Целевые зоны Azure и несколько клиентов Microsoft Entra

Целевые зоны Azure основаны на группах управления. Политики Azure назначаются, а подписки помещаются в группы управления, чтобы обеспечить необходимые элементы управления, необходимые организации для удовлетворения требований безопасности и соответствия требованиям.

Совет

См. сопоставление элементов управления безопасностью с целевыми зонами Azure, чтобы узнать, как использовать целевую зону Azure и Политика Azure, чтобы обеспечить безопасность, соответствие и нормативные потребности вашей организации.

Эти ресурсы развертываются в одном клиенте Microsoft Entra. Группы управления и большинство других ресурсов Azure, например Политика Azure, поддерживают работу только в одном клиенте Microsoft Entra. Подписка Azure использует клиент Microsoft Entra для проверки подлинности пользователей, служб и устройств в Azure Resource Manager (ARM) для управления операциями плоскости и некоторыми службами Azure, такими как служба хранилища Azure, для операций плоскости данных.

Несколько подписок могут полагаться на один клиент Microsoft Entra. Каждая подписка может полагаться только на один клиент Microsoft Entra. Дополнительные сведения см. в статье "Добавление существующей подписки Azure в клиент".

На предыдущей схеме группы управления, политики Azure и подписки Azure развертываются после концептуальной архитектуры целевых зон Azure в одном клиенте Microsoft Entra.

Этот подход рекомендуется для большинства организаций в зависимости от их требований. Этот подход обеспечивает организациям лучший интерфейс совместной работы и позволяет им управлять, управлять и изолировать пользователей и ресурсы в одном клиенте Microsoft Entra.

Вашей организации может потребоваться использовать несколько клиентов Microsoft Entra для многих сценариев. Узнайте , как развертывать целевую зону Azure и управлять ими в каждом из этих клиентов и рекомендаций по обработке нескольких клиентов Microsoft Entra.

Примечание.

В этой статье основное внимание уделяется Azure, а не к Microsoft 365 или другим предложениям Microsoft Cloud, таким как Dynamics 365 или Power Platform.

Он фокусируется на платформе, а не на приложениях , созданных на основе платформы в клиентах. Сведения о нескольких клиентах Microsoft Entra и архитектуре приложений см. в следующих статье:

• Мультитенантные приложения в идентификаторе Microsoft Entra
• Разработка решений с несколькими клиентами в Azure

Почему достаточно одного клиента Microsoft Entra

Существуют причины, по которым может потребоваться несколько клиентов Microsoft Entra, но важно понимать, почему один клиент Microsoft Entra обычно достаточно. Это должна быть отправная точка по умолчанию для всех организаций.

Используйте существующий корпоративный клиент Microsoft Entra для подписок Azure для оптимальной производительности и совместной работы на платформе.

В одном клиенте команды разработки и владельцы приложений могут иметь наименее привилегированные роли для создания непроизводственных экземпляров ресурсов Azure и доверенных приложений, тестовых приложений, тестовых пользователей и групп и политик тестирования для этих объектов. Дополнительные сведения о делегировании администрирования с одним клиентом см. в разделе "Изоляция ресурсов" в одном клиенте.

Только создайте больше клиентов Microsoft Entra, если существуют требования, которые не могут быть выполнены с помощью корпоративного клиента Microsoft Entra.

В Microsoft 365 корпоративный клиент Microsoft Entra обычно является первым клиентом, подготовленным в организации. Этот клиент используется для доступа к корпоративным приложениям и службам Microsoft 365. Она поддерживает совместную работу в организации. Причина начать с этого существующего клиента заключается в том, что он уже подготовлен, управляемый и защищенный. Определенный жизненный цикл удостоверений, скорее всего, уже установлен. Этот курс упрощает подключение новых приложений, ресурсов и подписок. Это зрелая, понятная среда с установленным процессом, процедурами и элементами управления.

Сложности с несколькими клиентами Microsoft Entra

При создании нового клиента Microsoft Entra требуется дополнительная работа для подготовки, управления, защиты и управления удостоверениями. Необходимо также установить необходимые политики и процедуры. Совместная работа лучше всего подходит для одного клиента Microsoft Entra. Переход к мультитенантной модели создает границу, которая может привести к трению пользователей, затратам на управление и увеличению области атаки, что может привести к риску безопасности и усложняет сценарии и ограничения продукта. Некоторыми примерами могут служить:

• Несколько удостоверений для пользователей и администраторов для каждого клиента . Если Microsoft Entra B2B не используется, у пользователя есть несколько наборов учетных данных для управления. Дополнительные сведения см. в статье "Рекомендации и рекомендации" для сценариев целевой зоны Azure с несколькими клиентами.
• Ограничения служб Azure в поддержке нескольких клиентов Microsoft Entra — рабочие нагрузки Azure, поддерживающие только удостоверения, на которых он привязан. Дополнительные сведения см. в статье об интеграции Microsoft Entra с продуктами и службами Azure.
• Централизованная конфигурация или управление для клиентов Microsoft Entra — несколько политик безопасности, политик управления, конфигурации, порталов , API и JML (присоединение, перемещение и выходы).
• Сложности выставления счетов и лицензий и потенциальные требования к дублированию лицензий для лицензий Microsoft Entra ID P1 или P2. Дополнительные сведения см. в статье "Рекомендации и рекомендации для сценариев целевой зоны Azure с несколькими клиентами".

Организации должны быть ясно о том, почему они отклоняются от корпоративной модели клиента Microsoft Entra, чтобы обеспечить дополнительные затраты и сложность оправданы в соответствии с требованиями. В статье сценариев приведены примеры этих экземпляров.

Роль глобального Администратор istrator (Глобальный Администратор) является еще одной проблемой. Роль Глобальной Администратор предоставляет самый высокий уровень разрешений, доступных в клиенте Microsoft Entra. В Azure любая глобальная Администратор может контролировать любую подписку Azure, связанную с клиентом Microsoft Entra. Дополнительные сведения см. в статье Повышение прав доступа для управления всеми подписками Azure и группами управления.

Важно!

Microsoft Entra управление привилегированными пользователями следует использовать для защиты этой роли и других привилегированных ролей в идентификаторе Microsoft Entra и Azure.

Владение этой ролью во внутренних командах и отделах может обеспечить задачу, так как команда удостоверений и команда Azure часто находятся в разных командах, отделах и структурах организации.

Команды, работающие с Azure, отвечают за службы Azure и хотят обеспечить безопасность служб, которыми они управляют. Когда отдельные лица за пределами этой команды имеют роли с возможностями потенциального доступа к их средам, безопасность слабее. Дополнительные сведения см. в разделе "Общие сведения о необходимых облачных функциях".

Идентификатор Microsoft Entra предоставляет элементы управления, которые помогают устранить эту проблему на техническом уровне, но эта проблема также является людьми и процессом обсуждения. Дополнительные сведения см. в Рекомендации.

Важно!

Для большинства клиентов не рекомендуется использовать несколько клиентов Microsoft Entra. Для большинства клиентов рекомендуется один клиент Microsoft Entra, как правило, корпоративный клиент Microsoft Entra, так как он предоставляет необходимые требования к разделениям.

Дополнительные сведения см. в разделе:

• Определение клиентов Microsoft Entra
• Архитектура: стандартизация в одном каталоге и удостоверении
• Подход к тестированию для целевых зон Azure
• Общие сведения о делегированном администрировании и изолированных средах
• Изоляция ресурсов в одном арендаторе
• Ваши клиенты Microsoft 365 для корпоративных клиентов

Следующие шаги

Сценарии для нескольких клиентов Microsoft Entra