Birden çok Microsoft Entra kiracısı için senaryolar

Bir kuruluşun birden çok Microsoft Entra kiracısına ihtiyaç duyması veya araştırmak istemesi için birkaç neden vardır. En yaygın senaryolar şunlardır:

• Birleşmeler ve alımlar
• Mevzuat veya ülke/bölge uyumluluk gereksinimleri
• İş birimi veya kurumsal yalıtım ve özerklik gereksinimleri
• Azure'dan SaaS uygulamaları sunan bağımsız yazılım satıcısı (ISV)
• Kiracı düzeyi testi / Microsoft 365 testi
• Tabanlar / Gölge BT / başlangıçlar

Birleşmeler ve alımlar

Kuruluşlar zaman içinde büyüdükçe başka şirketler veya kuruluşlar edinebilir. Bu alımlar, şirkete veya kuruluşa Microsoft 365 (Exchange Online, SharePoint, OneDrive veya Teams), Dynamics 365 ve Microsoft Azure gibi hizmetleri barındıran ve sağlayan mevcut Microsoft Entra kiracılarına sahip olabilir.

Genellikle, bir alımda iki Microsoft Entra kiracısı tek bir Microsoft Entra kiracısında birleştirilir. Bu birleştirme yönetim yükünü azaltır, işbirliği deneyimini geliştirir ve diğer şirketlere ve kuruluşlara tek bir marka kimliği sunar.

Önemli

Özel bir etki alanı adı (örneğin, contoso.com) aynı anda yalnızca bir Microsoft Entra kiracısıyla ilişkilendirilebilir. Bu nedenle, bir birleştirme veya alma senaryosu gerçekleştiğinde tüm kimlikler tarafından tek bir özel etki alanı adı kullanılabildiğinden kiracıları birleştirme tercih edilir.

İki Microsoft Entra kiracısını tek bir kiracıda birleştirmenin karmaşıklıkları nedeniyle, bazen kiracılar yalnız bırakılır ve uzun veya belirsiz bir süre boyunca ayrı kalır.

Bu senaryo, gelecekte başka kuruluşlar şirketlerini satın alabileceğinden kuruluşlar veya şirketler ayrı kalmak istediğinde de ortaya çıkabilir. Bir kuruluş Microsoft Entra kiracılarını yalıtıyorsa ve bunları birleştirmiyorsa, gelecekte tek bir varlığın birleştirilmesi veya edinilmesi durumunda daha az iş olur.

Mevzuat veya ülke/bölge uyumluluk gereksinimleri

Bazı kuruluşların sıkı mevzuat veya ülke/bölge uyumluluk denetimleri ve çerçeveleri (örneğin, UK Official, Sarbanes Oxley (SOX) veya NIST) vardır. Kuruluşlar, bu çerçeveleri karşılamak ve bunlara uymak için birden çok Microsoft Entra kiracısı oluşturabilir.

Dünyanın dört bir yanında daha katı veri yerleşimi düzenlemelerine sahip ofisleri ve kullanıcıları olan bazı kuruluşlar da birden çok Microsoft Entra kiracısı oluşturabilir. Ancak bu özel gereksinim genellikle Microsoft 365 Multi-Geo gibi özellikler kullanılarak tek bir Microsoft Entra kiracısı içinde giderilir.

Bir diğer senaryo da kuruluşların Azure Kamu (US Government) veya Azure Çin (21Vianet tarafından çalıştırılır) gerektirmesidir. Bu ulusal Azure bulut örnekleri için kendi Microsoft Entra kiracıları gerekir. Microsoft Entra kiracıları yalnızca bu ulusal Azure bulut örneğine yöneliktir ve bu Azure bulut örneğindeki Azure abonelikleri kimlik ve erişim yönetimi hizmetleri için kullanılır.

Bahşiş

Azure ulusal/bölgesel bulut kimlik senaryoları hakkında daha fazla bilgi için bkz:

• Azure Kamu Kimliği
• Azure Çin Sınır Ötesi bağlantı ve birlikte çalışabilirlik
• Microsoft Entra kimlik doğrulaması ve ulusal/bölgesel bulutlar

Önceki senaryolarda olduğu gibi, kuruluşunuzun uyması gereken bir mevzuat veya ülke/bölge uyumluluk çerçevesi varsa, varsayılan yaklaşım olarak birden çok Microsoft Entra kiracısına ihtiyaç duymayabilirsiniz. Kuruluşların çoğu Privileged Identity Management ve Yönetici istrative birimleri gibi özellikleri kullanarak tek bir Microsoft Entra kiracısı içindeki çerçevelere uyabilir.

İş birimi veya kurumsal yalıtım ve özerklik gereksinimleri

Bazı kuruluşların birden çok iş biriminde karmaşık iç yapıları olabilir veya kuruluşlarının bölümleri arasında yüksek düzeyde yalıtım ve özerklik gerektirebilir.

Bu senaryo oluştuğunda ve tek bir kiracıdaki Kaynak yalıtımındaki araçlar ve yönergeler gerekli yalıtım düzeyini sağlayamazsa, birden çok Microsoft Entra kiracısını dağıtmanız, yönetmeniz ve çalıştırmanız gerekebilir.

Bu gibi senaryolarda, bu birden çok kiracıyı dağıtmak, yönetmek ve çalıştırmakla sorumlu merkezi işlevler olmaması daha yaygındır. Bunun yerine, bunlar tamamen ayrı iş birimine veya kuruluşun bir bölümüne çalıştırılıp yönetilebilir. Merkezi mimari, strateji veya CCoE stilindeki bir ekip, ayrı Microsoft Entra kiracısında yapılandırılması gereken en iyi yöntemler hakkında rehberlik ve öneriler sağlamaya devam edebilir.

Uyarı

Operasyonel rollere ve sorumluluklara sahip kuruluşlar, kuruluşun Microsoft Entra kiracısını çalıştıran ekipler arasında güçlükler oluşturur. Azure, iki ekip arasında açık bir RACI oluşturmaya ve bu konuda anlaşmaya varmayı önceliklendirmelidir. Bu eylem, her iki ekibin de çalışıp hizmetlerini kuruluşa sunabilmesini ve işletmeye zamanında geri değer sağlamasını sağlar.

Bazı kuruluşların Azure kullanan bulut altyapısı ve geliştirme ekipleri vardır. Kuruluşlar, hizmet sorumlusu oluşturma veya grup oluşturma ve yönetimi için kurumsal Microsoft Entra kiracısı üzerinde denetim sahibi olan bir kimlik ekibine güvenir. Üzerinde anlaşmaya varılmış bir RACI yoksa, genellikle ekipler arasında süreç ve anlayış eksikliği olur ve bu da ekipler arasında ve kuruluş genelinde sürtüşmelere yol açar. Bazı kuruluşlar, bu zorluğu aşmanın tek yolunun birden çok Microsoft Entra kiracısı olduğuna inanıyor.

Ancak birden çok Microsoft Entra kiracısı son kullanıcılar için güçlükler oluşturur, birden çok kiracının güvenliğini sağlama, yönetme ve yönetme karmaşıklığını artırır ve lisanslama maliyetlerini artırabilir. Microsoft Entra Id P1 veya P2 gibi lisanslar birden çok Microsoft Entra kiracısı kapsamaz. Bazen, Microsoft Entra B2B kullanımı bazı özellikler ve hizmetler için lisans yinelemesini hafifletebilir. Dağıtımınızda Microsoft Entra B2B kullanmayı planlıyorsanız, her özelliğin ve hizmetin lisanslama koşullarını ve Microsoft Entra B2B uygunluğu için desteklenebilirliğini gözden geçirin.

Bu durumdaki kuruluşlar, ekiplerin geçici bir çözüm olarak birden çok Microsoft Entra kiracısı oluşturmak yerine tek bir Microsoft Entra kiracısında birlikte çalışabilmesini sağlamak için operasyonel zorlukları çözmelidir.

Azure'dan SaaS uygulamaları sunan bağımsız yazılım satıcısı (ISV)

SaaS (hizmet olarak yazılım) ürünlerini müşterilerine sunan ISV'ler, Azure kullanımları için birden çok Microsoft Entra kiracısına sahip olabilir.

ISV'yseniz, e-posta, dosya paylaşımı ve iç uygulamalar gibi her zamanki gibi iş etkinlikleriniz için Azure kullanımı dahil olmak üzere kurumsal Microsoft Entra kiracınız arasında ayrım yapabilirsiniz. Azure aboneliklerinin son müşterilerinize sağladığınız SaaS uygulamalarını barındırdığı ve teslim ettiği ayrı bir Microsoft Entra kiracınız da olabilir. Bu yaklaşım yaygın ve mantıklıdır çünkü sizi ve müşterilerinizi güvenlik olaylarından korur.

Daha fazla bilgi için bkz . Azure giriş bölgeleri için bağımsız yazılım satıcısı (ISV) konuları.

Kiracı düzeyi testi / Microsoft 365 testi

Microsoft Bulut ürünleri, hizmetleri ve tekliflerindeki bazı etkinlikler ve özellikler yalnızca ayrı bir Microsoft Entra kiracısında test edilebilir. Aşağıda bazı örnekler bulunmaktadır:

• Microsoft 365 – Exchange Online, SharePoint ve Teams
• Microsoft Entra Id – Microsoft Entra Bağlan, Microsoft Entra Kimlik Koruması Risk Düzeyleri ve SaaS uygulamaları
• Microsoft Graph API'sini kullanan ve üretimde etkileyip değişiklik yapabilen betikleri test etme

Önceki senaryolar gibi test gerçekleştirmek istediğinizde tek seçeneğiniz ayrı bir Microsoft Entra kiracısıdır.

Ancak ayrı Microsoft Entra kiracısı , geliştirme/test gibi ortamdan bağımsız olarak iş yükleri içeren Azure aboneliklerini barındırmak için değildir . Geliştirme/test ortamları bile normal "üretim" Microsoft Entra kiracınızda yer almalıdır.

Bahşiş

Azure giriş bölgelerini ve Azure giriş bölgeleri ortamları içindeki Azure iş yüklerini veya kaynaklarını test etme hakkında bilgi için bkz:

• Azure giriş bölgesi mimarisinde "geliştirme/test/üretim" iş yükü giriş bölgelerini nasıl işleyebiliriz?
• Azure giriş bölgeleri için test yaklaşımı

Tabanlar / Gölge BT / Başlangıçlar

Bir ekip hızla yenilik yapmak isterse, mümkün olan en hızlı şekilde hareket etmelerine yardımcı olmak için ayrı bir Microsoft Entra kiracısı oluşturabilir. Merkezi/platform ekibinin yeniliklerini gerçekleştirmek için Azure ortamına erişim sağlama sürecinden ve kılavuzundan kasıtlı veya istemeden kaçınabilir.

Bu senaryo, iş ve hizmetleri çalıştırmak, barındırmak ve çalıştırmak için kendi Microsoft Entra kiracılarını ayarladıkları başlangıçlarda yaygındır. Genellikle bu beklenen bir durum olsa da, başlangıçlar edinildiğinde ek Microsoft Entra kiracısı, kuruluşun BT ekiplerinin ne yapacağına karar verecekleri bir karar noktası oluşturur.

Bu senaryoda gezinme hakkında daha fazla bilgi için bu makalenin Birleştirmeler ve devralmalar ve Azure'dan SaaS uygulamaları sunan Bağımsız yazılım satıcısı (ISV) bölümlerine bakın.

Önemli

Platform ekiplerinin, kuruluş için kurumsal veya birincil Microsoft Entra kiracısında yer alan bir Azure korumalı alan aboneliğine veya aboneliklerine erişim vermek için kolayca erişilebilir ve verimli bir sürece sahip olmasını kesinlikle öneririz. Bu işlem, Gölge BT senaryolarının oluşmasını engeller ve gelecekte ilgili tüm taraflar için zorlukları önler.

Korumalı alanlar hakkında daha fazla bilgi için bkz . Kaynak kuruluşu tasarım alanında yönetim grupları kılavuzu.

Özet

Senaryolarda ayrıntılı olarak açıklandığı gibi, kuruluşunuzun birden çok Microsoft Entra kiracısı gerektirmesinin çeşitli nedenleri vardır. Ancak bu senaryolarda gereksinimleri karşılamak için birden çok kiracı oluşturduğunuzda, birden çok kiracının bakımını yapmak için karmaşıklık ve işletimsel görevler ekler ve lisanslama gereksinimleri için potansiyel olarak maliyetler ekler. Daha fazla bilgi için bkz . Çok kiracılı senaryolarda Azure giriş bölgeleri için önemli noktalar ve öneriler.

Sonraki adımlar

Çok kiracılı Azure giriş bölgesi senaryoları için dikkat edilmesi gerekenler ve öneriler