Azure giriş bölgeleri ve birden çok Microsoft Entra kiracısı

Azure giriş bölgeleri yönetim gruplarına göre oluşturulur. Azure ilkeleri atanır ve bir kuruluşun güvenlik ve uyumluluk gereksinimlerini karşılaması için gereken idare denetimlerini sağlamak için abonelikler yönetim gruplarına yerleştirilir.

Bahşiş

Kuruluşunuzun güvenlik, uyumluluk ve mevzuat gereksinimlerini karşılamaya yardımcı olmak için Azure giriş bölgesi ve Azure İlkesi kullanmayı öğrenmek için bkz. Azure giriş bölgeleriyle güvenlik denetimi eşlemesi.

Bu kaynaklar tek bir Microsoft Entra kiracısı içinde dağıtılır. Yönetim grupları ve Azure İlkesi gibi diğer Azure kaynaklarının çoğu yalnızca tek bir Microsoft Entra kiracısı içinde çalışma desteği sağlar. Azure aboneliği, veri düzlemi işlemleri için düzlem işlemlerini ve Azure Depolama gibi bazı Azure hizmetlerini denetlemek üzere Azure Resource Manager'da (ARM) kullanıcıların, hizmetlerin ve cihazların kimliğini doğrulamak için bir Microsoft Entra kiracısına dayanır.

Birden çok abonelik aynı Microsoft Entra kiracısını kullanabilir. Her abonelik yalnızca tek bir Microsoft Entra kiracısı kullanabilir. Daha fazla bilgi için bkz . Kiracınıza mevcut azure aboneliğini ekleme.

Önceki diyagramda yönetim grupları, Azure İlkeleri ve Azure abonelikleri, tek bir Microsoft Entra kiracısı içindeki Azure giriş bölgeleri kavramsal mimarisinden sonra dağıtılır.

Bu yaklaşım çoğu kuruluş için gereksinimlerine göre önerilir. Bu yaklaşım kuruluşlara mümkün olan en iyi işbirliği deneyimini sunar ve tek bir Microsoft Entra kiracısı içindeki kullanıcıları ve kaynakları denetlemelerine, yönetmelerine ve yalıtmalarına olanak tanır.

Kuruluşunuzun birçok senaryo için birden çok Microsoft Entra kiracısı kullanması gerekebilir. Azure giriş bölgesi dağıtımını bu kiracıların her birine dağıtmayı ve yönetmeyi görün ve birden çok Microsoft Entra kiracısını işlemeye yönelik önemli noktalara ve önerilere bakın.

Dekont

Bu makale, Microsoft 365'e veya Dynamics 365 veya Power Platform gibi diğer Microsoft Bulut tekliflerine değil Azure'a odaklanır.

Kiracılarda platformun üzerinde oluşturulan uygulamalar yerine platforma odaklanır. Birden çok Microsoft Entra kiracısı ve uygulama mimarisi hakkında bilgi için bkz:

• Microsoft Entra Id'de çok kiracılı uygulamalar
• Azure'da çok kiracılı çözümler tasarlama

Tek bir Microsoft Entra kiracısı neden yeterlidir?

Birden çok Microsoft Entra kiracısına ihtiyaç duymanız için nedenler olabilir, ancak tek bir Microsoft Entra kiracısı genellikle neden yeterli olduğunu anlamak önemlidir. Tüm kuruluşlar için varsayılan başlangıç noktası olmalıdır.

Platform genelinde en iyi üretkenlik ve işbirliği deneyimi için Azure abonelikleri için mevcut kurumsal Microsoft Entra kiracınızı kullanın.

Tek bir kiracıda geliştirme ekipleri ve uygulama sahipleri Azure kaynaklarının ve güvenilen uygulamaların üretim dışı örneklerini oluşturmak, uygulamaları test etmek, kullanıcıları ve grupları test etmek ve bu nesneler için ilkeleri test etmek için en düşük ayrıcalıklı rollere sahip olabilir. Tek bir kiracıyla yönetim temsilcisi seçme hakkında daha fazla bilgi için bkz . Tek bir kiracıda kaynak yalıtımı.

Yalnızca kurumsal Microsoft Entra kiracısı kullanılarak karşılanabilen gereksinimler olduğunda daha fazla Microsoft Entra kiracısı oluşturun.

Microsoft 365 ile, kurumsal Microsoft Entra kiracısı genellikle kuruluşta sağlanan ilk kiracıdır. Bu kiracı, kurumsal uygulama erişimi ve Microsoft 365 hizmetleri için kullanılır. Bir kuruluş içindeki işbirliğini destekler. Bu mevcut kiracıyla başlamanın nedeni zaten sağlanmış, yönetilmiş ve güvenliği sağlanmış olmasıdır. Kimliklerin tanımlanmış yaşam döngüsü büyük olasılıkla önceden oluşturulmuştur. Bu kurs, yeni uygulama, kaynak ve abonelik ekleme görevini kolaylaştırır. Yerleşik süreç, yordamlar ve denetimlere sahip olgun ve anlaşılır bir ortamdır.

Birden çok Microsoft Entra kiracısıyla ilgili karmaşıklıklar

Yeni bir Microsoft Entra kiracısı oluşturduğunuzda kimlikleri sağlamak, yönetmek, güvenliğini sağlamak ve yönetmek için ek çalışma gerekir. Ayrıca gerekli ilkeleri ve yordamları da oluşturmanız gerekir. İşbirliği, tek bir Microsoft Entra kiracısında en iyisidir. Çok kiracılı bir modele geçmek, kullanıcı uyuşması, yönetim yükü ve saldırı yüzeyi alanını artırarak güvenlik riskine neden olabilecek ve ürün senaryolarını ve sınırlamalarını karmaşıklaştıran bir sınır oluşturur. Bazı Örnekler:

• Her kiracı için kullanıcılar ve yöneticiler için birden çok kimlik – Microsoft Entra B2B kullanılmazsa, kullanıcının yönetecek birden çok kimlik bilgisi kümesi vardır. Daha fazla bilgi için bkz . Çok kiracılı Azure giriş bölgesi senaryoları için önemli noktalar ve öneriler.
• Birden çok Microsoft Entra kiracısını desteklemeye yönelik Azure hizmetleri sınırlamaları : Yalnızca bağlı olduğu kiracıda bulunan kimlikleri destekleyen Azure iş yükleri. Daha fazla bilgi için bkz . Azure ürünleri ve hizmetleri Microsoft Entra tümleştirmesi.
• Microsoft Entra kiracıları için merkezi yapılandırma veya yönetim yok : Birden çok güvenlik ilkesi, yönetim ilkesi, yapılandırma, portal, API ve JML (birleştiriciler, taşıyıcılar ve ayrılanlar) işlemleri.
• Microsoft Entra ID P1 veya P2 lisansları için faturalama ve lisanslama karmaşıklıkları ve lisans yinelemesi için olası gereksinim - Daha fazla bilgi için bkz . Çok kiracılı Azure giriş bölgesi senaryoları için önemli noktalar ve öneriler.

Kuruluşların, ek ek yükün ve karmaşıklığın gereksinimleri karşılamada gerekçelendirildiğinden emin olmak için kurumsal Microsoft Entra kiracı modelinden neden sapmaları konusunda net olmaları gerekir. Senaryolar makalesinde bu örneklere örnekler verilmiştir.

Global Yönetici istrator (Global Yönetici) rolü de bir diğer sorundur. Genel Yönetici rolü, Microsoft Entra kiracısında kullanılabilen en yüksek izin düzeyini sağlar. Azure'da tüm Genel Yönetici, Microsoft Entra kiracısına bağlı tüm Azure aboneliklerinin denetimini üstlenebilir. Daha fazla bilgi için bkz. Tüm Azure aboneliklerini ve yönetim gruplarını yönetmek amacıyla erişimi yükseltme.

Önemli

Microsoft Entra Privileged Identity Management , Microsoft Entra Id ve Azure içinde bu rolün ve diğer ayrıcalıklı rollerin korunmasına yardımcı olmak için kullanılmalıdır.

Bu rolün şirket içi ekipler ve departmanlar genelinde sahipliği, Kimlik ekibi ve Azure ekibi genellikle farklı ekiplerde, departmanlarda ve kuruluş yapılarında olduğundan güçlük oluşturabilir.

Azure'ı çalıştıran ekipler Azure hizmetlerinden sorumludur ve yönettiği hizmetlerin güvenliğini sağlamak ister. Bu ekibin dışındaki kişilerin ortamlarına erişme gücü olan rolleri olduğunda güvenlik daha zayıf olur. Daha fazla bilgi için bkz . Gerekli bulut işlevlerini anlama.

Microsoft Entra ID, bu sorunun teknik düzeyde azaltılmasına yardımcı olan denetimler sağlar, ancak bu sorun aynı zamanda bir kişi ve süreç tartışmasıdır. Daha fazla bilgi için bkz. Öneriler.

Önemli

Çoğu müşteri için önerilen yaklaşım birden çok Microsoft Entra kiracısı değildir. Genellikle kurumsal Microsoft Entra kiracısı olan tek bir Microsoft Entra kiracısı, gerekli ayırma gereksinimlerini sağladığından çoğu müşteri için önerilir.

Daha fazla bilgi için bkz.

• Microsoft Entra kiracılarını tanımlama
• Mimari: Tek bir dizinde ve kimlikte standartlaştırma
• Azure giriş bölgeleri için test yaklaşımı
• Temsilcili yönetim ve yalıtılmış ortamlara giriş
• Tek bir kiracıda kaynak yalıtımı
• Kurumsal kiracılar için Microsoft 365 kiracılarınız

Sonraki adımlar

Birden çok Microsoft Entra kiracısı için senaryolar