Azure-landningszoner och flera Microsoft Entra-klienter

Azure-landningszoner bygger på hanteringsgrupper. Azure-principer tilldelas och prenumerationer placeras i hanteringsgrupper för att tillhandahålla nödvändiga styrningskontroller som en organisation behöver för att uppfylla sina säkerhets- och efterlevnadsbehov.

Dricks

Se Mappning av säkerhetskontroll med Azure-landningszoner för att lära dig hur du använder Azure-landningszonen och Azure Policy för att uppnå organisationens säkerhets-, efterlevnads- och regelbehov.

Dessa resurser distribueras i en enda Microsoft Entra-klientorganisation. Hanteringsgrupper och de flesta andra Azure-resurser, till exempel Azure Policy, stöder endast drift inom en enda Microsoft Entra-klientorganisation. En Azure-prenumeration förlitar sig på en Microsoft Entra-klientorganisation för att autentisera användare, tjänster och enheter mot Azure Resource Manager (ARM) för att styra planåtgärder och vissa Azure-tjänster, till exempel Azure Storage, för dataplansåtgärder.

Flera prenumerationer kan förlita sig på samma Microsoft Entra-klientorganisation. Varje prenumeration kan bara förlita sig på en enda Microsoft Entra-klientorganisation. Mer information finns i Lägga till en befintlig Azure-prenumeration i din klientorganisation.

I föregående diagram distribueras hanteringsgrupper, Azure-principer och Azure-prenumerationer efter konceptarkitekturen för Azure-landningszoner i en enda Microsoft Entra-klientorganisation.

Den här metoden rekommenderas för de flesta organisationer baserat på deras krav. Den här metoden ger organisationer bästa möjliga samarbetsupplevelse och gör att de kan styra, styra och isolera användare och resurser i en enda Microsoft Entra-klientorganisation.

Din organisation kan behöva använda flera Microsoft Entra-klienter i många scenarier. Se hur du distribuerar och hanterar distributionen av Azure-landningszonen till var och en av dessa klienter och överväganden och rekommendationer för hantering av flera Microsoft Entra-klienter.

Kommentar

Den här artikeln fokuserar på Azure, inte Microsoft 365 eller andra Microsoft Cloud-erbjudanden, till exempel Dynamics 365 eller Power Platform.

Den fokuserar på plattformen snarare än program som bygger på plattformen i klientorganisationer. Information om flera Microsoft Entra-klienter och programarkitektur finns i:

• Appar för flera klientorganisationer i Microsoft Entra-ID
• Skapa lösningar för flera klientorganisationer i Azure

Varför en enskild Microsoft Entra-klientorganisation räcker

Det finns orsaker till att du kan kräva flera Microsoft Entra-klienter, men det är viktigt att förstå varför en enda Microsoft Entra-klientorganisation vanligtvis räcker. Det bör vara standardstartpunkten för alla organisationer.

Använd din befintliga Microsoft Entra-klientorganisation för Azure-prenumerationer för bästa möjliga produktivitet och samarbete på hela plattformen.

I en enda klientorganisation kan utvecklingsteam och programägare ha de minst privilegierade rollerna för att skapa icke-produktionsinstanser av Azure-resurser och betrodda appar, testa appar, testa användare och grupper och testa principer för dessa objekt. Mer information om hur du delegerar administration med en enskild klient finns i Resursisolering i en enda klientorganisation.

Skapa bara fler Microsoft Entra-klienter när det finns krav som inte kan uppfyllas med hjälp av företagets Microsoft Entra-klientorganisation.

Med Microsoft 365 är företagets Microsoft Entra-klientorganisation vanligtvis den första klientorganisationen som etableras i organisationen. Den här klientorganisationen används för åtkomst till företagsprogram och Microsoft 365-tjänster. Det stöder samarbete inom en organisation. Anledningen till att börja med den här befintliga klientorganisationen är att den redan har etablerats, hanterats och skyddats. Identiteternas definierade livscykel har troligen redan upprättats. Den här kursen gör det enklare att registrera nya appar, resurser och prenumerationer. Det är en mogen, förstådd miljö med etablerade processer, procedurer och kontroller.

Komplexitet med flera Microsoft Entra-klienter

När du skapar en ny Microsoft Entra-klient kräver det extra arbete för att etablera, hantera, skydda och styra identiteterna. Du måste också upprätta de principer och procedurer som krävs. Samarbete är bäst i en enda Microsoft Entra-klientorganisation. Om du flyttar till en modell för flera klientorganisationer skapas en gräns, vilket kan resultera i användarfriktion, hanteringskostnader och ökad attackyta, vilket kan orsaka en säkerhetsrisk och komplicera produktscenarier och begränsningar. Vissa exempel inkluderar:

• Flera identiteter för användare och administratörer för varje klientorganisation – Om Microsoft Entra B2B inte används har användaren flera uppsättningar autentiseringsuppgifter att hantera. Mer information finns i Överväganden och rekommendationer för scenarier med Azure-landningszoner för flera innehavare.
• Begränsningar för Azure-tjänster när det gäller stöd för flera Microsoft Entra-klientorganisationer – Azure-arbetsbelastningar som endast stöder identiteter som finns i den klientorganisation som den är bunden till. Mer information finns i Microsoft Entra-integrering med Azure-produkter och -tjänster.
• Ingen centraliserad konfiguration eller hantering för Microsoft Entra-klientorganisationer – flera säkerhetsprinciper, hanteringsprinciper, konfiguration, portaler, API:er och JML-processer (kopplingar, movers och leavers).
• Fakturerings- och licenskomplexitet och potentiella krav på licensduplicering för Microsoft Entra ID P1- eller P2-licenser – Mer information finns i Överväganden och rekommendationer för scenarier med Azure-landningszoner för flera innehavare.

Organisationer måste vara tydliga med varför de avviker från företagets Microsoft Entra-klientmodell för att säkerställa att extra omkostnader och komplexitet motiveras för att uppfylla kraven. Det finns exempel på dessa instanser i artikeln scenarier.

Rollen Global administratör (global administratör) är ett annat problem. Rollen Global administratör ger den högsta behörighetsnivån som är tillgänglig i en Microsoft Entra-klientorganisation. I Azure kan alla globala administratörer ta kontroll över alla Azure-prenumerationer som är länkade till Microsoft Entra-klientorganisationen. Läs mer i Utöka åtkomst för att hantera alla Azure-prenumerationer och hanteringsgrupper.

Viktigt!

Microsoft Entra Privileged Identity Management bör användas för att skydda den här rollen och andra privilegierade roller i Microsoft Entra ID och Azure.

Ägarskapet för den här rollen mellan interna team och avdelningar kan ge en utmaning eftersom identitetsteamet och Azure-teamet ofta finns i olika team, avdelningar och organisationsstrukturer.

De team som driver Azure ansvarar för Azure-tjänster och vill säkerställa säkerheten för de tjänster som de hanterar. När personer utanför teamet har roller som kan komma åt deras miljöer är säkerheten svagare. Mer information finns i Förstå nödvändiga molnfunktioner.

Microsoft Entra-ID tillhandahåller kontroller som hjälper till att åtgärda det här problemet på teknisk nivå, men det här problemet är också en person och processdiskussion. Mer information finns i Rekommendationer.

Viktigt!

Flera Microsoft Entra-klienter är inte den rekommenderade metoden för de flesta kunder. En enskild Microsoft Entra-klientorganisation, vanligtvis företagets Microsoft Entra-klientorganisation, rekommenderas för de flesta kunder eftersom den tillhandahåller nödvändiga separationskrav.

Mer information finns i:

• Definiera Microsoft Entra-klienter
• Arkitektur: Standardisera på en enda katalog och identitet
• Testmetod för Azure-landningszoner
• Introduktion till delegerad administration och isolerade miljöer
• Resursisolering i en enda klientorganisation
• Dina Microsoft 365 för företagsklientorganisationer

Nästa steg

Scenarier för flera Microsoft Entra-klienter