使用多個租用戶來隔離資源
在某些特殊情況下,在單一租用戶界限中委派管理不符合您的需求。 本節中,可能促使您建立多租用戶架構的需求。 多租用戶組織可能跨越兩個以上的 Microsoft Entra 租用戶。 這可能會導致獨特的跨租用戶共同作業和管理需求。 多租用戶架構會增加管理額外負荷和複雜度,應謹慎使用。 如果單一租用戶可以滿足您的需求,建議使用該架構。 如需詳細資訊,請參閱多租用戶使用者管理。
單獨租用戶建立新的界限,以分開管理 Microsoft Entra 目錄角色、目錄物件、條件式存取原則、Azure 資源群組、Azure 管理群組和其他控制,如前幾節所述。
單獨租用戶很有用,可讓組織的 IT 部門驗證 Microsoft 服務中的全租用戶變更,例如,Intune、Microsoft Entra Connect 或混合式驗證設定,同時保護組織的使用者和資源。 其中包括測試服務組態,這些組態可能影響整個租用戶,且範圍不能限定於生產租用戶中的一部分使用者。
如果自訂應用程式可能以 MS Graph 或類似 API 來變更生產使用者物件的資料,則開發應用程式期間,可能需要在單獨租用戶中部署非生產環境 (例如,獲授與 Directory.ReadWrite.All 或同樣廣大範圍的應用程式)。
注意
Microsoft Entra Connect 同步至多個租用戶,這在單獨租用戶中部署非生產環境時可能很有用。 如需詳細資訊,請參閱 Microsoft Entra Connect:支援的拓撲。
結果
除了先前單一租用戶架構可達到的成果,組織還可以完全分離資源與租用戶互動:
資源區隔
可見度 - 一個單獨租用戶中的資源,無法被其他租用戶中的使用者和管理員所探索或列舉。 同樣地,使用情況報告和稽核記錄也在新租用戶界限內。 這樣區隔可見度可讓組織管理機密專案所需的資源。
物件範圍 - 如果應用程式會透過 Microsoft Graph 或其他管理介面寫入 Microsoft Entra ID 和/或其他 Microsoft Online 服務,則可以在單獨的物件空間中運作。 這可讓開發小組在軟體發展生命週期內執行測試,而不會影響其他租用戶。
配額 - 全租用戶和其他租用戶的 Azure 配額和限制耗用量分開。
組態區隔
新的租用戶提供一組單獨的全租用戶設定,適用於在租用戶層級需要不同組態的資源和信任應用程式。 此外,新的租用戶還提供一組新的 Microsoft Online 服務,例如 Office 365。
管理區隔
新的租用戶界限意味著一組單獨的 Microsoft Entra 目錄角色,可讓您設定幾組不同的管理員。
一般使用方式
下圖說明多租用戶中資源隔離的一般使用方式:生產前或「沙箱」環境,需要比單一租用戶中的委派管理更高的區隔程度。
Contoso 組織透過名為 ContosoSandbox.com 的生產前租用戶,增強其公司租用戶架構。 沙箱租用戶用來支援持續開發使用 Microsoft Graph 寫入 Microsoft Entra ID 和 Microsoft 365 的企業解決方案。 這些解決方案會部署在公司租用戶中。
沙箱租用戶上線,以防止開發中的那些應用程式耗用租用戶資源並影響配額 (亦即節流),而直接或間接影響生產系統。
開發人員在開發生命週期內需要存取沙箱租用戶,基本上使用自助存取,需要有生產環境中所禁止的額外權限。 這些額外權限的例子可能包括建立、刪除和更新使用者帳戶、註冊應用程式、佈建和取消佈建 Azure 資源,以及變更原則或環境的整體設定。
在此範例中,Contoso 使用 Microsoft Entra B2B 共同作業佈建來自公司租用戶的使用者,讓使用者可以在沙箱租用戶中管理及存取應用程式中的資源,而不需要管理多個認證。 此功能主要是針對跨組織共同作業情節。 不過,像 Contoso 這樣有多個租用戶的企業可以使用此功能,以避免額外的認證生命週期管理和使用者體驗複雜度。
使用跨租用戶存取的外部身分識別設定,以管理如何透過 B2B 共同作業來與其他 Microsoft Entra 組織共同作業。 這些設定會決定外部 Microsoft Entra 組織中的使用者對您資源具有的「輸入」存取層級,以及您使用者對外部組織具有的「輸出」存取層級。 其也可以讓您信任來自其他 Microsoft Entra 組織的多重要素驗證 (MFA) 和裝置宣告 (符合規範的宣告及 Microsoft Entra 混合式聯結宣告)。 如需詳細資料和規劃考量,請參閱 Microsoft Entra ID 外部身分識別中的跨租用戶存取。
另一種方法可能利用 Microsoft Entra Connect 的功能,將相同的內部部署 Microsoft Entra 認證同步至多個租用戶,保留相同的密碼,但在使用者 UPN 網域上有所區分。
多租用戶資源隔離
新的租用戶可讓您有一組單獨的系統管理員。 組織可以選擇透過 Microsoft Entra B2B 共同作業來使用公司身分識別。 同樣地,組織可以實作 Azure Lighthouse 來跨租用戶管理 Azure 資源,以便由生產訂用帳戶中的身分識別來管理非生產 Azure 訂用帳戶。 Azure Lighthouse 無法用來管理 Azure 外部的服務,例如 Microsoft Intune。 對於受控服務提供者 (MSP),Microsoft 365 Lighthouse 是管理入口網站,可協助使用 Microsoft 365 商務進階版、Microsoft 365 E3 或 Windows 365 商務版的中小型企業 (SMB) 客戶,大規模保護和管理裝置、資料和使用者。
這可讓使用者繼續使用其公司認證,同時享有隔離優點。
應該使用 Microsoft Entra B2B 允許/拒絕清單,將沙箱租用戶中的 Azure AD B2B 共同作業設定為只允許來自公司環境的身分識別上線。 針對您想 B2B 中允許的租用戶,請考慮使用外部身分識別跨租用戶存取設定,以獲得跨租用戶多重要素驗證\裝置信任。
重要
已啟用外部身分識別存取的多租用戶架構僅提供資源隔離,而不啟用身分識別隔離。 使用 Microsoft Entra B2B 共同作業和 Azure Lighthouse 的資源隔離無法降低身分識別相關的風險。
如果沙箱環境與公司環境共用身分識別,沙箱租用戶可能有下列情節:
如果惡意行為者入侵公司租用戶中的使用者、裝置或混合式基礎結構,並受邀進入沙箱租用戶,則可能取得權限存取沙箱租用戶的應用程式和資源。
公司租用戶中的操作錯誤 (例如,刪除使用者帳戶或撤銷認證),可能影響受邀使用者進入沙箱租用戶的存取權。
對於需要高防禦性方法的業務關鍵資源,您必須進行風險分析,還可能要考慮透過多個租用戶來隔離身分識別。 Azure Privileged Identity Management 可以加強存取業務關鍵租用戶和資源時的安全性,以協助降低一些風險。
目錄物件
您用來隔離資源的租用戶,可能包含與主要租用戶相同類型的物件、Azure 資源及信任應用程式。 您可能需要佈建下列物件類型:
使用者和群組:解決方案工程小組所需的身分識別,例如:
沙箱環境管理員。
應用程式的技術擁有者。
企業營運應用程式開發人員。
測試使用者帳戶。
這些身分識別可以佈建給下列人員:
透過 Microsoft Entra B2B 共同作業而取得公司帳戶的員工。
基於管理、緊急管理存取或其他技術理由而需要本機帳戶的員工。
具有或需要非生產 Active Directory 內部部署的客戶,也可以將其內部部署身分識別同步至沙箱租用戶 (如果基礎資源和應用程式需要如此)。
裝置:非生產租用戶包含較少的裝置,只剛好達到解決方案工程週期所需:
管理工作站
開發、測試和文件所需的非生產電腦和行動裝置
應用程式
Microsoft Entra 整合式應用程式:適用於下列項目的應用程式物件和服務主體:
部署於生產環境的應用程式 (例如,寫入 Microsoft Entra ID 和 Microsoft 線上服務的應用程式) 的測試執行個體。
負責管理和維護非生產租用戶的基礎結構服務,可能是公司租用戶中可用的解決方案子集。
Microsoft Online Services:
一般而言,在生產環境中擁有 Microsoft Online Services 的小組,應該擁有這些服務的非生產執行個體。
除非特別測試這些服務,否則非生產測試環境的管理員不應該佈建 Microsoft Online Services。 這可避免不當使用 Microsoft 服務,例如在測試環境中設定生產 SharePoint 網站。
同樣地,應該禁止佈建可由終端使用者 (也稱為臨時訂用帳戶) 起始的 Microsoft Online 服務。 如需詳細資訊,請參閱什麼是 Microsoft Entra ID 的自助式註冊?。
一般而言,針對使用群組型授權的租用戶,應該停用所有非必要的授權功能。 這應該由在生產租用戶中管理授權的相同小組完成,以避免開發人員可能不知道啟用授權功能會造成多大影響而設定錯誤。
Azure 資源
也可以部署信任應用程式所需的任何 Azure 資源。 例如,資料庫、虛擬機器、容器、Azure 函式等等。 在沙箱環境中,針對可用安全性功能較少的產品與服務,您必須衡量使用較低成本 SKU 可節省的成本。
在非生產環境中,存取控制仍應該採用 RBAC 模型,以防在測試結束後變更複寫至生產環境。 否則,非生產環境中的安全性缺陷會蔓延至生產租用戶。
使用多個租用戶來隔離資源和身分識別
隔離結果
在少數情況下,只是隔離資源無法符合您的需求。 在多租用戶架構中,您可以停用所有跨租用戶共同作業功能,並實際建立單獨身分識別界限,以同時隔離資源和身分識別。 此方法可防範操作錯誤,以及公司租用戶中的使用者身分識別、裝置或混合式基礎結構遭入侵。
隔離一般使用方式
單獨身分識別界限通常用於業務關鍵應用程式和資源,例如面向客戶的服務。 在此案例中,Fabrikam 已決定為面向客戶的 SaaS 產品建立單獨租用戶,以避免因為員工身分識別遭入侵而影響 SaaS 客戶的風險。 下圖說明這個架構:
FabrikamSaaS 租用戶包含的環境用於 Fabrikam 商務模型中提供給客戶的應用程式。
目錄物件的隔離
FabrikamSaas 中的目錄物件如下所示:
使用者和群組:SaaS 租用戶內建立解決方案 IT 小組、客戶支援人員或其他必要人員所需的身分識別。 為了保持隔離,只使用本機帳戶,不啟用 Microsoft Entra B2B 共同作業。
Azure AD B2C 目錄物件:如果客戶存取租用戶環境,則可能包含 Azure AD B2C 租用戶及其相關聯的身分識別物件。 保存這些目錄的訂用帳戶很適用於隔離的面向消費者環境。
裝置:此租用戶包含較少的裝置,只包含執行面向客戶解決方案所需的裝置:
保護管理工作站。
支援人員工作站 (這可包括上述「待命」的工程師)。
應用程式的隔離
Microsoft Entra 整合式應用程式:適用於下列項目的應用程式物件和服務主體:
生產應用程式 (例如多租用戶應用程式定義)。
基礎結構服務,負責管理和維護面向客戶的環境。
Azure 資源:裝載面向客戶生產執行個體的 IaaS、PaaS 和 SaaS 資源。