

Separação de recursos

  • Visibilidade - Os recursos em um locatário separado não podem ser descobertos ou enumerados por usuários e administradores em outros locatários. Da mesma forma, os relatórios de uso e os logs de auditoria estão contidos no novo limite do locatário. Essa separação de visibilidade permite que as organizações gerenciem os recursos necessários para projetos confidenciais.

  • Pegada de objeto - Os aplicativos que gravam no Microsoft Entra ID e/ou em outros serviços do Microsoft Online por meio do Microsoft Graph ou de outras interfaces de gerenciamento podem operar em um espaço de objeto separado. Isso permite que as equipes de desenvolvimento realizem testes durante o ciclo de vida de desenvolvimento de software sem afetar outros locatários.

  • Quotas - O consumo de Quotas e Limites do Azure em todo o inquilino é separado do dos outros inquilinos.

Separação de configuração

Um novo locatário fornece um conjunto separado de configurações em todo o locatário que podem acomodar recursos e aplicativos confiáveis que têm requisitos que precisam de configurações diferentes no nível do locatário. Além disso, um novo locatário fornece um novo conjunto de serviços do Microsoft Online, como o Office 365.

Separação administrativa

Um novo limite de locatário envolve um conjunto separado de funções de diretório do Microsoft Entra, que permite configurar diferentes conjuntos de administradores.

Uso comum

O diagrama a seguir ilustra um uso comum para isolamento de recursos em vários locatários: um ambiente de pré-produção ou "área restrita" que requer mais separação do que pode ser alcançado com a administração delegada em um único locatário.

Diagrama que mostra o cenário de uso comum.

A Contoso é uma organização que aumentou sua arquitetura de locatário corporativo com um locatário de pré-produção chamado ContosoSandbox.com. O locatário de área restrita é usado para dar suporte ao desenvolvimento contínuo de soluções corporativas que gravam no Microsoft Entra ID e no Microsoft 365 usando o Microsoft Graph. Essas soluções são implantadas no locatário corporativo.

O locatário da área restrita é colocado online para evitar que os aplicativos em desenvolvimento afetem os sistemas de produção direta ou indiretamente, consumindo recursos do locatário e afetando cotas ou limitando.

Os desenvolvedores precisam de acesso ao locatário da área restrita durante o ciclo de vida do desenvolvimento, idealmente com acesso de autoatendimento exigindo permissões adicionais restritas no ambiente de produção. Exemplos dessas permissões adicionais podem incluir criar, excluir e atualizar contas de usuário, registrar aplicativos, provisionar e desprovisionar recursos do Azure e alterações em políticas ou na configuração geral do ambiente.

Neste exemplo, a Contoso usa a Colaboração B2B do Microsoft Entra para provisionar usuários do locatário corporativo para permitir que usuários possam gerenciar e acessar recursos em aplicativos no locatário de área restrita sem gerenciar várias credenciais. Esse recurso é orientado principalmente para cenários de colaboração entre organizações. No entanto, empresas com vários locatários, como a Contoso, podem usar esse recurso para evitar a administração adicional do ciclo de vida das credenciais e complexidades da experiência do usuário.

Use as configurações de acesso entre locatários de Identidades Externas para gerenciar como você colabora com outras organizações do Microsoft Entra por meio da colaboração B2B. Essas configurações determinam o nível de acesso de entrada que os usuários em organizações externas do Microsoft Entra têm para seus recursos e o nível de acesso de saída que seus usuários têm para organizações externas. Eles também permitem que você confie na autenticação multifator (MFA) e nas declarações de dispositivo (declarações compatíveis e declarações unidas híbridas do Microsoft Entra) de outras organizações do Microsoft Entra. Para obter detalhes e considerações de planejamento, consulte Acesso entre locatários na ID externa do Microsoft Entra.

Outra abordagem poderia ter sido utilizar os recursos do Microsoft Entra Connect para sincronizar as mesmas credenciais locais do Microsoft Entra com vários locatários, mantendo a mesma senha, mas diferenciando no domínio UPN dos usuários.

Isolamento de recursos multilocatários

Com um novo locatário, você tem um conjunto separado de administradores. As organizações podem optar por usar identidades corporativas por meio da colaboração B2B do Microsoft Entra. Da mesma forma, as organizações podem implementar o Azure Lighthouse para gerenciamento entre locatários de recursos do Azure para que as assinaturas do Azure que não sejam de produção sejam gerenciadas por identidades na contraparte de produção. O Azure Lighthouse não pode ser usado para gerenciar serviços fora do Azure, como o Microsoft Intune. Para Provedores de Serviços Gerenciados (MSPs), o Microsoft 365 Lighthouse é um portal de administração que ajuda a proteger e gerenciar dispositivos, dados e usuários em escala para clientes de pequenas e médias empresas (SMB) que usam o Microsoft 365 Business Premium, Microsoft 365 E3 ou Windows 365 Business.

Isso permitirá que os usuários continuem a usar suas credenciais corporativas, enquanto alcançam os benefícios da separação.

A colaboração B2B do Microsoft Entra em locatários de área restrita deve ser configurada para permitir que apenas identidades do ambiente corporativo sejam integradas usando listas de permissão/negação B2B do Azure. Para locatários que você deseja permitir B2B, considere usar as configurações de acesso entre locatários de Identidades Externas para autenticação multifator entre locatários\Confiança de dispositivo.

Importante

As arquiteturas multilocatárias com acesso a identidade externa habilitado fornecem apenas isolamento de recursos, mas não habilitam o isolamento de identidade. O isolamento de recursos usando a colaboração B2B do Microsoft Entra e o Azure Lighthouse não reduz os riscos relacionados às identidades.

Se o ambiente de área restrita compartilhar identidades com o ambiente corporativo, os seguintes cenários serão aplicáveis ao locatário da área restrita:

  • Um ator mal-intencionado que comprometa um usuário, um dispositivo ou uma infraestrutura híbrida no locatário corporativo e seja convidado para o locatário da área restrita pode obter acesso aos aplicativos e recursos do locatário da área restrita.

  • Um erro operacional (por exemplo, exclusão de conta de usuário ou revogação de credenciais) no locatário corporativo pode afetar o acesso de um usuário convidado ao locatário da área restrita.

Você deve fazer a análise de risco e, potencialmente, considerar o isolamento de identidade por meio de vários locatários para recursos críticos para os negócios que exigem uma abordagem altamente defensiva. O Azure Privileged Identity Management pode ajudar a mitigar alguns dos riscos, impondo segurança extra para acessar locatários e recursos críticos para os negócios.

Objetos de diretório

O locatário que você usa para isolar recursos pode conter os mesmos tipos de objetos, recursos do Azure e aplicativos confiáveis que seu locatário principal. Talvez seja necessário provisionar os seguintes tipos de objeto:

Usuários e grupos: identidades necessárias para as equipes de engenharia de soluções, como:

  • Administradores de ambiente Sandbox.

  • Proprietários técnicos de aplicações.

  • Desenvolvedores de aplicativos de linha de negócios.

  • Teste contas de usuário final.

Essas identidades podem ser provisionadas para:

  • Funcionários que vêm com sua conta corporativa por meio da colaboração B2B do Microsoft Entra.

  • Funcionários que precisam de contas locais para administração, acesso administrativo de emergência ou outros motivos técnicos.

Os clientes que têm ou exigem que o Ative Directory local não seja de produção também podem sincronizar suas identidades locais com o locatário da área restrita, se necessário pelos recursos e aplicativos subjacentes.

Dispositivos: O locatário que não está sendo de produção contém um número reduzido de dispositivos na medida do necessário no ciclo de engenharia da solução:

  • Estações de trabalho de administração

  • Computadores e dispositivos móveis que não são de produção necessários para desenvolvimento, testes e documentação

Aplicações

Aplicativos integrados do Microsoft Entra: Objetos de aplicativo e entidades de serviço para:

  • Instâncias de teste dos aplicativos implantados em produção (por exemplo, aplicativos que gravam no Microsoft Entra ID e nos serviços online da Microsoft).

  • Serviços de infraestrutura para gerenciar e manter o locatário que não é de produção, potencialmente um subconjunto das soluções disponíveis no locatário corporativo.

Microsoft Online Services:

  • Normalmente, a equipe proprietária do Microsoft Online Services em produção deve ser a proprietária da instância de não produção desses serviços.

  • Os administradores de ambientes de teste que não sejam de produção não devem provisionar o Microsoft Online Services, a menos que esses serviços estejam sendo testados especificamente. Isso evita o uso inadequado de serviços da Microsoft, por exemplo, configurando sites de produção do SharePoint em um ambiente de teste.

  • Da mesma forma, o provisionamento dos serviços Microsoft Online que podem ser iniciados por usuários finais (também conhecidos como assinaturas ad-hoc) deve ser bloqueado. Para obter mais informações, consulte O que é a inscrição de autoatendimento para o Microsoft Entra ID?.

  • Geralmente, todos os recursos de licença não essenciais devem ser desabilitados para o locatário usando o licenciamento baseado em grupo. Isso deve ser feito pela mesma equipe que gerencia as licenças no locatário de produção, para evitar erros de configuração por desenvolvedores que podem não saber o efeito de habilitar recursos licenciados.

Recursos do Azure

Todos os recursos do Azure necessários para aplicativos confiáveis também podem ser implantados. Por exemplo, bancos de dados, máquinas virtuais, contêineres, funções do Azure e assim por diante. Para seu ambiente de área restrita, você deve ponderar a economia de custos do uso de SKUs menos dispendiosos para produtos e serviços com menos recursos de segurança disponíveis.

O modelo RBAC para controle de acesso ainda deve ser empregado em um ambiente de não produção, caso as alterações sejam replicadas para a produção após a conclusão dos testes. A falha em fazer isso permite que as falhas de segurança no ambiente de não produção se propaguem para o locatário de produção.

Isolamento de recursos e identidades com vários locatários

Resultados do isolamento

Há situações limitadas em que o isolamento de recursos não pode atender às suas necessidades. Você pode isolar recursos e identidades em uma arquitetura multilocatária desativando todos os recursos de colaboração entre locatários e criando efetivamente um limite de identidade separado. Essa abordagem é uma defesa contra erros operacionais e comprometimento de identidades de usuários, dispositivos ou infraestrutura híbrida em locatários corporativos.

Uso comum do isolamento

Um limite de identidade separado é normalmente usado para aplicativos e recursos críticos para os negócios, como serviços voltados para o cliente. Nesse cenário, a Fabrikam decidiu criar um locatário separado para seu produto SaaS voltado para o cliente para evitar o risco de comprometimento da identidade do funcionário afetar seus clientes SaaS. O diagrama a seguir ilustra essa arquitetura:

O locatário FabrikamSaaS contém os ambientes usados para aplicativos que são oferecidos aos clientes como parte do modelo de negócios da Fabrikam.

Isolamento de objetos de diretório

Os objetos de diretório em FabrikamSaas são os seguintes:

Usuários e grupos: as identidades necessárias para as equipes de TI da solução, a equipe de suporte ao cliente ou outro pessoal necessário são criadas dentro do locatário SaaS. Para preservar o isolamento, apenas contas locais são usadas e a colaboração B2B do Microsoft Entra não está habilitada.

Objetos de diretório do Azure AD B2C: se os ambientes de locatário forem acessados pelos clientes, ele poderá conter um locatário do Azure AD B2C e seus objetos de identidade associados. As assinaturas que contêm esses diretórios são boas candidatas para um ambiente isolado voltado para o consumidor.

Dispositivos: Este inquilino contém um número reduzido de dispositivos; apenas aqueles que são necessários para executar soluções voltadas para o cliente:

  • Estações de trabalho de administração seguras.

  • Estações de trabalho do pessoal de suporte (isso pode incluir engenheiros que estão "de plantão", conforme descrito acima).

Isolamento de aplicações

Aplicativos integrados do Microsoft Entra: Objetos de aplicativo e entidades de serviço para:

  • Aplicativos de produção (por exemplo, definições de aplicativos multilocatário).

  • Serviços de infraestrutura para gerenciar e manter o ambiente voltado para o cliente.

Recursos do Azure: Hospeda os recursos IaaS, PaaS e SaaS das instâncias de produção voltadas para o cliente.

Próximos passos