Zagadnienia i zalecenia dotyczące scenariuszy wielodostępnych stref docelowych platformy Azure
W artykule strefy docelowe platformy Azure i wielu dzierżawach firmy Microsoft Entra opisano sposób interakcji grup zarządzania i usługi Azure Policy oraz subskrypcji i działania z dzierżawami firmy Microsoft Entra. W tym artykule opisano ograniczenie tych zasobów, gdy działają w ramach jednej dzierżawy firmy Microsoft Entra. W tych warunkach, jeśli istnieje wiele dzierżaw firmy Microsoft Entra lub są wymagane dla organizacji, strefy docelowe platformy Azure muszą być wdrażane w każdej dzierżawie firmy Microsoft Entra oddzielnie.
Strefy docelowe platformy Azure z wieloma dzierżawami firmy Microsoft
Na poprzednim diagramie przedstawiono przykład firmy Contoso Corporation, która ma cztery dzierżawy Firmy Microsoft Entra z powodu fuzji i przejęć, ponieważ korporacja wzrosła wraz z upływem czasu.
Domena dzierżawy *.onmicrosoft.com firmy Microsoft Entra |
Uwagi dotyczące użycia |
|---|---|
contoso.onmicrosoft.com |
Podstawowa firmowa dzierżawa firmy Microsoft Entra używana przez firmę Contoso Corporation. Platformy Azure i usługi Microsoft 365 są używane w tej dzierżawie. |
fabrikam.onmicrosoft.com |
Podstawowa dzierżawa firmy Microsoft Entra używana przez firmę Fabrikam. Platformy Azure i usługi Microsoft 365 są używane w tej dzierżawie. Ta dzierżawa pozostała oddzielona od przejęcia przez Firmę Contoso Corporation. |
tailwind.onmicrosoft.com |
Podstawowa dzierżawa firmy Microsoft Entra używana przez firmę Tailwind. Platformy Azure i usługi Microsoft 365 są używane w tej dzierżawie. Ta dzierżawa pozostała oddzielona od przejęcia przez Firmę Contoso Corporation. |
contoso365test.onmicrosoft.com |
Dzierżawa firmy Microsoft Entra używana przez firmę Contoso Corporation do testowania tylko usług Microsoft Entra ID i Microsoft 365 oraz konfiguracji. Wszystkie środowiska platformy Azure działają w ramach dzierżawy contoso.onmicrosoft.com firmy Microsoft Entra. |
Firma Contoso Corporation rozpoczęła pracę z jedną dzierżawą firmy Microsoft Entra firmy contoso.onmicrosoft.com. W czasie dokonali wielu przejęć innych firm i przywieźli te firmy do Firmy Contoso Corporation.
Przejęcia firmy Fabrikam (fabrikam.onmicrosoft.com) i Tailwind (tailwind.onmicrosoft.com) przyniosły im istniejące dzierżawy firmy Microsoft Entra, w których są używane usługi Microsoft 365 (Exchange Online, SharePoint, OneDrive) i Azure. Te firmy i skojarzone dzierżawy Firmy Microsoft Entra są oddzielone, ponieważ części firmy Contoso Corporation i jej firmy mogą być sprzedawane w przyszłości.
Firma Contoso Corporation ma oddzielną dzierżawę firmy Microsoft Entra w celu testowania identyfikatora Entra firmy Microsoft i usług i funkcji platformy Microsoft 365. Jednak żadne usługi platformy Azure nie są testowane w tej oddzielnej dzierżawie firmy Microsoft Entra. Są one testowane w dzierżawie contoso.onmicrosoft.com firmy Microsoft Entra.
Napiwek
Aby uzyskać więcej informacji na temat testowania stref docelowych platformy Azure i obciążeń i zasobów platformy Azure w środowiskach stref docelowych platformy Azure, zobacz:
Uwaga
Strefy docelowe platformy Azure są wdrażane w ramach jednej dzierżawy firmy Microsoft Entra. Jeśli masz wiele dzierżaw firmy Microsoft Entra, w ramach których chcesz wdrożyć zasoby platformy Azure i chcesz kontrolować, zarządzać nimi i monitorować je przy użyciu stref docelowych platformy Azure, musisz wdrożyć strefy docelowe platformy Azure osobno w każdej z tych dzierżaw.
Zagadnienia i zalecenia dotyczące stref docelowych platformy Azure w scenariuszach obejmujących wiele dzierżaw
W tej sekcji opisano kluczowe zagadnienia i zalecenia dotyczące stref docelowych platformy Azure oraz scenariuszy i użycia wielu dzierżaw firmy Microsoft Firmy Microsoft.
Kwestie wymagające rozważenia
- Zacznij od podejścia z jedną dzierżawą do projektu dzierżawy firmy Microsoft Entra.
- Pojedyncza dzierżawa jest zazwyczaj firmową dzierżawą firmy Microsoft Entra w organizacji, w której istnieją tożsamości użytkownika, a usługa, na przykład Platforma Microsoft 365, jest uruchomiona.
- Utwórz więcej dzierżaw firmy Microsoft Entra tylko wtedy, gdy istnieją wymagania, których nie można spełnić przy użyciu firmowej dzierżawy firmy Microsoft Entra.
- Rozważ użycie jednostek administracyjnych Microsoft Entra ID do zarządzania segregacją i izolacją użytkowników, grup i urządzeń (na przykład różnych zespołów) w ramach jednej dzierżawy firmy Microsoft Entra. Użyj tego zasobu zamiast tworzyć wiele dzierżaw firmy Microsoft Entra.
- Rozważ użycie subskrypcji piaskownicy na potrzeby początkowego tworzenia i badania obciążenia aplikacji. Aby uzyskać więcej informacji, zobacz Jak obsługiwać strefy docelowe obciążeń "dev/test/production" w architekturze strefy docelowej platformy Azure.
- Migrowanie subskrypcji platformy Azure między dzierżawami firmy Microsoft Entra jest złożone i wymaga ukończenia działań przed migracją i po ich zakończeniu w celu włączenia migracji. Aby uzyskać więcej informacji, zobacz Przenoszenie subskrypcji platformy Azure do innego katalogu usługi Microsoft Entra. Łatwiej jest ponownie skompilować obciążenie aplikacji w nowej subskrypcji platformy Azure w dzierżawie docelowej. Zapewnia większą kontrolę nad migracją.
- Należy wziąć pod uwagę złożoność zarządzania, zarządzania, konfigurowania, monitorowania i zabezpieczania wielu dzierżaw firmy Microsoft Entra. Pojedyncza dzierżawa firmy Microsoft Entra jest łatwiejsza do zarządzania, zarządzania i zabezpieczania.
- Weź pod uwagę proces JML (sprzężenia, osoby przenoszące i opuszczające) oraz przepływy pracy i narzędzia. Upewnij się, że te zasoby mogą obsługiwać wiele dzierżaw firmy Microsoft Entra i obsługiwać je.
- Należy wziąć pod uwagę wpływ na użytkowników końcowych podczas zarządzania, zarządzania i zabezpieczania wielu tożsamości dla siebie.
- Podczas wybierania wielu dzierżaw firmy Microsoft Entra należy wziąć pod uwagę wpływ na współpracę między dzierżawami, zwłaszcza z perspektywy użytkownika końcowego. Środowisko współpracy platformy Microsoft 365 i obsługa techniczna między użytkownikami w ramach jednej dzierżawy firmy Microsoft Entra jest optymalna.
- Przed wybraniem podejścia należy wziąć pod uwagę wpływ kontroli inspekcji i zgodności z przepisami w wielu dzierżawach firmy Microsoft Entra.
- Rozważ zwiększenie kosztów licencjonowania w przypadku użycia wielu dzierżaw firmy Microsoft Entra. Licencje na produkty, takie jak Microsoft Entra ID P1 lub P2 lub Microsoft 365, nie obejmują dzierżaw firmy Microsoft Entra.
- Pojedyncza rejestracja Umowa Enterprise może obsługiwać wiele dzierżaw firmy Microsoft i udostępniać subskrypcje wielu dzierżawom firmy Microsoft, ustawiając poziom uwierzytelniania na poziomie rejestracji na koncie służbowym między dzierżawami. Aby uzyskać więcej informacji, zobacz Administrowanie witryną Azure EA Portal.
- Pojedyncza Umowa z Klientem Microsoft może obsługiwać i udostępniać subskrypcje wielu dzierżawom firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Zarządzanie dzierżawami na koncie rozliczeniowym Umowa z Klientem Microsoft.
- W przypadku wybrania architektury wielodostępnej firmy Microsoft należy wziąć pod uwagę ograniczenia, które mogą wystąpić w przypadku zespołów aplikacji i deweloperów. Należy pamiętać o ograniczeniach integracji firmy Microsoft dla produktów i usług platformy Azure, takich jak Azure Virtual Desktop, Azure Files i Azure SQL. Aby uzyskać więcej informacji, zobacz sekcję integracji produktów i usług platformy Azure firmy Microsoft w tym artykule.
- Rozważ użycie usługi Microsoft Entra B2B , aby uprościć i ulepszyć środowisko użytkownika oraz administrować, gdy organizacja ma wiele dzierżaw firmy Microsoft Entra.
- Rozważ użycie Platforma tożsamości Microsoft z identyfikatorem Entra firmy Microsoft z funkcjami B2B i B2C, aby deweloperzy mogli tworzyć aplikacje w jednej subskrypcji platformy Azure i w ramach jednej dzierżawy. Ta metoda obsługuje użytkowników z wielu źródeł tożsamości. Aby uzyskać więcej informacji, zobacz Aplikacje wielodostępne i Projektowanie rozwiązań wielodostępnych na platformie Azure.
- Rozważ użycie funkcji dostępnych dla organizacji z wieloma dzierżawami. Aby uzyskać więcej informacji, zobacz Co to jest organizacja z wieloma dzierżawami w usłudze Microsoft Entra ID.
- Rozważ aktualizowanie strefy docelowej platformy Azure.
Integracja produktów i usług platformy Azure firmy Microsoft Entra
Wiele produktów i usług platformy Azure nie obsługuje usługi Microsoft Entra B2B w ramach natywnej integracji firmy Microsoft Entra. Istnieje tylko kilka usług, które obsługują uwierzytelnianie Microsoft Entra B2B w ramach integracji firmy Microsoft Entra. Jest bezpieczniej, aby usługa domyślnie nie obsługiwała usługi Microsoft Entra B2B w ramach integracji z firmą Microsoft Entra.
Usługi, które zapewniają natywną integrację z identyfikatorem Entra firmy Microsoft, takimi jak Azure Storage, Azure SQL, Azure Files i Azure Virtual Desktop, używają podejścia w stylu "jednym kliknięciem" lub "no-click", aby zintegrować. Wymagają scenariuszy uwierzytelniania i autoryzacji w ramach swojej usługi. Takie podejście jest zwykle obsługiwane w przypadku "dzierżawy domowej", a niektóre usługi mogą włączyć obsługę scenariuszy firmy Microsoft Entra B2B/B2C. Aby uzyskać więcej informacji na temat relacji subskrypcji platformy Azure z identyfikatorem Entra firmy Microsoft, zobacz Kojarzenie lub dodawanie subskrypcji platformy Azure do dzierżawy usługi Microsoft Entra.
Ważne jest, aby dokładnie rozważyć, z którą dzierżawą firmy Microsoft są skojarzone subskrypcje platformy Azure. Ta relacja określa, które produkty i usługi oraz ich funkcje, aplikacje lub zespoły ds. obciążeń używają, które muszą obsługiwać tożsamości i z której dzierżawy pochodzą tożsamości. Zazwyczaj tożsamości znajdują się w firmowej dzierżawie firmy Microsoft Entra.
Jeśli wiele dzierżaw firmy Microsoft Entra jest używanych do hostowania wszystkich subskrypcji platformy Azure, zespoły obciążeń aplikacji nie mogą korzystać z niektórych produktów i usług platformy Azure integracji firmy Microsoft Entra. Jeśli zespoły ds. obciążeń aplikacji muszą opracowywać aplikacje wokół tych narzuconych ograniczeń, proces uwierzytelniania i autoryzacji staje się bardziej złożony i mniej bezpieczny.
Unikaj tego problemu, używając jednej dzierżawy firmy Microsoft Entra jako strony głównej dla wszystkich subskrypcji platformy Azure. Jedna dzierżawa to najlepsze podejście do uwierzytelniania i autoryzacji aplikacji lub usługi. Ta prosta architektura pozwala zespołowi obciążeń aplikacji mniej zarządzać, zarządzać i kontrolować oraz usuwa potencjalne ograniczenia.
Aby uzyskać więcej informacji, zobacz Izolacja zasobów w jednej dzierżawie.
Zalecenia
- Użyj jednej dzierżawy firmy Microsoft Entra, która jest zwykle firmową dzierżawą firmy Microsoft Entra. Utwórz więcej dzierżaw firmy Microsoft Entra tylko wtedy, gdy istnieją wymagania, których nie można spełnić przy użyciu firmowej dzierżawy firmy Microsoft Entra.
- Subskrypcje piaskownicy umożliwiają zespołom aplikacji bezpieczne, kontrolowane i izolowane środowiska deweloperskie w ramach tej samej pojedynczej dzierżawy firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Jak obsługiwać strefy docelowe obciążeń "dev/test/production" w architekturze strefy docelowej platformy Azure.
- Używaj aplikacji wielodostępnych firmy Microsoft podczas tworzenia integracji z narzędzi operacyjnych, takich jak ServiceNow, i łączenia ich z wieloma dzierżawami firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące wszystkich architektur izolacji.
- Jeśli jesteś niezależnym dostawcą oprogramowania, zobacz Zagadnienia dotyczące niezależnego dostawcy oprogramowania (ISV) dotyczące stref docelowych platformy Azure.
- Użyj usługi Azure Lighthouse, aby uprościć środowiska zarządzania między dzierżawami. Aby uzyskać więcej informacji, zobacz Azure Lighthouse usage in Azure landing zones multi-tenant scenarios (Użycie usługi Azure Lighthouse w scenariuszach obejmujących wiele dzierżaw platformy Azure).
- W ramach rejestracji Umowa Enterprise lub Umowa z Klientem Microsoft, które znajdują się w docelowej dzierżawie firmy Microsoft Entra, utwórz właścicieli kont, właścicieli sekcji faktur i twórców subskrypcji. Przypisz właścicieli i twórców do tworzonych subskrypcji, aby uniknąć konieczności zmiany katalogów w subskrypcjach platformy Azure po utworzeniu. Aby uzyskać więcej informacji, zobacz Dodawanie konta z innej dzierżawy usługi Microsoft Entra i Zarządzanie dzierżawami na koncie rozliczeniowym Umowa z Klientem Microsoft.
- Zobacz Przewodnik po operacjach zabezpieczeń firmy Microsoft Entra.
- Zachowaj minimalną liczbę kont globalnych Administracja istrator, mniej niż 5.
- Włącz usługę Privileged Identity Management (PIM) dla wszystkich kont administratorów, aby zapewnić brak stałych uprawnień i zapewnić dostęp JIT.
- Wymagaj zatwierdzenia w usłudze PIM, aby aktywować role krytyczne, takie jak rola globalnego Administracja istratora. Rozważ utworzenie osób zatwierdzających z wielu zespołów w celu zatwierdzenia użycia globalnego Administracja istratora.
- Włącz monitorowanie i powiadomienia dla wszystkich wymaganych osób biorących udział w aktywacji roli globalnej Administracja istratora.
- Upewnij się, że ustawienie "Zarządzanie dostępem do zasobów platformy Azure" w globalnych Administracja istratorach ma wartość Nie, jeśli nie jest to wymagane.
- Włącz i skonfiguruj następujące usługi i funkcje firmy Microsoft Entra, aby uprościć środowisko wielodostępne dla administracji i użytkowników w organizacji:
- W przypadku organizacji z dzierżawą firmy Microsoft Entra w wielu chmurach firmy Microsoft, takich jak chmura komercyjna Microsoft Azure, Microsoft Azure China 21Vianet, Microsoft Azure Government, skonfiguruj ustawienia chmury firmy Microsoft na potrzeby współpracy B2B (wersja zapoznawcza), aby uprościć środowiska użytkownika podczas współpracy między dzierżawami.
- Zespoły aplikacji i deweloperzy powinni przejrzeć następujące zasoby podczas tworzenia aplikacji i usług dla wielu dzierżaw: