Zonas de aterrizaje de Azure y varios inquilinos de Microsoft Entra

Las zonas de aterrizaje de Azure se basan en grupos de administración. Las directivas de Azure se asignan y las suscripciones se colocan en grupos de administración para proporcionar los controles de gobernanza necesarios que una organización necesita para satisfacer sus necesidades de seguridad y cumplimiento.

Sugerencia

Vea Asignación de controles de seguridad con zonas de aterrizaje de Azure para obtener información sobre cómo usar la zona de aterrizaje de Azure y Azure Policy para ayudar a lograr las necesidades normativas, cumplimiento y seguridad de la organización.

Estos recursos se implementan dentro de un único inquilino de Microsoft Entra. Los grupos de administración y la mayoría de los demás recursos de Azure, como Azure Policy, solo admiten el funcionamiento dentro de un único inquilino de Microsoft Entra. Una suscripción de Azure se basa en un inquilino de Microsoft Entra para autenticar usuarios, servicios y dispositivos en Azure Resource Manager (ARM) a fin de controlar las operaciones del plano de control y algunos servicios de Azure, como Azure Storage, para las operaciones del plano de datos.

Varias suscripciones se pueden basar en el mismo inquilino de Microsoft Entra. Cada suscripción solo se puede basar en un único inquilino de Microsoft Entra. Para más información, vea Incorporación de una suscripción de Azure existente al inquilino.

En el diagrama anterior, los grupos de administración, las directivas de Azure y las suscripciones de Azure se implementan de acuerdo a la arquitectura conceptual de zonas de aterrizaje de Azure dentro de un único inquilino de Microsoft Entra.

Este enfoque se recomienda para la mayoría de las organizaciones en función de sus requisitos. Este enfoque proporciona a las organizaciones la mejor experiencia de colaboración posible y les permite controlar y aislar usuarios y recursos dentro de un único inquilino de Microsoft Entra.

Es posible que la organización tenga que usar varios inquilinos de Microsoft Entra para muchos escenarios. Vea cómo implementar y administrar la implementación de zonas de aterrizaje de Azure en cada uno de estos inquilinos y consideraciones y recomendaciones para controlar varios inquilinos de Microsoft Entra.

Nota:

Este artículo se centra en Azure, no en Microsoft 365 ni en otras ofertas de Microsoft Cloud, como Dynamics 365 o Power Platform.

Se centra en la plataforma en lugar de las aplicaciones que se crean sobre la plataforma en los inquilinos. Para obtener información sobre varios inquilinos de Microsoft Entra y la arquitectura de aplicaciones, vea lo siguiente:

• Aplicaciones multiinquilino en Microsoft Entra ID
• Creación de soluciones multiinquilino en Azure

¿Por qué un solo inquilino de Microsoft Entra es suficiente?

Hay motivos por los que podría necesitar varios inquilinos de Microsoft Entra, pero es importante comprender por qué uno solo suele ser suficiente. Debe ser el punto de partida predeterminado para todas las organizaciones.

Use el inquilino de Microsoft Entra corporativo existente para las suscripciones de Azure a fin de obtener la mejor experiencia de productividad y colaboración en toda la plataforma.

Dentro de un único inquilino, los equipos de desarrollo y los propietarios de aplicaciones pueden tener los roles con privilegios mínimos para crear instancias que no sean de producción de recursos de Azure y aplicaciones de confianza, aplicaciones de prueba, usuarios y grupos de prueba, y directivas de prueba para esos objetos. Para más información sobre cómo delegar la administración con un único inquilino, vea Aislamiento de recursos en un único inquilino.

Cree solo más inquilinos de Microsoft Entra cuando haya requisitos que no se puedan cumplir mediante el inquilino corporativo de Microsoft Entra.

Con Microsoft 365, el inquilino corporativo de Microsoft Entra suele ser el primer inquilino aprovisionado en la organización. Este inquilino se usa para el acceso a aplicaciones corporativas y servicios de Microsoft 365. Admite la colaboración dentro de una organización. El motivo para empezar con este inquilino existente es porque ya se ha aprovisionado, administrado y protegido. Es probable que ya se haya establecido el ciclo de vida definido de las identidades. Esto facilita la tarea de incorporar nuevas aplicaciones, recursos y suscripciones. Es un entorno maduro, claro y con procesos, procedimientos y controles establecidos.

Complejidades con varios inquilinos de Microsoft Entra

Al crear un inquilino de Microsoft Entra, se necesita trabajo adicional para aprovisionar, administrar, proteger y controlar las identidades. También debe establecer las directivas y procedimientos necesarios. La colaboración es mejor en un único inquilino de Microsoft Entra. Al pasar a un modelo multiinquilino se crea un límite, lo que puede provocar fricción del usuario, sobrecarga de administración y aumentar el área expuesta a ataques, lo que puede provocar un riesgo de seguridad y complica los escenarios y limitaciones del producto. Estos son algunos ejemplos:

• Varias identidades para usuarios y administradores de cada inquilino: si no se usa B2B de Microsoft Entra, el usuario tiene varios conjuntos de credenciales que administrar. Para más información, vea Consideraciones y recomendaciones para escenarios multiinquilino de zonas de aterrizaje de Azure.
• Limitaciones de los servicios de Azure para admitir varios inquilinos de Microsoft Entra: cargas de trabajo de Azure que solo admiten identidades hospedadas en el inquilino al que está enlazado. Para más información, vea Integración de productos y servicios de Microsoft Entra.
• Sin configuración o administración centralizadas para inquilinos de Microsoft Entra: varios procesos de directivas de seguridad, directivas de administración, configuración, portales, API y JML (de combinación, traslado y salida).
• Complejidades de facturación y licencias, y requisitos potenciales para la duplicación de licencias de Microsoft Entra ID P1 o P2: para más información, vea Consideraciones y recomendaciones para escenarios de zona de aterrizaje de Azure multiinquilino.

Las organizaciones deben saber claramente por qué se desvían del modelo de inquilino corporativo de Microsoft Entra a fin de asegurarse de que la sobrecarga adicional y la complejidad están justificadas para cumplir los requisitos. Hay ejemplos de estas instancias en el artículo sobre escenarios.

El rol Administrador global es otro problema. El rol Administrador global proporciona el nivel más alto de permisos disponibles en un inquilino de Microsoft Entra. En Azure, cualquier Administrador global puede asumir el control de cualquier suscripción de Azure vinculada al inquilino de Microsoft Entra. Para más información, consulte Elevación de los privilegios de acceso para administrar todas las suscripciones y los grupos de administración de Azure.

Importante

Microsoft Entra Privileged Identity Management se debe usar para ayudar a proteger este y otros roles con privilegios, dentro de Azure Active Directory y Azure.

La propiedad de este rol entre equipos internos y departamentos puede proporcionar un desafío, ya que el equipo de identidades y el de Azure suelen estar en diferentes equipos, departamentos y estructuras de la organización.

Los equipos que operan Azure son responsables de los servicios de Azure y quieren garantizar la seguridad de los servicios que administran. Cuando individuos ajenos a ese equipo tienen roles con la capacidad de acceder a sus entornos, la seguridad es más débil. Para más información, vea Descripción de funciones en la nube necesarias.

Microsoft Entra ID proporciona controles que ayudan a mitigar este problema en un nivel técnico, pero este problema también es una discusión de usuarios y procesos. Para más información, vea Recomendaciones.

Importante

Varios inquilinos de Microsoft Entra no son el enfoque recomendado para la mayoría de los clientes. Se recomienda un único inquilino de Microsoft Entra, normalmente el inquilino corporativo de Microsoft Entra, para la mayoría de los clientes, ya que proporciona los requisitos de separación necesarios.

Para más información, consulte:

• Definición de inquilinos de Microsoft Entra
• Arquitectura: Unificación en un único directorio e identidad
• Enfoque para las pruebas de zonas de aterrizaje de Azure
• Introducción a los entornos aislados y a la administración delegada
• Aislamiento de recursos en un único inquilino
• Los inquilinos de Microsoft 365 para empresas

Pasos siguientes

Escenarios para varios inquilinos de Microsoft Entra