Çok kiracılı Azure giriş bölgesi senaryoları için dikkat edilmesi gerekenler ve öneriler

Azure giriş bölgeleri ve birden çok Microsoft Entra kiracısı başlıklı makalede, yönetim gruplarının ve Azure İlkesi ve aboneliklerin Microsoft Entra kiracılarıyla nasıl etkileşimde bulunup çalıştığı açıklanmaktadır. Makalede, bu kaynakların tek bir Microsoft Entra kiracısı içinde çalıştıklarında sınırlamaları açıklanmaktadır. Bu koşullar altında, birden çok Microsoft Entra kiracısı varsa veya bir kuruluş için gerekliyse, Azure giriş bölgeleri Microsoft Entra kiracılarının her birine ayrı olarak dağıtılmalıdır.

Birden çok Microsoft Entra kiracısı olan Azure giriş bölgeleri

Önceki diyagramda, şirket zamanla büyüdükçe birleşmeler ve satın almalar nedeniyle dört Microsoft Entra kiracısı olan Contoso Corporation örneği gösterilmektedir.

Microsoft Entra kiracı *.onmicrosoft.com etki alanı	Kullanım notları
contoso.onmicrosoft.com	Contoso Corporation tarafından kullanılan birincil kurumsal Microsoft Entra kiracısı. Bu kiracıda Azure ve Microsoft 365 hizmetleri kullanılır.
fabrikam.onmicrosoft.com	Fabrikam tarafından kullanılan birincil Microsoft Entra kiracısı. Bu kiracıda Azure ve Microsoft 365 hizmetleri kullanılır. Bu kiracı Contoso Corporation tarafından satın alınmasından bu yana ayrı kaldı.
tailwind.onmicrosoft.com	Tailwind tarafından kullanılan birincil Microsoft Entra kiracısı. Bu kiracıda Azure ve Microsoft 365 hizmetleri kullanılır. Bu kiracı Contoso Corporation tarafından satın alınmasından bu yana ayrı kaldı.
contoso365test.onmicrosoft.com	Contoso Corporation tarafından yalnızca Microsoft Entra Id ve Microsoft 365 hizmetlerini ve yapılandırmasını test etme amacıyla kullanılan Microsoft Entra kiracısı. Tüm Azure ortamları Microsoft Entra kiracısı contoso.onmicrosoft.com içinde yer alır.

Contoso Corporation, bir Microsoft Entra kiracısı contoso.onmicrosoft.comile başladı. Zamanla, diğer şirketlerin birden fazla alımını gerçekleştirdiler ve bu şirketleri Contoso Corporation'a getirdiler.

Fabrikam (fabrikam.onmicrosoft.com) ve Tailwind (tailwind.onmicrosoft.com) satın almaları, Microsoft 365 (Exchange Online, SharePoint, OneDrive) ve Azure hizmetlerinin içinde kullanıldığı mevcut Microsoft Entra kiracılarını da beraberinde getirir. Bu şirketler ve ilişkili Microsoft Entra kiracıları, Contoso Corporation'ın ve şirketlerinin parçaları gelecekte satılabileceğinden ayrı tutulur.

Contoso Corporation'ın yalnızca Microsoft Entra Id ve Microsoft 365 hizmet ve özelliklerini test etme amacıyla ayrı bir Microsoft Entra kiracısı vardır. Ancak bu ayrı Microsoft Entra kiracısında hiçbir Azure hizmeti test edilmedi. Bunlar Microsoft Entra kiracısında contoso.onmicrosoft.com test edilmiştir.

Bahşiş

Azure giriş bölgelerini ve Azure giriş bölgeleri ortamları içindeki Azure iş yüklerini ve kaynaklarını test etme hakkında daha fazla bilgi için bkz:

• Azure giriş bölgesi mimarisinde "geliştirme/test/üretim" iş yükü giriş bölgelerini işleme
• Azure giriş bölgeleri için test yaklaşımı

Dekont

Azure giriş bölgeleri tek bir Microsoft Entra kiracısı içinde dağıtılır. İçinde Azure kaynaklarını dağıtmak istediğiniz birden çok Microsoft Entra kiracınız varsa ve Bunları Azure giriş bölgelerini kullanarak denetlemek, yönetmek ve izlemek istiyorsanız, bu kiracıların her biri içinde Azure giriş bölgelerini tek tek dağıtmanız gerekir.

Çok kiracılı senaryolarda Azure giriş bölgeleri için dikkat edilmesi gerekenler ve öneriler

Bu bölümde Azure giriş bölgeleri ve Microsoft Entra çok kiracılı senaryolar ve kullanım ile ilgili önemli noktalar ve öneriler açıklanmaktadır.

Dikkat edilmesi gerekenler

• Microsoft Entra kiracı tasarımınıza tek bir kiracı yaklaşımıyla başlayın.
  • Tek kiracı genellikle kullanıcının kimliklerinin bulunduğu ve Microsoft 365 gibi bir hizmetin çalıştığı kuruluşun kurumsal Microsoft Entra kiracısıdır.
  • Yalnızca kurumsal Microsoft Entra kiracısı kullanılarak karşılanabilen gereksinimler olduğunda daha fazla Microsoft Entra kiracısı oluşturun.
• Tek bir Microsoft Entra kiracısı içindeki kullanıcıların, grupların ve cihazların (örneğin, farklı ekipler) ayrımını ve yalıtımını yönetmek için Microsoft Entra ID yönetim birimlerini kullanmayı göz önünde bulundurun. Birden çok Microsoft Entra kiracısı oluşturmak yerine bu kaynağı kullanın.
• İlk uygulama iş yükü geliştirme ve araştırma için korumalı alan aboneliklerini kullanmayı göz önünde bulundurun. Daha fazla bilgi için bkz . Azure giriş bölgesi mimarisinde "geliştirme/test/üretim" iş yükü giriş bölgelerini işleme.
• Azure aboneliklerini Microsoft Entra kiracıları arasında geçirmek karmaşıktır ve geçişi etkinleştirmek için geçiş öncesi ve sonrası etkinliklerin tamamlanması gerekir. Daha fazla bilgi için bkz. Azure aboneliğini farklı bir Microsoft Entra dizinine aktarma. Hedef kiracıdaki yeni bir Azure aboneliğinde uygulama iş yükünü yeniden oluşturmak daha kolaydır. Geçiş üzerinde daha fazla denetim sağlar.
• Birden çok Microsoft Entra kiracısını yönetme, yönetme, yapılandırma, izleme ve güvenliğini sağlamanın karmaşıklıklarını göz önünde bulundurun. Tek bir Microsoft Entra kiracısını yönetmek, yönetmek ve güvenli hale getirmek daha kolaydır.
• JML (birleştiriciler, taşıyıcılar ve ayrılanlar) sürecinizi, iş akışlarınızı ve araçlarınızı göz önünde bulundurun. Bu kaynakların birden çok Microsoft Entra kiracısını destekleyebileceğinden ve işleyebileceğinden emin olun.
• Birden çok kimliği kendileri için yönetirken, yönetirken ve güvenlik altına alırken son kullanıcılar üzerindeki etkisini göz önünde bulundurun.
• Birden çok Microsoft Entra kiracısı seçerken, özellikle son kullanıcının bakış açısından kiracılar arası işbirliği üzerindeki etkisini göz önünde bulundurun. Tek bir Microsoft Entra kiracısı içindeki kullanıcılar arasındaki Microsoft 365 işbirliği deneyimi ve desteği idealdir.
• Bir yaklaşım seçmeden önce birden çok Microsoft Entra kiracısı genelinde denetim ve mevzuat uyumluluğu denetimleri üzerindeki etkisini göz önünde bulundurun.
• Birden çok Microsoft Entra kiracısı kullanıldığında lisanslama maliyetlerindeki artışı göz önünde bulundurun. Microsoft Entra ID P1 veya P2 veya Microsoft 365 hizmetleri gibi ürünlerin lisansları Microsoft Entra kiracılarına yayılmaz.
• Tek bir Kurumsal Anlaşma kaydı, kayıtta kimlik doğrulama düzeyini kiracılar arası iş ve okul hesabı olarak ayarlayarak birden çok Microsoft Entra kiracısını destekleyebilir ve bu kiracılara abonelik sağlayabilir. Daha fazla bilgi için bkz . Azure EA portalı yönetimi.
• Tek bir Microsoft Müşteri Sözleşmesi birden çok Microsoft Entra kiracısını destekleyebilir ve bu kiracılara abonelik sağlayabilir. Daha fazla bilgi için bkz. Microsoft Müşteri Sözleşmesi ödeme hesabınızdaki kiracıları yönetme.
• Microsoft Entra çok kiracılı mimariyi tercih ederken, uygulama ekipleri ve geliştiriciler için oluşabilecek sınırlamaları göz önünde bulundurun. Azure Sanal Masaüstü, Azure Dosyalar ve Azure SQL gibi Azure ürün ve hizmetleri için Microsoft Entra tümleştirmesindeki sınırlamalara dikkat edin. Daha fazla bilgi için bu makaledeki Azure ürün ve hizmetleri Microsoft Entra tümleştirmesi bölümüne bakın.
• Kuruluşunuzda birden çok Microsoft Entra kiracısı olduğunda kullanıcı deneyimini ve yönetimini basitleştirmek ve geliştirmek için Microsoft Entra B2B kullanmayı göz önünde bulundurun.
• Geliştiricilerin tek bir Azure aboneliğinde ve tek bir kiracıda uygulama oluşturabilmesi için B2B ve B2C özelliklerine sahip Microsoft Entra ID ile Microsoft kimlik platformu kullanmayı göz önünde bulundurun. Bu yöntem birçok kimlik kaynağından kullanıcıları destekler. Daha fazla bilgi için bkz . Çok kiracılı uygulamalar ve Azure'da çok kiracılı çözümler tasarlama.
• Çok kiracılı kuruluşlar için sağlanan özellikleri kullanmayı göz önünde bulundurun. Daha fazla bilgi için bkz . Microsoft Entra Id'de çok kiracılı bir kuruluş nedir?
• Azure giriş bölgenizi güncel tutmayı göz önünde bulundurun.

Azure ürün ve hizmetleri Microsoft Entra tümleştirmesi

Birçok Azure ürünü ve hizmeti, yerel Microsoft Entra tümleştirmesinin bir parçası olarak Microsoft Entra B2B'i desteklemez. Microsoft Entra tümleştirmelerinin bir parçası olarak Microsoft Entra B2B kimlik doğrulamasını destekleyen yalnızca birkaç hizmet vardır. Hizmetin varsayılan olarak Microsoft Entra B2B'yi Microsoft Entra tümleştirmesi kapsamında desteklememesi daha güvenlidir.

Azure Depolama, Azure SQL, Azure Dosyalar ve Azure Sanal Masaüstü gibi Microsoft Entra ID ile yerel tümleştirme sağlayan hizmetler, tümleştirmek için "tek tıklama" veya "tıklamadan" stil yaklaşımı kullanır. Hizmetlerinin bir parçası olarak kimlik doğrulaması ve yetkilendirme senaryoları gerektirir. Bu yaklaşım genellikle "ev kiracısı" için desteklenir ve bazı hizmetler Microsoft Entra B2B/B2C senaryoları için destek sağlayabilir. Azure aboneliğinin Microsoft Entra Id ile ilişkisi hakkında daha fazla bilgi için bkz . Microsoft Entra kiracınıza Azure aboneliğini ilişkilendirme veya ekleme.

Azure aboneliklerinizin hangi Microsoft Entra kiracısıyla ilişkilendirildiğine dikkatle dikkat etmeniz önemlidir. Bu ilişki, uygulama veya iş yükü ekiplerinin kimlikleri ve kimliklerin hangi kiracıdan geldiğini desteklemek için hangi ürün ve hizmetleri ve bunların özelliklerini kullandığını belirler. Kimlikler genellikle kurumsal Microsoft Entra kiracısında yer alır.

Tüm Azure aboneliklerini barındırmak için birden çok Microsoft Entra kiracısı kullanılıyorsa, uygulama iş yükü ekipleri bazı Azure ürün ve hizmetlerinden Microsoft Entra tümleştirmelerinden yararlanamaz. Uygulama iş yükü ekiplerinin uygulamalarını bu sınırlamalar etrafında geliştirmesi gerekiyorsa, kimlik doğrulama ve yetkilendirme işlemi daha karmaşık ve daha az güvenli hale gelir.

Tüm Azure abonelikleriniz için tek bir Microsoft Entra kiracısını ev olarak kullanarak bu sorundan kaçının. Tek bir kiracı, uygulamanız veya hizmetiniz için kimlik doğrulaması ve yetkilendirme için en iyi yaklaşımdır. Bu basit mimari, uygulama iş yükü ekibine daha az yönetim ve denetim sağlar ve olası kısıtlamaları kaldırır.

Daha fazla bilgi için bkz . Tek bir kiracıda kaynak yalıtımı.

Öneriler

• Genellikle kurumsal Microsoft Entra kiracısı olan tek bir Microsoft Entra kiracısı kullanın. Yalnızca kurumsal Microsoft Entra kiracısı kullanılarak karşılanabilen gereksinimler olduğunda daha fazla Microsoft Entra kiracısı oluşturun.
• Uygulama ekiplerine aynı tek Microsoft Entra kiracısı içinde güvenli, denetimli ve yalıtılmış geliştirme ortamları sağlamak için korumalı alan aboneliklerini kullanın. Daha fazla bilgi için bkz . Azure giriş bölgesi mimarisinde "geliştirme/test/üretim" iş yükü giriş bölgelerini işleme.
• ServiceNow gibi operasyonel araçlardan tümleştirmeler oluştururken ve bunları birden çok Microsoft Entra kiracısına bağlarken Microsoft Entra çok kiracılı uygulamaları kullanın. Daha fazla bilgi için bkz . Tüm yalıtım mimarileri için en iyi yöntemler.
• ISV'yseniz bkz . Azure giriş bölgeleri için bağımsız yazılım satıcısı (ISV) konuları.
• Kiracılar arası yönetim deneyimlerini basitleştirmek için Azure Lighthouse'ı kullanın. Daha fazla bilgi için bkz . Azure giriş bölgelerinde çok kiracılı senaryolarda Azure Lighthouse kullanımı.
• Hedef Microsoft Entra kiracısında bulunan Kurumsal Anlaşma kayıtlarınızda veya Microsoft Müşteri Sözleşmesi hesap sahipleri, fatura bölümü sahipleri ve abonelik oluşturucuları oluşturun. Oluşturduktan sonra Azure aboneliklerindeki dizinleri değiştirmek zorunda kalmamak için sahiplerini ve oluşturucuları oluşturdukları aboneliklere atayın . Daha fazla bilgi için bkz. Başka bir Microsoft Entra kiracısından hesap ekleme ve Microsoft Müşteri Sözleşmesi ödeme hesabınızdaki kiracıları yönetme.
• Bkz. Microsoft Entra güvenlik işlemleri kılavuzu.
• Genel Yönetici istrator hesaplarının sayısını en az düzeyde tutun, 5'ten az tercih edilir.
• Sürekli ayrıcalık olmaması ve JIT erişimi sağlamak için tüm yönetici hesapları için Privileged Identity Management'ı (PIM) etkinleştirin.
• Genel Yönetici istrator rolü gibi kritik rolleri etkinleştirmek için PIM'de onay iste. Genel Yönetici istrator kullanımını onaylamak için birden çok ekipten onaylayanlar oluşturmayı göz önünde bulundurun.
• Global Yönetici istrator rolü etkinleştirmesi hakkında tüm gerekli paydaşlara izlemeyi ve bildirimleri etkinleştirin.
• Genel Yönetici istrator'larda "Azure kaynakları için erişim yönetimi" ayarının gerekli olmadığı yerlerde Hayır olarak ayarlandığından emin olun.
• Kuruluşunuzdaki yönetim ve kullanıcılar için çok kiracılı deneyimi basitleştirmek için aşağıdaki Microsoft Entra hizmetlerini ve özelliklerini etkinleştirin ve yapılandırın:
  • B2B işbirliği
  • B2B doğrudan bağlantı
  • Kiracılar arası erişim ayarları
  • Kiracılar arası eşitleme
  • Çok Kiracılı Kuruluş (Önizleme)
• Microsoft Azure Ticari bulutu, Microsoft Azure China 21Vianet, Microsoft Azure Kamu gibi birden çok Microsoft bulutunda Microsoft Entra kiracısı olan kuruluşlarda, kiracılar arasında işbirliği yaparken kullanıcının deneyimlerini basitleştirmek üzere B2B işbirliği (önizleme) için Microsoft bulut ayarlarını yapılandırın.
• Uygulama ekipleri ve geliştiriciler, çok kiracılı uygulamalar ve hizmetler oluştururken aşağıdaki kaynakları gözden geçirmelidir:
  • Microsoft Entra Id'de çok kiracılı uygulamalar
  • Azure'da çok kiracılı çözümler tasarlama

Sonraki adımlar

Birden çok kiracıda Azure giriş bölgelerini otomatikleştirme