Considerações e recomendações para cenários de zona de aterrissagem do Azure multilocatário
O artigo, Zonas de aterrissagem do Azure e vários locatários do Microsoft Entra, descreve como os grupos de gerenciamento e a Política e assinaturas do Azure interagem e operam com os locatários do Microsoft Entra. O artigo descreve a limitação desses recursos quando eles operam em um único locatário do Microsoft Entra. Nessas condições, se existirem vários locatários do Microsoft Entra ou forem necessários para uma organização, as zonas de aterrissagem do Azure deverão ser implantadas em cada um dos locatários do Microsoft Entra separadamente.
Zonas de aterrissagem do Azure com vários locatários do Microsoft Entra
O diagrama anterior mostra um exemplo da Contoso Corporation, que tem quatro locatários do Microsoft Entra devido a fusões e aquisições à medida que a corporação cresceu ao longo do tempo.
Domínio de locatário *.onmicrosoft.com do Microsoft Entra |
Observações de uso |
|---|---|
contoso.onmicrosoft.com |
Locatário corporativo principal do Microsoft Entra usado pela Contoso Corporation. Os serviços do Azure e do Microsoft 365 são usados nesse locatário. |
fabrikam.onmicrosoft.com |
Locatário principal do Microsoft Entra usado pela Fabrikam. Os serviços do Azure e do Microsoft 365 são usados nesse locatário. Esse locatário permaneceu separado desde a aquisição pela Contoso Corporation. |
tailwind.onmicrosoft.com |
Locatário principal do Microsoft Entra usado pelo Tailwind. Os serviços do Azure e do Microsoft 365 são usados nesse locatário. Esse locatário permaneceu separado desde a aquisição pela Contoso Corporation. |
contoso365test.onmicrosoft.com |
Locatário do Microsoft Entra usado pela Contoso Corporation para testar somente a ID do Microsoft Entra e os serviços e configuração do Microsoft 365. Todos os ambientes do Azure vivem no locatário do contoso.onmicrosoft.com Microsoft Entra. |
A Contoso Corporation começou com um locatário do Microsoft Entra do contoso.onmicrosoft.com. Com o tempo, eles fizeram várias aquisições de outras empresas e trouxeram essas empresas para a Contoso Corporation.
As aquisições da Fabrikam () e da Tailwind () trouxeram consigo locatários existentes do Microsoft Entra nos quais os serviços do Microsoft 365 (fabrikam.onmicrosoft.comtailwind.onmicrosoft.comExchange Online, SharePoint, OneDrive) e do Azure são usados. Essas empresas e os locatários associados do Microsoft Entra são mantidos separados porque partes da Contoso Corporation e suas empresas podem ser vendidas no futuro.
A Contoso Corporation tem um locatário separado do Microsoft Entra com o único propósito de testar a ID do Microsoft Entra e os serviços e recursos do Microsoft 365. Mas nenhum serviço do Azure é testado neste locatário separado do Microsoft Entra. Eles são testados no locatário do contoso.onmicrosoft.com Microsoft Entra.
Dica
Para obter mais informações sobre como testar zonas de aterrissagem do Azure e cargas de trabalho e recursos do Azure em ambientes de zonas de aterrissagem do Azure, consulte:
Observação
As zonas de aterrissagem do Azure são implantadas em um único locatário do Microsoft Entra. Se você tiver vários locatários do Microsoft Entra nos quais deseja implantar recursos do Azure e quiser controlá-los, controlá-los e monitorá-los usando zonas de aterrissagem do Azure, deverá implantar as zonas de aterrissagem do Azure em cada um desses locatários individualmente.
Considerações e recomendações para zonas de aterrissagem do Azure em cenários multilocatários
Esta seção explica as principais considerações e recomendações sobre zonas de aterrissagem do Azure e cenários e uso multilocatário do Microsoft Entra.
Considerações
- Comece com uma abordagem de locatário único para o design do locatário do Microsoft Entra.
- O locatário único geralmente é o locatário corporativo do Microsoft Entra da organização onde as identidades do usuário existem e um serviço, como o Microsoft 365, está em execução.
- Crie mais locatários do Microsoft Entra somente quando houver requisitos que não possam ser atendidos usando o locatário corporativo do Microsoft Entra.
- Considere o uso de unidades administrativas do Microsoft Entra ID para gerenciar a segregação e o isolamento de usuários, grupos e dispositivos (por exemplo, equipes diferentes) em um único locatário do Microsoft Entra. Use esse recurso em vez de criar vários locatários do Microsoft Entra.
- Considere o uso de assinaturas de área restrita para o desenvolvimento e a investigação da carga de trabalho inicial do aplicativo. Para obter mais informações, consulte Como manipular zonas de aterrissagem de carga de trabalho "dev/test/production" na arquitetura de zona de aterrissagem do Azure.
- A migração de assinaturas do Azure entre locatários do Microsoft Entra é complexa e exige que as atividades pré e pós-migração sejam concluídas para habilitar uma migração. Para obter mais informações, consulte Transferir uma assinatura do Azure para um diretório diferente do diretório do Microsoft Entra. É mais fácil recriar a carga de trabalho do aplicativo em uma nova assinatura do Azure no locatário de destino. Ele oferece mais controle sobre a migração.
- Considere as complexidades de gerenciar, governar, configurar, monitorar e proteger vários locatários do Microsoft Entra. Um único locatário do Microsoft Entra é mais fácil de gerenciar, controlar e proteger.
- Considere seu processo, fluxos de trabalho e ferramentas JML (marceneiros, movimentadores e distribuidores). Verifique se esses recursos podem oferecer suporte e lidar com vários locatários do Microsoft Entra.
- Considere o efeito sobre os usuários finais quando eles gerenciam, governam e protegem várias identidades para si mesmos.
- Ao escolher vários locatários do Microsoft Entra, considere o efeito na colaboração entre locatários, especialmente da perspectiva de um usuário final. A experiência de colaboração e o suporte do Microsoft 365 entre usuários em um único locatário do Microsoft Entra são ideais.
- Considere o efeito na auditoria e nas verificações de conformidade normativa em vários locatários do Microsoft Entra antes de escolher uma abordagem.
- Considere o aumento nos custos de licenciamento quando vários locatários do Microsoft Entra são usados. As licenças para produtos como o Microsoft Entra ID P1 ou P2 ou os serviços do Microsoft 365 não abrangem os locatários do Microsoft Entra.
- Um único registro do Enterprise Agreement pode oferecer suporte e fornecer assinaturas para vários locatários do Microsoft Entra, definindo o nível de autenticação no registro como interlocatário de conta corporativa e de estudante. Para obter mais informações, consulte Administração do portal EA do Azure.
- Um único Contrato de Cliente da Microsoft pode oferecer suporte e fornecer assinaturas para vários locatários do Microsoft Entra. Para obter mais informações, consulte Gerenciar locatários em sua conta de cobrança do Contrato de Cliente da Microsoft.
- Ao optar por uma arquitetura multilocatário do Microsoft Entra, considere as limitações que podem ocorrer para equipes de aplicativos e desenvolvedores. Esteja ciente das limitações na integração do Microsoft Entra para produtos e serviços do Azure, como a Área de Trabalho Virtual do Azure, os Arquivos do Azure e o SQL do Azure. Para obter mais informações, consulte a seção de integração do Microsoft Entra de produtos e serviços do Azure neste artigo.
- Considere usar o Microsoft Entra B2B para simplificar e aprimorar a experiência do usuário e a administração quando sua organização tiver vários locatários do Microsoft Entra.
- Considere usar a plataforma de identidade da Microsoft, com o Microsoft Entra ID com recursos B2B e B2C, para que os desenvolvedores possam criar aplicativos em uma única assinatura do Azure e em um único locatário. Esse método oferece suporte a usuários de muitas fontes de identidade. Para obter mais informações, consulte Aplicativos multilocatários e Arquitetar soluções multilocatários no Azure.
- Considere o uso dos recursos disponíveis para organizações multilocatário. Para obter mais informações, consulte O que é uma organização multilocatário no Microsoft Entra ID.
- Considere manter sua zona de aterrissagem do Azure atualizada.
Produtos e serviços do Azure Integração com o Microsoft Entra
Muitos produtos e serviços do Azure não oferecem suporte ao Microsoft Entra B2B como parte de sua integração nativa com o Microsoft Entra. Existem apenas alguns serviços que oferecem suporte à autenticação B2B do Microsoft Entra como parte de suas integrações do Microsoft Entra. É mais seguro para o padrão do serviço não oferecer suporte ao Microsoft Entra B2B como parte de sua integração com o Microsoft Entra.
Os serviços que fornecem uma integração nativa com o Microsoft Entra ID, como o Armazenamento do Azure, o SQL do Azure, os Arquivos do Azure e a Área de Trabalho Virtual do Azure, usam uma abordagem de estilo "um clique" ou "sem clique" para integrar. Eles exigem cenários de autenticação e autorização como parte de seu serviço. Essa abordagem geralmente é suportada no "locatário residencial", e alguns serviços podem habilitar o suporte para cenários B2B/B2C do Microsoft Entra. Para obter mais informações sobre a relação da assinatura do Azure com a ID do Microsoft Entra, consulte Associar ou adicionar uma assinatura do Azure ao seu locatário do Microsoft Entra.
É importante considerar cuidadosamente a qual locatário do Microsoft Entra suas assinaturas do Azure estão associadas. Essa relação determina quais produtos e serviços e seus recursos, o aplicativo ou as equipes de carga de trabalho usam que precisam dar suporte às identidades e de qual locatário as identidades são. Normalmente, as identidades estão no locatário corporativo do Microsoft Entra.
Se vários locatários do Microsoft Entra forem usados para hospedar todas as assinaturas do Azure, as equipes de carga de trabalho do aplicativo não poderão aproveitar algumas integrações do Microsoft Entra de produtos e serviços do Azure. Se as equipes de carga de trabalho do aplicativo tiverem que desenvolver seus aplicativos em torno dessas limitações impostas, o processo de autenticação e autorização se tornará mais complexo e menos seguro.
Evite esse problema usando um único locatário do Microsoft Entra como base para todas as suas assinaturas do Azure. Um único locatário é a melhor abordagem para autenticação e autorização para seu aplicativo ou serviço. Essa arquitetura simples dá à equipe de carga de trabalho do aplicativo menos para gerenciar, controlar e controlar, além de remover possíveis restrições.
Para obter mais informações, consulte Isolamento de recursos em um único locatário.
Recomendações
- Use um único locatário do Microsoft Entra, que geralmente é o locatário corporativo do Microsoft Entra. Crie mais locatários do Microsoft Entra somente quando houver requisitos que não possam ser atendidos usando o locatário corporativo do Microsoft Entra.
- Use assinaturas de área restrita para fornecer às equipes de aplicativos ambientes de desenvolvimento seguros, controlados e isolados no mesmo locatário único do Microsoft Entra. Para obter mais informações, consulte Como manipular zonas de aterrissagem de carga de trabalho "dev/test/production" na arquitetura de zona de aterrissagem do Azure.
- Use aplicativos multilocatários do Microsoft Entra ao criar integrações a partir de ferramentas operacionais, como o ServiceNow, e conecte-os a vários locatários do Microsoft Entra. Para obter mais informações, consulte Práticas recomendadas para todas as arquiteturas de isolamento.
- Se você for um ISV, consulte Considerações sobre ISV (fornecedor independente de software) para zonas de aterrissagem do Azure.
- Use o Farol do Azure para simplificar as experiências de gerenciamento entre locatários. Para obter mais informações, consulte Uso do Farol do Azure em cenários multilocatários de zonas de aterrissagem do Azure.
- Em seus registros do Enterprise Agreement ou dos Contratos de Cliente Microsoft hospedados no locatário do Microsoft Entra de destino, crie proprietários de contas, proprietários de seções de faturas e criadores de assinaturas. Atribua os proprietários e criadores às assinaturas que eles criam para evitar ter que alterar diretórios em assinaturas do Azure depois de criadas. Para obter mais informações, consulte Adicionar uma conta de outro locatário do Microsoft Entra e Gerenciar locatários em sua conta de cobrança do Contrato de Cliente da Microsoft.
- Consulte o guia de operações de segurança do Microsoft Entra.
- Mantenha o número mínimo de contas de Administrador Global, menos de 5 é preferível.
- Habilite o PIM (Gerenciamento de Identidades Privilegiadas) para todas as contas de administrador para garantir nenhum privilégio permanente e fornecer acesso JIT.
- Exigir aprovação no PIM para ativar funções críticas, como a função Administrador Global. Considere a criação de aprovadores de várias equipes para aprovar o uso do Administrador Global.
- Habilite o monitoramento e as notificações a todas as partes interessadas necessárias sobre a ativação da função Administrador Global.
- Verifique se a configuração "Gerenciamento de acesso para recursos do Azure" em Administradores Globais está definida como Não onde não é necessária.
- Habilite e configure os seguintes serviços e recursos do Microsoft Entra para simplificar a experiência multilocatário para administração e usuários em sua organização:
- Para organizações com um locatário do Microsoft Entra em várias nuvens da Microsoft, como Microsoft Azure Commercial cloud, Microsoft Azure China 21Vianet, Microsoft Azure Government, defina as configurações de nuvem da Microsoft para colaboração B2B (visualização) para simplificar as experiências do usuário ao colaborar entre locatários.
- As equipes de aplicativos e os desenvolvedores devem revisar os seguintes recursos ao construir aplicativos e serviços para multilocação: