Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Существуют определенные сценарии, когда делегирование администрирования в рамках одной границы арендатора не удовлетворяет вашим потребностям. В этом разделе приведены требования, которые могут привести к созданию многотенантной архитектуры. Организации с несколькими клиентами могут охватывать два или более клиентов Microsoft Entra. Это может привести к уникальным требованиям для совместной работы и управления между различными клиентами. Архитектуры с несколькими арендаторами увеличивают сложность и затраты на управление, и их следует использовать с осторожностью. Мы рекомендуем использовать одного арендатора, если эта архитектура может удовлетворить ваши потребности. Дополнительные сведения см. в разделе "Управление пользователями с несколькими клиентами".
Отдельный клиент создает новую границу и поэтому отделяет управление ролями каталога Microsoft Entra, объектами каталогов, политиками условного доступа, группами ресурсов Azure, группами управления Azure и другими элементами управления, как описано в предыдущих разделах.
Отдельный арендатор полезен для ИТ-отдела организации для проверки изменений на уровне арендатора в службах Microsoft, таких как Intune, Microsoft Entra Connect, или гибридной конфигурации аутентификации, обеспечивая защиту пользователей и ресурсов организации. Это включает тестирование конфигураций служб, которые могут иметь эффекты на уровне клиента и не могут быть ограничены подмножеством пользователей в рабочем клиенте.
Развертывание тестовой среды в отдельном арендаторе может потребоваться во время разработки пользовательских приложений, которые могут изменять данные пользовательских объектов в продуктивной среде с помощью MS Graph или аналогичных API (например, приложений, которым предоставлены права Directory.ReadWrite.All или аналогичные широкие полномочия).
Примечание.
Синхронизация Microsoft Entra Connect с несколькими клиентами, которая может оказаться полезной при развертывании нерабокой среды в отдельном клиенте. Дополнительные сведения см. в разделе Microsoft Entra Connect: поддерживаемые топологии.
Результаты
Помимо результатов, достигнутых в одноарендаторной архитектуре, как описано ранее, организации могут полностью отделить взаимодействия ресурсов и арендаторов.
Разделение ресурсов
Видимость. Ресурсы в отдельном арендаторе не могут быть обнаружены или перечислены пользователями и администраторами в других арендаторах. Точно так же отчеты об использовании и журналы аудита содержатся в границах нового арендатора. Такое разделение видимости позволяет организациям управлять ресурсами, необходимыми для конфиденциальных проектов.
Отпечаток объекта — приложения, которые записывают в Microsoft Entra ID и(или) другие службы Microsoft Online через Microsoft Graph или другие интерфейсы управления, могут работать в отдельной среде объектов. Это позволяет группам разработчиков выполнять тесты во время жизненного цикла разработки программного обеспечения, не затрагивая других арендаторов.
Квоты. Потребление квот и ограничений Azure на уровне арендатора отделяется от квот других арендаторов.
Разделение конфигураций
Новый тенант предоставляет отдельный набор параметров на уровне арендатора, которые могут удовлетворять требованиям к ресурсам и доверенным приложениям, требующим различных конфигураций на уровне арендатора. Кроме того, новый арендатор предоставляет новый набор служб Microsoft Online, таких как Office 365.
Административное разделение
Новая граница клиента включает отдельный набор ролей каталога Microsoft Entra, что позволяет настраивать различные наборы администраторов.
Распространенные варианты использования
На следующей диаграмме показано распространенное использование изоляции ресурсов в множественных арендаторах: предпродакшн среда или "песочница", требующая большей изоляции, чем может быть достигнуто при делегированном администрировании в одном арендаторе.
Contoso — это организация, которая дополнила корпоративную архитектуру арендатора предварительным арендатором под названием ContosoSandbox.com. Тенант песочницы используется для поддержки непрерывной разработки корпоративных решений, которые взаимодействуют с Microsoft Entra ID и Microsoft 365 с помощью Microsoft Graph. Эти решения развертываются в корпоративном клиенте.
Арендатор песочницы подключен к сети, чтобы предотвратить влияние этих приложений на рабочие системы напрямую или косвенно, используя ресурсы арендатора и влияя на квоты или регулирование.
Разработчикам требуется доступ к облачной тестовой среде во время жизненного цикла разработки, в идеале с автоматическим доступом, требующим дополнительных разрешений, ограниченных в рабочей среде. Примеры этих дополнительных разрешений могут включать создание, удаление и обновление учетных записей пользователей, регистрацию приложений, подготовку и отмену подготовки ресурсов Azure, изменение политик или общей конфигурации среды.
В этом примере Contoso использует Microsoft Entra B2B Collaboration для предоставления прав доступа пользователям из корпоративного арендатора, чтобы эти пользователи могли управлять ресурсами в приложениях и получать к ним доступ в тестовом арендаторе без управления несколькими учетными данными. Эта возможность в первую очередь ориентирована на сценарии совместной работы между организациями. Однако предприятия с несколькими арендаторами, такие как Contoso, могут использовать эту возможность, чтобы избежать дополнительных сложностей в управлении жизненным циклом учетных данных и во взаимодействии с пользователем.
Используйте параметры доступа между клиентами внешних удостоверений для управления тем, как вы взаимодействуете с другими организациями Microsoft Entra через B2B-сотрудничество. Эти параметры определяют уровень входящего доступа пользователей во внешних организациях Microsoft Entra для ваших ресурсов, а также уровень исходящего доступа пользователей к внешним организациям. Они также позволяют доверять многофакторной проверке подлинности (MFA) и утверждениям устройств (соответствующим утверждениям и гибридным утверждениям Microsoft Entra) из других организаций Microsoft Entra. Дополнительные сведения и соображения по планированию см. в разделе Кросс-доступ клиентов в Microsoft Entra External ID.
Другим подходом мог бы стать использование возможностей Microsoft Entra Connect для синхронизации тех же локальных учетных данных Microsoft Entra с несколькими клиентами, сохраняя один и тот же пароль, но различаясь по доменному имени UPN пользователя.
Изоляция ресурсов в многопользовательской среде
С новым арендатором у вас будет отдельный набор администраторов. Организации могут использовать корпоративные идентификации через Microsoft Entra B2B collaboration. Аналогичным образом, организации могут реализовать Azure Lighthouse для межтенантного управления ресурсами Azure, чтобы нерабочие подписки Azure управлялись удостоверениями из производственной среды. Azure Lighthouse нельзя использовать для управления службами за пределами Azure, например Microsoft Intune. Microsoft 365 Lighthouse — это портал администрирования, который помогает поставщикам управляемых служб (MSP) защищать и администрировать в требуемом масштабе устройства, данные и пользователей для клиентов малого и среднего бизнеса (SMB), использующих Microsoft 365 бизнес премиум, Microsoft 365 E3 или Windows 365 для бизнеса.
Это позволит пользователям продолжать использовать свои корпоративные учетные данные, обеспечивая преимущества разделения.
Совместная работа Microsoft Entra B2B в тестовых клиентах должна быть настроена, чтобы разрешить подключение только удостоверений из корпоративной среды с помощью Azure B2B разрешающих/запрещающих списков. Для арендаторов, для которых вы хотите разрешить B2B, рассмотрите возможность использования настроек доступа между арендаторами в External Identities для многофакторной аутентификации и доверия устройств.
Внимание
Архитектуры с несколькими арендаторами при поддержке внешнего доступа к идентификации обеспечивают только изоляцию ресурсов, но не обеспечивают изоляцию идентификации. Изоляция ресурсов с помощью совместной работы Microsoft Entra B2B и Azure Lighthouse не снижает риски, связанные с идентификациями.
Если среда песочницы использует удостоверения совместно с корпоративной средой, к арендатору песочницы применяются следующие сценарии:
Злоумышленник, который подвергает риску пользователя, устройство или гибридную инфраструктуру в корпоративной аренде и приглашён в арендатора песочницы, может получить доступ к приложениям и ресурсам арендатора песочницы.
Операционная ошибка (например, удаление учетной записи пользователя или отзыв учетных данных) в корпоративном клиенте может повлиять на доступ приглашенного пользователя в клиент песочницы.
Необходимо выполнить анализ рисков и, возможно, рассмотреть возможность изоляции удостоверений с помощью нескольких арендаторов для критически важных для бизнеса ресурсов, требующих строго оборонительного подхода. Управление привилегированными пользователями Azure может помочь снизить некоторые риски, обеспечивая дополнительную безопасность доступа к критически важным для бизнеса арендаторам и ресурсам.
Объекты каталога
Арендатор, используемый для изоляции ресурсов, может содержать те же типы объектов, ресурсов Azure и доверенные приложения, что и основной арендатор. Возможно, потребуется подготовка следующих типов объектов:
Пользователи и группы: Удостоверения, необходимые командам разработчиков решений, таким как:
Администраторы среды песочницы.
Технические владельцы приложений.
Разработчики внутренних бизнес-приложений.
Учетные записи конечных пользователей для целей тестирования.
Эти удостоверения могут быть подготовлены для следующих пользователей:
Сотрудники, которые приходят с их корпоративной учетной записью через B2B-сотрудничество Microsoft Entra.
Сотрудники, которым нужны локальные учетные записи для администрирования, экстренного административного доступа или других технических причин.
Клиенты, у которых есть или которым требуется тестовый локальный экземпляр Active Directory, также могут синхронизировать локальные идентификаторы с учетной записью песочницы, если это необходимо базовым ресурсам и приложениям.
Устройства. Непроизводственный арендатор содержит уменьшенное количество устройств до уровня, необходимого в цикле разработки решения:
Административные рабочие станции
Непроизводственные компьютеры и мобильные устройства, необходимые для разработки, тестирования и документации
Приложения
Интегрированные приложения Microsoft Entra: объекты приложения и сервисные участники для:
Тестовые экземпляры приложений, развернутых в производственной среде (например, приложения, которые обращаются к Microsoft Entra ID и Microsoft онлайн-службам).
Инфраструктурные услуги для управления и обслуживания непроизводственного тенанта, которые могут быть подмножеством решений, доступных в корпоративном тенанте.
Microsoft Online Services (Интерактивные службы Майкрософт):
Как правило, команда, владеющая рабочими службами Microsoft Online Services, должна владеть нерабочим экземпляром этих служб.
Администраторы тестовых сред, которые не предназначены для производственных нужд, не должны подготавливать службы Microsoft Online Services, если они не тестируются специально. Это позволяет избежать недопустимого использования служб Майкрософт, например настройки рабочих сайтов SharePoint в тестовой среде.
Аналогичным образом должно быть заблокировано предоставление служб Microsoft Online, которые могут инициироваться конечными пользователями (также известными как разовые подписки). Дополнительные сведения см. в разделе "Что такое самостоятельная регистрация для идентификатора Microsoft Entra ID?".
Как правило, все некритичные функции лицензии должны быть отключены для арендатора, использующего групповое лицензирование. Это необходимо сделать той же командой, которая управляет лицензиями в рабочем клиенте, чтобы избежать неправильной настройки разработчиками, которые могут не знать влияние включения лицензированных функций.
Ресурсы Azure
Все ресурсы Azure, необходимые для доверия приложений, также могут быть развернуты. Например, базы данных, виртуальные машины, контейнеры, функции Azure и т. д. Для среды песочницы необходимо взвесить экономию затрат при использовании более дешевых SKU для продуктов и услуг с меньшим количеством функций безопасности.
Модель RBAC для управления доступом по-прежнему должна использоваться в нерабочей среде, если изменения будут воспроизведены в рабочей среде после завершения тестирования. Если этого не сделать, уязвимости в нерабочей среде могут распространяться в рабочем окружении.
Изоляция ресурсов и идентификаторов в многопользовательской среде
Результаты изоляции
Существуют ограниченные ситуации, когда изоляция ресурсов не может соответствовать вашим требованиям. Вы можете изолировать как ресурсы, так и удостоверения в архитектуре с несколькими арендаторами, отключив все возможности совместной работы между арендаторами и тем самым эффективно создать отдельную границу удостоверений. Этот подход является защитой от операционных ошибок и компрометации идентификационных данных пользователей, устройств или гибридной инфраструктуры в корпоративных компаниях.
Распространенные варианты использования изоляции
Отдельная граница идентичности обычно используется для критически важных для бизнеса приложений и ресурсов, таких как клиентоориентированные службы. В этом сценарии компания Fabrikam решила создать отдельного арендатора для своего ориентированного на клиентов SaaS-продукта, чтобы избежать риска компрометации удостоверений сотрудников, что могло бы повлиять на их клиентов SaaS. На приведенной выше схеме показана граница между Fabrikam и FabrikamSaaS. Арендатор FabrikamSaaS содержит среды, используемые для приложений, предлагаемых клиентам в рамках бизнес-модели компании Fabrikam.
Изоляция объектов каталогов
Объекты каталогов в системе FabrikamSaas следующие:
Пользователи и группы: Удостоверения, необходимые ИТ-командам, работающим над решениями, персоналу службы поддержки клиентов или другому необходимому персоналу, создаются в арендаторе SaaS. Для сохранения изоляции используются только локальные учетные записи, а совместная работа Microsoft Entra B2B не включена.
Объекты каталога Azure AD B2C. Если клиенты получают доступ к средам тенанта, она может содержать тенант Azure AD B2C и связанные с ним объекты удостоверения. Подписки, которые содержат эти каталоги, являются хорошими кандидатами для изолированной среды, ориентированной на работу с конечными пользователями.
Устройства. Этот арендатор содержит уменьшенное количество устройств; только те, которые необходимы для запуска клиентских решений:
Обеспечение безопасности рабочих станций администрирования.
Рабочие станции персонала службы поддержки (это могут быть инженеры, которые находятся "на вызове", как описано выше).
Изоляция приложений
Интеграция приложений Microsoft Entra: объекты приложений и основные служебные элементы для:
Производственные приложения (например, конфигурации многопользовательских приложений).
Службы инфраструктуры для управления и поддержания клиентоориентированной среды.
Ресурсы Azure. Размещает ресурсы IaaS, PaaS и SaaS для рабочих экземпляров, ориентированных на клиента.