Considérations et recommandations pour les scénarios de zone d’atterrissage Azure multi-locataire

L’article, Zones d’atterrissage Azure et utilisation de plusieurs locataires Azure Active Directory, décrit comment les groupes d’administration et Azure Policy et les abonnements interagissent et fonctionnent avec les locataires Azure Active Directory. L’article décrit la limitation de ces ressources lorsqu’elles fonctionnent dans un seul locataire Microsoft Entra. Dans ces conditions, si plusieurs locataires Microsoft Entra existent ou sont requis pour une organisation, les zones d’atterrissage Azure doivent être déployées dans chacun des locataires Microsoft Entra séparément.

Zones d’atterrissage Azure avec plusieurs locataires Microsoft Entra

Le diagramme précédent montre un exemple de Contoso Corporation, qui a quatre locataires Microsoft Entra en raison de fusions et d’acquisitions à mesure que la société a augmenté au fil du temps.

Contoso Corporation a commencé avec un locataire Microsoft Entra de contoso.onmicrosoft.com. Au fil du temps, ils ont fait plusieurs acquisitions d’autres sociétés et ont introduit ces sociétés dans Contoso Corporation.

Les acquisitions de Fabrikam (fabrikam.onmicrosoft.com) et Tailwind (tailwind.onmicrosoft.com) ont apporté avec eux des locataires Microsoft Entra existants dans lesquels Microsoft 365 (Exchange Online, SharePoint, OneDrive) et les services Azure sont utilisés. Ces entreprises, ainsi que les locataires Microsoft Entra associés, sont conservées séparées, car certaines parties de Contoso Corporation et de ses sociétés peuvent être vendues à l’avenir.

Contoso Corporation dispose d’un locataire Microsoft Entra distinct dans le seul but de tester les services et fonctionnalités Microsoft Entra ID et Microsoft 365. Mais aucun service Azure n’est testé dans ce locataire Microsoft Entra distinct. Ils sont testés dans le locataire Microsoft Entra contoso.onmicrosoft.com.

Considérations et recommandations pour les scénarios de zones d’atterrissage Azure multi-locataires

Cette section décrit les principales considérations et recommandations relatives aux zones d’atterrissage Azure et aux scénarios multilocataires Microsoft Entra et à l’utilisation.

À propos de l’installation

• Commencez par une approche client unique à votre conception de locataire Microsoft Entra.
  • Le locataire unique est généralement le locataire Microsoft Entra d’entreprise de l’organisation où les identités de l’utilisateur existent et un service, comme Microsoft 365, est en cours d’exécution.
  • Créez uniquement d’autres locataires Microsoft Entra lorsqu’il existe des exigences qui ne peuvent pas être remplies à l’aide du locataire Microsoft Entra d’entreprise.
• Envisagez d’utiliser les unités administratives Microsoft Entra ID pour gérer la séparation et l’isolation des utilisateurs, des groupes et des appareils (par exemple, différentes équipes) au sein d’un seul locataire Microsoft Entra. Utilisez cette ressource au lieu de créer plusieurs locataires Microsoft Entra.
• Envisagez d’utiliser des abonnements bac à sable pour le développement et l’investigation de la charge de travail d’application initiale. Pour plus d’informations, consultez Comment gérer les zones d’atterrissage de charge de travail « dev/test/production » dans l’architecture des zones d’atterrissage Azure ?.
• La migration d’abonnements Azure entre les locataires Microsoft Entra est complexe et nécessite des activités de pré-migration et post-migration pour permettre une migration. Pour plus d’informations, consultez Transférer un abonnement Azure vers un autre répertoire Microsoft Entra. Il est plus facile de reconstruire la charge de travail d’application dans un nouvel abonnement Azure dans le locataire de destination. Cela vous donne plus de contrôle sur la migration.
• Considérez les complexités de gestion, de gouvernance, de configuration, de supervision et de sécurisation de plusieurs locataires Microsoft Entra. Un seul locataire Microsoft Entra est plus facile à gérer, à régir et à sécuriser.
• Tenez compte de votre processus, de vos workflows et de vos outils JML (joiners, movers et leavers). Assurez-vous que ces ressources peuvent prendre en charge et gérer plusieurs locataires Microsoft Entra.
• Tenez compte de l’effet sur les utilisateurs finaux lorsqu’ils gèrent, gouvernent et sécurisent plusieurs identités pour eux-mêmes.
• Lorsque vous choisissez plusieurs locataires Microsoft Entra, tenez compte de l’effet sur la collaboration entre locataires, en particulier du point de vue de l’utilisateur final. L’expérience de collaboration Microsoft 365 et la prise en charge entre les utilisateurs au sein d’un seul locataire Microsoft Entra sont optimales.
• Envisagez l’effet sur l’audit et les vérifications de conformité réglementaire sur plusieurs locataires Microsoft Entra avant de choisir une approche.
• Tenez compte de l’augmentation des coûts de licence lorsque plusieurs locataires Microsoft Entra sont utilisés. Les licences pour les produits tels que Microsoft Entra ID P1 ou P2 ou les services Microsoft 365 ne s’étendent pas sur les locataires Microsoft Entra.
• Une inscription à un contrat Entreprise unique peut prendre en charge et fournir des abonnements à plusieurs locataires Microsoft Entra en définissant le niveau d’authentification de l’inscription sur le compte professionnel et scolaire interlocataire. Pour plus d’informations, consultez Administration du portail Azure EA.
• Un contrat client Microsoft peut prendre en charge et fournir des abonnements à plusieurs locataires Microsoft Entra. Pour plus d’informations, consultez Gérer les locataires dans le compte de facturation de votre Contrat client Microsoft.
• Lorsque vous optez pour une architecture multilocataire Microsoft Entra, tenez compte des limitations qui peuvent se produire pour les équipes d’applications et les développeurs. Tenez compte des limitations de l’intégration de Microsoft Entra pour les produits et services Azure, tels qu’Azure Virtual Desktop, Azure Files et Azure SQL. Pour plus d’informations, consultez la section l’intégration des produits et services Azure Microsoft Entra dans cet article.
• Envisagez d’utiliser Microsoft Entra B2B pour simplifier et améliorer l’expérience utilisateur et l’administration lorsque votre organisation dispose de plusieurs locataires Microsoft Entra.
• Envisagez d’utiliser la plateforme d’identités Microsoft, avec Microsoft Entra ID avec les fonctionnalités B2B et B2C, afin que les développeurs puissent créer des applications dans un seul abonnement Azure et au sein d’un seul locataire. Cette méthode prend en charge les utilisateurs provenant de nombreuses sources d’identité. Pour plus d’informations, consultez Applications multi-locataires et Concevoir des solutions multi-locataires sur Azure.
• Envisagez d’utiliser les fonctionnalités disponibles pour les organisations multi-locataires. Pour plus d’informations, consultez Qu’est-ce qu’une organisation mutualisée dans Microsoft Entra ID.
• Envisagez de maintenir votre zone d’atterrissage Azure à jour.

Intégration des produits et services Azure Microsoft Entra

De nombreux produits et services Azure ne prennent pas en charge Microsoft Entra B2B dans le cadre de leur intégration Microsoft Entra native. Il n’existe que quelques services qui prennent en charge l’authentification Microsoft Entra B2B dans le cadre de leurs intégrations Microsoft Entra. Il est plus sûr que le service ne prend pas en charge Microsoft Entra B2B dans le cadre de son intégration à Microsoft Entra.

Les services qui fournissent une intégration native avec Microsoft Entra ID, comme Stockage Azure, Azure SQL, Azure Files et Azure Virtual Desktop, utilisent une approche de style « un clic » ou « sans clic » pour intégrer. Ils nécessitent des scénarios d’authentification et d’autorisation dans le cadre de leur service. Cette approche est généralement prise en charge par rapport au « locataire domestique », et certains services peuvent activer la prise en charge des scénarios Microsoft Entra B2B/B2C. Pour plus d’informations sur la relation de l’abonnement Azure à Microsoft Entra ID, consultez Associer ou ajouter un abonnement Azure à votre locataire Microsoft Entra.

Il est important de prendre en compte attentivement le locataire Microsoft Entra auquel vos abonnements Azure sont associés. Cette relation détermine quels produits et services, et leurs fonctionnalités, que les équipes d’application ou de charge de travail utilisent, doivent prendre en charge les identités et d’où proviennent les identités du locataire. En règle générale, les identités se trouvent dans le locataire Microsoft Entra d’entreprise.

Si plusieurs locataires Microsoft Entra sont utilisés pour héberger tous les abonnements Azure, les équipes de charge de travail d’application ne peuvent pas tirer parti de certains produits et services Azure intégrations Microsoft Entra. Si les équipes de charge de travail d’application doivent développer leurs applications en s’accommodant de ces limitations imposées, le processus d’authentification et d’autorisation devient plus complexe et moins sécurisé.

Évitez ce problème en utilisant un seul locataire Microsoft Entra comme domicile pour tous vos abonnements Azure. Un client unique est la meilleure approche pour l’authentification et l’autorisation de votre application ou service. Cette architecture simple permet à l’équipe de charge de travail d’application d’avoir moins à gérer, gouverner et contrôler, et élimine les contraintes potentielles.

Pour plus d’informations, consultez Isolation des ressources dans un seul locataire.

Recommandations

• Utilisez un seul locataire Microsoft Entra, qui est généralement le locataire Microsoft Entra d’entreprise. Créez uniquement d’autres locataires Microsoft Entra lorsqu’il existe des exigences qui ne peuvent pas être remplies à l’aide du locataire Microsoft Entra d’entreprise.
• Utilisez des abonnements bac à sable pour fournir aux équipes d’applications des environnements de développement sécurisés, contrôlés et isolés au sein du même locataire Microsoft Entra unique. Pour plus d’informations, consultez Comment gérer les zones d’atterrissage de charge de travail « dev/test/production » dans l’architecture des zones d’atterrissage Azure ?.
• Utilisez des applications multilocataires Microsoft Entra lorsque vous créez des intégrations à partir d’outils opérationnels, tels que ServiceNow, et connectez-les à plusieurs locataires Microsoft Entra. Pour plus d’informations, consultez Meilleures pratiques pour toutes les architectures d’isolation.
• Si vous êtes un éditeur de logiciels indépendant (ISV), passez en revue les considérations relatives aux éditeurs de logiciels indépendants (ISV) pour les zones d’atterrissage Azure.
• Utilisez Azure Lighthouse pour simplifier les expériences de gestion inter-locataires. Pour plus d’informations, consultez Utilisation d’Azure Lighthouse dans les scénarios multi-locataires des zones d’atterrissage Azure.
• Sur vos inscriptions Contrat Entreprise ou Contrats client Microsoft hébergés dans le locataire Microsoft Entra de destination, créez des propriétaires de compte, des propriétaires de section de facture et des créateurs d’abonnements. Affectez les propriétaires et les créateurs aux abonnements qu’ils créent pour éviter d’avoir à modifier les annuaires sur les abonnements Azure après leur création. Pour plus d’informations, consultez Ajouter un compte à partir d’un autre locataire Microsoft Entra et Gérer les locataires dans votre compte de facturation contrat client Microsoft.
• Consultez le guide des opérations de sécurité Microsoft Entra.
• Maintenez le nombre de comptes d’administrateur général au minimum, moins de 5 est préférable.
• Activez Privileged Identity Management (PIM) pour tous les comptes d’administration afin de garantir l’absence de privilège permanent et de fournir un accès JIT.
• Exigez une approbation dans PIM pour activer les rôles critiques, comme le rôle Administrateur général. Envisagez de créer des approbateurs à partir de plusieurs équipes pour approuver l’utilisation de l’administrateur général.
• Activez la surveillance et les notifications pour toutes les parties prenantes requises concernant l’activation du rôle Administrateur général.
• Vérifiez que le paramètre « Gestion de l’accès pour les ressources Azure » sur Administrateurs généraux est défini sur Non, là où il n’est pas obligatoire.

• Activez et configurez les services et fonctionnalités Microsoft Entra suivants pour simplifier l’expérience multilocataire pour l’administration et les utilisateurs au sein de votre organisation :
  • B2B Collaboration
  • Connexion directe B2B
  • Paramètres d’accès interlocataire
  • Synchronisation entre clients
  • Organisation multilocataire (préversion)
• Pour les organisations disposant d’un locataire Microsoft Entra dans plusieurs clouds Microsoft, comme le cloud commercial Microsoft Azure, Microsoft Azure China 21Vianet, Microsoft Azure Government, configurez paramètres cloud Microsoft pour B2B Collaboration (préversion) pour simplifier les expériences des utilisateurs lors de la collaboration entre les locataires.
• Les équipes d’application et les développeurs doivent passer en revue les ressources suivantes lors de la création d’applications et de services pour des solutions multi-locataires :
  • Applications multilocataires dans Microsoft Entra ID
  • Définir l’architecture de solutions multi-locataires sur Azure

Étapes suivantes