Поделиться через

Сценарии для нескольких клиентов Microsoft Entra

  • Статья

Существует несколько причин, по которым может потребоваться организация или может потребоваться исследовать несколько клиентов Microsoft Entra. Наиболее распространенными сценариями являются:

Слияния и приобретения

По мере роста организаций они могут приобретать другие компании или организации. Эти приобретения, скорее всего, уже установили клиенты Microsoft Entra, которые размещают и предоставляют службы, такие как Microsoft 365 (Exchange Online, SharePoint, OneDrive или Teams), Dynamics 365 и Microsoft Azure, компании или организации.

Как правило, при приобретении два клиента Microsoft Entra объединяются в один клиент Microsoft Entra. Эта консолидация снижает затраты на управление, улучшает взаимодействие с совместной работой и представляет собой единую фирменную идентификацию для других компаний и организаций.

Важно!

Имя личного домена (например, contoso.com) может быть связано только с одним клиентом Microsoft Entra одновременно. Таким образом, консолидация клиентов предпочтительна, так как одно пользовательское доменное имя может использоваться всеми удостоверениями при возникновении сценария слияния или приобретения.

Из-за сложностей объединения двух клиентов Microsoft Entra в один, иногда клиенты остаются в одиночку и остаются отдельными в течение длительного или неопределенного периода времени.

Этот сценарий также может произойти, когда организации или компании хотят оставаться отдельными, так как другие организации могут приобрести свою компанию в будущем. Если организация держит клиентов Microsoft Entra изолированными и не консолидирует их, то при будущем слиянии или приобретении одной сущности меньше работы.

Нормативные или региональные требования к соответствию

Некоторые организации имеют строгие нормативные или региональные механизмы контроля соответствия (например, официальные лица Великобритании, Сарбены Оксли (SOX) или NIST. Организации могут создавать несколько клиентов Microsoft Entra для удовлетворения и соответствия этим платформам.

Некоторые организации, имеющие офисы и пользователи по всему миру с более строгими правилами расположения данных, также могут создавать несколько клиентов Microsoft Entra. Но это конкретное требование обычно решается в одном клиенте Microsoft Entra с помощью таких функций, как Microsoft 365 Multi-Geo.

Другой сценарий заключается в том, что организациям требуется Azure для государственных организаций (правительство США) или Azure (управляемый 21Vianet). Для этих национальных облачных экземпляров Azure требуются собственные клиенты Microsoft Entra. Клиенты Microsoft Entra предназначены исключительно для этого национального облачного экземпляра Azure и используются для служб управления удостоверениями и доступом Azure в этом облачном экземпляре Azure.

Совет

Дополнительные сведения о сценариях идентификации национального и регионального облака Azure см. в следующих статье:

Как и в предыдущих сценариях, если у вашей организации есть стандартная или страна или регион соответствия требованиям, возможно, вам не потребуется несколько клиентов Microsoft Entra в качестве подхода по умолчанию. Большинство организаций могут соответствовать платформам в одном клиенте Microsoft Entra с помощью таких функций, как управление привилегированными пользователями и Администратор истративные единицы.

Требования к изоляции подразделения или организации и автономии

Некоторые организации могут иметь сложные внутренние структуры в нескольких бизнес-подразделениях, или они могут требовать высокого уровня изоляции и автономии между частями своей организации.

Если этот сценарий возникает, а средства и рекомендации в изоляции ресурсов в одном клиенте не могут обеспечить требуемый уровень изоляции, вам может потребоваться развернуть, управлять и управлять несколькими клиентами Microsoft Entra.

В таких сценариях чаще всего существуют централизованные функции, которые отвечают за развертывание, управление и эксплуатацию этих нескольких клиентов. Вместо этого они полностью передаются отдельному бизнес-подразделению или части организации для запуска и управления ими. Централизованная архитектура, стратегия или группа стилей CCoE по-прежнему может предоставлять рекомендации и рекомендации по рекомендациям, которые должны быть настроены в отдельном клиенте Microsoft Entra.

Предупреждение

Организации, имеющие операционные роли и обязанности, создают проблемы между командами, которые управляют клиентом Microsoft Entra организации. Azure должна определять приоритеты при создании и согласовании четкого RACI между двумя командами. Это действие гарантирует, что обе команды могут работать и доставлять свои услуги в организацию и своевременно обеспечивать ценность для бизнеса.

Некоторые организации имеют облачную инфраструктуру и группы разработки, использующие Azure. Организации полагаются на группу удостоверений, которая контролирует корпоративный клиент Microsoft Entra для создания субъекта-службы или создания группы и управления ими. Если не существует согласованного RACI, часто возникает отсутствие процесса и понимания между командами, что приводит к трениям между командами и по всей организации. Некоторые организации считают, что несколько клиентов Microsoft Entra являются единственным способом преодолеть эту проблему.

Но несколько клиентов Microsoft Entra создают проблемы для конечных пользователей, повышает сложность защиты, управления и управления несколькими клиентами, а также потенциально увеличивает затраты на лицензирование. Лицензии, такие как Microsoft Entra ID P1 или P2, не охватывают несколько клиентов Microsoft Entra. Иногда использование Microsoft Entra B2B может облегчить дублирование лицензий для некоторых функций и служб. Если вы планируете использовать Microsoft Entra B2B в развертывании, просмотрите все условия лицензирования и условия лицензирования службы и возможности поддержки Microsoft Entra B2B.

Организации в этой ситуации должны устранить операционные проблемы, чтобы команды могли совместно работать в одном клиенте Microsoft Entra, а не создавать несколько клиентов Microsoft Entra в качестве обходного решения.

Независимый поставщик программного обеспечения (ISV) для доставки приложений SaaS из Azure

Поставщики программного обеспечения SaaS (программное обеспечение как услуга) могут воспользоваться несколькими клиентами Microsoft Entra для использования Azure.

Если вы являетесь isV, возможно, у вас есть разделение между корпоративным клиентом Microsoft Entra, включая использование Azure, для ваших бизнес-действий как обычных действий, таких как электронная почта, общий доступ к файлам и внутренние приложения. Кроме того, у вас может быть отдельный клиент Microsoft Entra, где размещаются подписки Azure и предоставляются приложения SaaS, предоставляемые конечным клиентам. Этот подход является общим и разумным, так как он защищает вас и клиентов от инцидентов безопасности.

Дополнительные сведения см. в рекомендациях независимых поставщиков программного обеспечения (ISV) для целевых зон Azure.

Тестирование на уровне клиента / тестирование Microsoft 365

Некоторые действия и функции в продуктах, службах и предложениях Microsoft Cloud можно протестировать только в отдельном клиенте Microsoft Entra. Некоторые примеры:

  • Microsoft 365 — Exchange Online, SharePoint и Teams
  • Идентификатор Microsoft Entra — Microsoft Entra Подключение, уровни риска Защита идентификации Microsoft Entra и приложения SaaS
  • Тестирование скриптов, использующих API Microsoft Graph, и может повлиять на производительность и внести изменения в рабочую среду.

Если вы хотите выполнить тестирование, например предыдущие сценарии, отдельный клиент Microsoft Entra является единственным вариантом.

Но отдельный клиент Microsoft Entra не предназначен для размещения подписок Azure, содержащих рабочие нагрузки независимо от среды, например разработки и тестирования. Даже среды разработки и тестирования должны содержаться в обычном клиенте Microsoft Entra для рабочей среды.

Совет

Сведения о том, как выполнять тестирование целевых зон Azure и рабочих нагрузок Azure или ресурсов в целевых зонах Azure, см. в статье:

Низовые зоны / Тень ИТ / стартапы

Если команда хочет быстро внедрять инновации, они могут создать отдельный клиент Microsoft Entra, чтобы помочь им двигаться как можно быстрее. Они могут, намеренно или непреднамеренно, избежать процесса и руководства центральной или платформы команды по получению доступа к среде Azure для выполнения своих инноваций.

Этот сценарий распространен в стартапах, где они настраивают собственный клиент Microsoft Entra для запуска, размещения и управления бизнесом и службами. Как правило, это ожидается, но при приобретении стартапов дополнительный клиент Microsoft Entra создает точку принятия решений, в которой ИТ-команды приобретающей организации решают, что делать дальше.

Дополнительные сведения о том, как перемещаться по этому сценарию, см. в статьях "Слияния и приобретения" и независимыхпоставщиков программного обеспечения (ISV), которые предоставляют приложения SaaS из разделов Azure в этой статье.

Важно!

Мы настоятельно рекомендуем командам платформы легко доступный и эффективный процесс, чтобы предоставить командам доступ к подписке или подписке песочницы Azure, которые размещаются в корпоративном или основном клиенте Microsoft Entra для организации. Этот процесс предотвращает возникновение теневых ИТ-сценариев и предотвращает проблемы в будущем для всех заинтересованных сторон.

Дополнительные сведения об песочницах см . в руководстве по группам управления в области разработки организации ресурсов.

Итоги

Как описано в сценариях, существует несколько причин, по которым в вашей организации может потребоваться несколько клиентов Microsoft Entra. Но при создании нескольких клиентов для удовлетворения требований в этих сценариях она добавляет сложность и операционные задачи для поддержания нескольких клиентов и потенциально добавляет затраты на требования лицензирования. Дополнительные сведения см. в статье "Рекомендации и рекомендации по целевым зонам Azure" в сценариях с несколькими клиентами.

Следующие шаги

Рекомендации и рекомендации по сценариям целевой зоны Azure с несколькими клиентами