多租使用者 Azure 登陸區域案例的考慮和建議
Azure 登陸區域和多個 Microsoft Entra 租使用者一文說明管理群組和 Azure 原則 和訂用帳戶如何與 Microsoft Entra 租使用者互動及運作。 本文說明這些資源在單一 Microsoft Entra 租用戶內運作時的限制。 在這些情況下,如果有多個 Microsoft Entra 租使用者存在或組織需要,則必須個別將 Azure 登陸區域部署到每個 Microsoft Entra 租使用者中。
具有多個 Microsoft Entra 租使用者的 Azure 登陸區域
上圖顯示 Contoso Corporation 的範例,因為公司隨著時間的成長,Contoso Corporation 有四個 Microsoft Entra 租使用者。
Microsoft Entra 租使用者 *.onmicrosoft.com 網域 |
使用量注意事項 |
|---|---|
contoso.onmicrosoft.com |
Contoso Corporation 所使用的主要公司 Microsoft Entra 租使用者。 此租使用者會使用 Azure 和 Microsoft 365 服務。 |
fabrikam.onmicrosoft.com |
Fabrikam 所使用的主要 Microsoft Entra 租使用者。 此租使用者會使用 Azure 和 Microsoft 365 服務。 自 Contoso Corporation 收購以來,此租使用者一直保持分離。 |
tailwind.onmicrosoft.com |
Tailwind 所使用的主要 Microsoft Entra 租使用者。 此租使用者會使用 Azure 和 Microsoft 365 服務。 自 Contoso Corporation 收購以來,此租使用者一直保持分離。 |
contoso365test.onmicrosoft.com |
Contoso Corporation 僅用來測試 Microsoft Entra ID 和 Microsoft 365 服務和設定 的 Microsoft Entra 租使用者。 所有 Azure 環境都位於 Microsoft Entra 租用戶內 contoso.onmicrosoft.com 。 |
Contoso Corporation 從 的一個 Microsoft Entra 租 contoso.onmicrosoft.com用戶開始。 經過一段時間,他們多次收購其他公司,並將這些公司帶入 Contoso 公司。
Fabrikam () 和 Tailwind (fabrikam.onmicrosoft.comtailwind.onmicrosoft.com) 的收購帶來了現有的 Microsoft Entra 租使用者,其中 Microsoft 365(Exchange Online、SharePoint、OneDrive) 和 Azure 服務用於其中。 這些公司和相關聯的 Microsoft Entra 租使用者會保持分開,因為 Contoso Corporation 及其公司的部分可能會在未來出售。
Contoso Corporation 有個別的 Microsoft Entra 租使用者,用於測試 Microsoft Entra ID 和 Microsoft 365 服務和功能。 但在此個別的 Microsoft Entra 租使用者中,不會測試任何 Azure 服務。 他們在 Microsoft Entra 租用戶中 contoso.onmicrosoft.com 進行測試。
提示
如需在 Azure 登陸區域環境中測試 Azure 登陸區域和資源的詳細資訊,請參閱:
注意
Azure 登陸區域會部署在單一 Microsoft Entra 租用戶內。 如果您有多個想要在其中部署 Azure 資源的 Microsoft Entra 租使用者,而且想要使用 Azure 登陸區域來控制、控管及監視這些資源,您必須個別部署這些租使用者內的 Azure 登陸區域。
多租使用者案例中 Azure 登陸區域的考慮和建議
本節說明 Azure 登陸區域和 Microsoft Entra 多租使用者案例和使用方式的重要考慮和建議。
考量
- 從 Microsoft Entra 租用戶設計的單一 租使用者方法 開始。
- 單一租使用者通常是組織的公司 Microsoft Entra 租使用者,其中使用者身分識別存在,且服務,例如 Microsoft 365 正在執行中。
- 只有在有無法使用公司 Microsoft Entra 租使用者的需求時,才建立更多 Microsoft Entra 租使用者。
- 請考慮使用 Microsoft Entra ID 管理單位 來管理單一 Microsoft Entra 租使用者內的使用者、群組和裝置(例如不同小組)的隔離和隔離。 使用此資源,而不是建立多個 Microsoft Entra 租使用者。
- 請考慮使用沙箱訂用帳戶進行初始應用程式工作負載開發和調查。 如需詳細資訊,請參閱 如何在 Azure 登陸區域架構中處理「開發/測試/生產」工作負載登陸區域。
- 在 Microsoft Entra 租使用者之間移轉 Azure 訂用帳戶很複雜,而且需要完成移轉前和移轉後活動才能啟用移轉。 如需詳細資訊,請參閱將 Azure 訂用帳戶轉移至不同的 Microsoft Entra 目錄。 更輕鬆地在目的地租使用者的新 Azure 訂用帳戶中重建應用程式工作負載。 它可讓您更充分掌控移轉。
- 請考慮管理、控管、設定、監視和保護多個 Microsoft Entra 租使用者的複雜性。 單一 Microsoft Entra 租使用者更容易管理、控管及保護。
- 請考慮您的 JML(聯結程式、移動者和離開者)程式、工作流程和工具。 請確定這些資源可以支援及處理多個 Microsoft Entra 租使用者。
- 在使用者自行管理、治理及保護多個身分識別時,請考慮對終端用戶的影響。
- 選擇多個 Microsoft Entra 租使用者時,請考慮對跨租使用者共同作業的影響,特別是從用戶的觀點來看。 單一 Microsoft Entra 租使用者內用戶之間的 Microsoft 365 共同作業體驗和支援是最佳的。
- 在選擇方法之前,請考慮對多個 Microsoft Entra 租使用者的稽核和法規合規性檢查的影響。
- 使用多個 Microsoft Entra 租使用者時,請考慮授權成本的增加。 Microsoft Entra ID P1 或 P2 或 Microsoft 365 服務等產品的授權不會跨越 Microsoft Entra 租使用者。
- 單一 Enterprise 合約 註冊可藉由將註冊上的驗證層級設定為公司與學校帳戶跨租使用者,來支援和提供多個 Microsoft Entra 租使用者的訂用帳戶。 如需詳細資訊,請參閱 Azure EA 入口網站管理。
- 單一 Microsoft 客戶合約 可支援並提供多個 Microsoft Entra 租使用者的訂用帳戶。 如需詳細資訊,請參閱管理您 Microsoft 客戶合約 計費帳戶中的租使用者。
- 選擇 Microsoft Entra 多租用戶架構時,請考慮應用程式小組和開發人員可能發生的限制。 請注意 Azure 產品和服務的 Microsoft Entra 整合限制,例如 Azure 虛擬桌面、Azure 檔案儲存體 和 Azure SQL。 如需詳細資訊,請參閱 本文中的 Azure 產品和服務 Microsoft Entra 整合 一節。
- 當您的組織有多個 Microsoft Entra 租使用者時,請考慮使用 Microsoft Entra B2B 來簡化及增強使用者體驗和管理。
- 請考慮使用 Microsoft 身分識別平台,搭配具有 B2B 和 B2C 功能的 Microsoft Entra ID,讓開發人員可以在單一 Azure 訂用帳戶和單一租用戶內建立應用程式。 此方法支援來自許多身分識別來源的使用者。 如需詳細資訊,請參閱 Azure 上的多租使用者應用程式和架構多租用戶解決方案。
- 請考慮使用多租用戶組織可用的功能。 如需詳細資訊,請參閱 什麼是 Microsoft Entra ID 中的多租用戶組織。
- 請考慮 將您的 Azure 登陸區域保持在最新狀態。
Azure 產品和服務 Microsoft Entra 整合
許多 Azure 產品和服務不支援 Microsoft Entra B2B 做為其原生 Microsoft Entra 整合的一部分。 只有少數服務支援 Microsoft Entra B2B 驗證,作為其 Microsoft Entra 整合的一部分。 服務預設不支援 Microsoft Entra B2B 做為其 Microsoft Entra 整合的一部分更安全。
提供與 Microsoft Entra 識別碼原生整合的服務,例如 Azure 儲存體、Azure SQL、Azure 檔案儲存體 和 Azure 虛擬桌面,請使用「單鍵」或「無點選」樣式方法來整合。 它們需要 驗證和授權 案例作為其服務的一部分。 這種方法通常針對「主租使用者」提供支援,有些服務可能會啟用 Microsoft Entra B2B/B2C 案例的支援。 如需 Azure 訂用帳戶與 Microsoft Entra 標識符關聯性的詳細資訊,請參閱 將 Azure 訂用帳戶關聯或新增至您的 Microsoft Entra 租使用者。
請務必仔細考慮 Azure 訂用帳戶相關聯的 Microsoft Entra 租使用者。 此關聯性會決定哪些產品和服務及其功能,應用程式或工作負載小組會使用支援身分識別,以及身分識別的來源租使用者。 一般而言,身分識別位於公司 Microsoft Entra 租使用者中。
如果使用多個 Microsoft Entra 租用戶來裝載所有 Azure 訂用帳戶,應用程式工作負載小組就無法利用某些 Azure 產品和服務 Microsoft Entra 整合。 如果應用程式工作負載小組必須圍繞這些強制限制來開發其應用程式,驗證和授權程式會變得更複雜且較不安全。
使用單一 Microsoft Entra 租使用者作為您所有 Azure 訂用帳戶的主目錄,以避免這個問題。 單一租用戶是應用程式或服務驗證和授權的最佳方法。 這個簡單的架構可讓應用程式工作負載小組減少管理、控管和控制,並移除潛在的條件約束。
如需詳細資訊,請參閱 單一租使用者中的資源隔離。
建議
- 使用單一 Microsoft Entra 租使用者,通常是公司 Microsoft Entra 租使用者。 只有在有無法使用公司 Microsoft Entra 租使用者的需求時,才建立更多 Microsoft Entra 租使用者。
- 使用沙箱訂用帳戶,在相同的單一 Microsoft Entra 租使用者內,提供應用程式小組的安全、控制和隔離的開發環境。 如需詳細資訊,請參閱 如何在 Azure 登陸區域架構中處理「開發/測試/生產」工作負載登陸區域。
- 當您從 ServiceNow 等作業工具建立整合,並將其連線到多個 Microsoft Entra 租使用者時,請使用 Microsoft Entra 多租用戶應用程式。 如需詳細資訊,請參閱 所有隔離架構的最佳做法。
- 如果您是ISV,請參閱 Azure 登陸區域的獨立軟體廠商 (ISV) 考慮。
- 使用 Azure Lighthouse 來簡化跨租使用者管理體驗。 如需詳細資訊,請參閱 Azure 登陸區域多租使用者案例中的 Azure Lighthouse 使用量。
- 在您的 Enterprise 合約 註冊或位於目的地 Microsoft Entra 租使用者的 Microsoft 客戶合約 上,建立帳戶擁有者、發票區段擁有者和訂用帳戶建立者。 將擁有者和建立者指派給他們建立的訂用帳戶,以避免在建立后,必須 變更 Azure 訂 用帳戶上的目錄。 如需詳細資訊,請參閱從另一個 Microsoft Entra 租使用者新增帳戶,以及管理您 Microsoft 客戶合約 計費帳戶中的租使用者。
- 請參閱 Microsoft Entra 安全性作業指南。
- 將 Global 管理員 istrator 帳戶的數目保持在最小值,建議使用小於 5 個帳戶。
- 為所有系統管理員帳戶啟用 Privileged Identity Management (PIM), 以確保沒有常設許可權並提供 JIT 存取權。
- 需要 PIM 中的核准才能啟動重要角色,例如全域 管理員 管理員角色。 請考慮從多個小組建立核准者,以核准全域 管理員 istrator 使用方式。
- 啟用有關全域 管理員 角色啟用的所有必要項目關係人監視和通知。
- 確定全域 管理員 istrators 上的 [Azure 資源的存取管理] 設定設為 [否],而不需要。
- 啟用並設定下列 Microsoft Entra 服務和功能,以簡化組織內管理和使用者的多租用戶體驗:
- 對於多個 Microsoft 雲端中具有 Microsoft Entra 租使用者的組織,例如 Microsoft Azure 商業雲端、Microsoft Azure China 21Vianet、Microsoft Azure Government、設定 B2B 共同作業的 Microsoft 雲端設定(預覽) ,以簡化跨租使用者共同作業時的用戶體驗。
- 建構多租使用者的應用程式和服務時,應用程式小組和開發人員應該檢閱下列資源: