Scénarios pour plusieurs locataires Microsoft Entra
Il existe plusieurs raisons pour lesquelles une organisation peut avoir besoin de plusieurs locataires Microsoft Entra ou même vouloir étudier la possibilité de le faire. Les scénarios les plus courants sont les suivants :
- Fusions et acquisitions
- Exigences de conformité réglementaires ou de pays/région
- Exigences d’isolation et d’autonomie d’une unité commerciale ou organisation
- Fournisseurs de logiciels indépendant (ISV) fournissant des applications SaaS à partir d’Azure
- Test au niveau du locataire/test Microsoft 365
- Grassroots/Informatique fantôme/start-ups
Fusions et acquisitions
À mesure que les organisations grandissent, elles peuvent acquérir d’autres sociétés ou organisations. Ces acquisitions sont susceptibles d’avoir déjà établi des locataires Microsoft Entra existants qui hébergent et fournissent des services, comme Microsoft 365 (Exchange Online, SharePoint, OneDrive ou Teams), Dynamics 365 et Microsoft Azure, à l’entreprise ou à l’organisation.
En règle générale, lors d’une acquisition, les deux locataires Microsoft Entra sont consolidés en un seul locataire Microsoft Entra. Cette consolidation réduit la surcharge de gestion, améliore l’expérience de collaboration et présente une identité de marque unique aux autres entreprises et organisations.
Important
Un nom de domaine personnalisé (par exemple, contoso.com) ne peut être associé qu’à un seul locataire Microsoft Entra à la fois. Par conséquent, la consolidation des locataires est préférable, car un nom de domaine personnalisé unique peut être utilisé par toutes les identités lorsqu’un scénario de fusion ou d’acquisition se produit.
En raison de la complexité de la consolidation de deux locataires Microsoft Entra en un seul, les locataires sont parfois laissés seuls et restent séparés pendant une période prolongée ou indéfinie.
Ce scénario peut également se produire lorsque les organisations ou les entreprises veulent rester distinctes, car d’autres organisations peuvent acquérir leur société à l’avenir. Si une organisation maintient les locataires Microsoft Entra isolés et qu’elle ne les consolide pas, il y a moins de travail en cas de fusion ou d’acquisition future d’une entité unique.
Exigences de conformité réglementaires ou de pays/région
Certaines organisations sont soumises à des contrôles et cadres de conformité stricts en matière de réglementation ou locaux (par exemple, UK Official, Sarbanes Oxley (SOX) ou NIST). Les organisations peuvent créer plusieurs locataires Microsoft Entra pour respecter et se conformer à ces infrastructures.
Certaines organisations disposant des bureaux et des utilisateurs dans le monde entier avec des réglementations plus strictes en matière de résidence des données peuvent également créer plusieurs locataires Microsoft Entra. Toutefois, cette exigence particulière est généralement traitée au sein d’un seul locataire Microsoft Entra à l’aide de fonctionnalités telles que Microsoft 365 Multi-Geo.
Un autre scénario est lorsque les organisations nécessitent Azure Government (US Government) ou Azure Chine (géré par 21Vianet). Ces instances de cloud Azure nationales nécessitent leurs propres locataires Microsoft Entra. Les locataires Microsoft Entra concernent uniquement cette instance cloud Azure nationale et sont utilisés pour les services de gestion des identités et des accès des abonnements Azure au sein de cette instance cloud Azure.
Conseil
Pour plus d’informations sur les scénarios d’identité du cloud national/régional Azure, consultez :
Comme dans les scénarios précédents, si votre organisation a un cadre de conformité réglementaire ou local à respecter, vous n’avez peut-être pas besoin de plusieurs locataires Microsoft Entra comme approche par défaut. La plupart des organisations peuvent se conformer aux cadres en utilisant un seul locataire Microsoft Entra à l’aide de fonctionnalités comme Privileged Identity Management et les Unités administratives.
Exigences d’isolation et d’autonomie d’une unité commerciale ou organisation
Certaines organisations peuvent avoir des structures internes complexes entre plusieurs unités commerciales, ou elles peuvent nécessiter un niveau élevé d’isolation et d’autonomie entre les parties de leur organisation.
Lorsque ce scénario se produit et que les outils et conseils d’isolation des ressources dans un seul locataire ne peuvent pas fournir le niveau d’isolation exigé, vous pouvez être amené à déployer, gérer et exploiter plusieurs locataires Microsoft Entra.
Dans de tels scénarios, il est plus courant qu’il n’existe aucune fonction centralisée responsable du déploiement, de la gestion et de l’exploitation de ces locataires multiples. Au lieu de cela, chaque locataire est entièrement remis à l’unité commerciale ou partie de l’organisation en question, qui doit l’exploiter et le gérer. Une équipe d’architecture centralisée, de stratégie ou de style CCoE peut toujours fournir des conseils et des recommandations sur les meilleures pratiques qui doivent être configurées dans le locataire séparé Microsoft Entra.
Avertissement
Les organisations qui ont des rôles et des responsabilités opérationnels présentent des obstacles entre les équipes qui exploitent le locataire Microsoft Entra de l’organisation. Azure doit donner la priorité à la création et à l’accord sur un RACI clair entre les deux équipes. Cette action garantit que les deux équipes peuvent travailler et fournir leurs services à l’organisation et apporter de la valeur à l’entreprise en temps opportun.
Certaines organisations disposent d’équipes de développement et d’infrastructure cloud qui utilisent Azure. Les organisations s’appuient sur une équipe d’identité qui contrôle le locataire Microsoft Entra de l’entreprise pour la création du principal de service ou la création et la gestion de groupe. S’il n’y a pas de RACI convenu, il y a souvent un manque de collaboration et de compréhension entre les équipes, ce qui entraîne des frictions entre elles et dans toute l’organisation. Certaines organisations estiment que l’utilisation de plusieurs locataires Microsoft Entra est le seul moyen de surmonter cet obstacle.
Toutefois, la présence de plusieurs locataires Microsoft Entra présente des obstacles pour les utilisateurs finaux, augmente la complexité de la sécurisation, de la gestion et de la gouvernance de ces différents locataires, et augmente potentiellement les coûts de licence. Les licences, telles que Microsoft Entra ID P1 ou P2, ne couvrent pas plusieurs locataires Microsoft Entra. Parfois, l’utilisation de Microsoft Entra B2B peut atténuer la duplication des licences pour certaines fonctionnalités et services. Si vous envisagez d’utiliser Microsoft Entra B2B dans votre déploiement, vérifiez les conditions de licence et la prise en charge de chaque fonctionnalité et service pour l’éligibilité de Microsoft Entra B2B.
Les organisations qui se trouvent dans cette situation doivent résoudre les problèmes opérationnels pour s’assurer que les équipes peuvent travailler ensemble dans un seul locataire Microsoft Entra plutôt que de créer plusieurs locataires Microsoft Entra comme solution de contournement.
Fournisseurs de logiciels indépendant (ISV) fournissant des applications SaaS à partir d’Azure
Les éditeurs de logiciels indépendants qui fournissent leurs produits SaaS (software as a service) à leurs clients peuvent bénéficier de l’utilisation de plusieurs locataires Microsoft Entra lorsqu’ils utilisent Azure.
Si vous êtes un éditeur de logiciels indépendant, vous pouvez avoir une séparation entre votre locataire Microsoft Entra de l’entreprise, y compris l’utilisation d’Azure pour vos activités habituelles, comme la messagerie, le partage de fichiers et les applications internes. Vous pouvez également avoir un locataire séparé Microsoft Entra où les abonnements Azure hébergent et fournissent les applications SaaS que vous fournissez à vos clients finaux. Cette approche est courante et sensée, car elle vous protège, vous et vos clients, contre les incidents de sécurité.
Pour plus d’informations, consultez Considérations relatives aux éditeurs de logiciels indépendants (ISV) pour les zones d’atterrissage Azure.
Test au niveau du locataire/test Microsoft 365
Certaines activités et fonctionnalités des produits, services et offres Microsoft Cloud ne peuvent être testées que dans un locataire séparé Microsoft Entra. Quelques exemples :
- Microsoft 365 – Exchange Online, SharePoint et Teams
- Microsoft Entra ID, Microsoft Entra Connect, niveaux de risque de protection Microsoft Entra ID et applications SaaS
- Tests de scripts qui utilisent l’API Microsoft Graph et peuvent affecter et apporter des modifications à la production
Lorsque vous souhaitez effectuer des tests comme dans les scénarios précédents, un locataire séparé Microsoft Entra est votre seule option.
Toutefois, le locataire séparé Microsoft Entra ne permet pas d’héberger des abonnements Azure qui contiennent des charges de travail, quel que soit l’environnement, par exemple dev/test. Même les environnements dev/test doivent être contenus dans votre locataire habituel « de production » Microsoft Entra.
Conseil
Pour plus d’informations sur la gestion du test des zones d’atterrissage Azure et des charges de travail ou ressources Azure dans les environnements de zones d’atterrissage Azure, consultez :
Grassroots/Informatique fantôme/start-ups
Si une équipe souhaite innover rapidement, elle peut créer un locataire séparé Microsoft Entra pour l’aider à agir le plus rapidement possible. Les membres de l’équipe peuvent, intentionnellement ou involontairement, manquer le processus et les conseils de l’équipe centrale/de plateforme pour accéder à un environnement Azure pour effectuer leur innovation.
Ce scénario est courant dans les start-ups où ils configurent leur propre locataire Microsoft Entra pour exécuter, héberger et exploiter l’activité et les services. C’est généralement à prévoir, mais lorsque des start-ups sont acquises, le locataire supplémentaire Microsoft Entra crée un point de décision auquel les équipes informatiques de l’organisation qui l’absorbent décident de ce qu’il faut faire à l’avenir.
Pour plus d’informations sur la façon de naviguer dans ce scénario, consultez les sections Fusions et acquisitions et Fournisseur de logiciels indépendant (ISV) fournissant des applications SaaS à partir d’Azure dans cet article.
Important
Nous recommandons vivement aux équipes de plateforme de disposer d’un processus facilement accessible et efficace pour permettre aux équipes d’accéder à un abonnement bac à sable Azure ou à des abonnements hébergés pour l’organisation dans le locataire Microsoft Entra principal ou de l’entreprise. Ce processus empêche les scénarios d’informatique fantôme de se produire et permet d’éviter les difficultés à l’avenir pour toutes les parties impliquées.
Pour plus d’informations sur les bacs à sable, consultez Conseils sur les groupes d’administration dans la zone de conception de l’organisation des ressources.
Résumé
Comme détaillé dans les scénarios, il existe plusieurs raisons pour lesquelles votre organisation peut avoir besoin de plusieurs locataires Microsoft Entra. Toutefois, lorsque vous créez plusieurs locataires pour répondre aux exigences dans ces scénarios, cela ajoute des tâches opérationnelles et de la complexité pour gérer plusieurs locataires, et peut ajouter des coûts pour les exigences de licence. Pour plus d’informations, consultez Considérations et recommandations pour les scénarios de zones d’atterrissage Azure multi-locataires.