Что нужно учитывать при работе с несколькими арендаторами Office 365 (часть 1)

Введение

Иногда, прежде чем сделать что-то, о чем вы будете сожалеть, вы знаете, что это плохая идея, но все равно идете по этому пути. У вас внутри живота возникает ощущение, что это неправильно, но по той или иной причине все факты перед вами означают, что вы продолжаете идти.

Вот что вы должны чувствовать, если планируете иметь несколько арендаторов Office 365 для своей организации. Позицией по умолчанию является .

Если это все, что вам нужно, чтобы убедить вас, то не стесняйтесь прекратить читать здесь. Я знаю, что ты хочешь узнать, . Если вы действительно хотите узнать, почему, или, что еще хуже, вы действительно хотите это сделать, продолжайте читать.

Важные вопросы, которые вам нужно задать

Первый вопрос, который вы должны задать себе, и все остальные должны задать вам – ? Зачем вашей организации несколько арендаторов Office 365? Возможно, у вас есть какие-то веские причины, почему это желательно — если да, то важно убедиться, что вы понимаете, что они из себя представляют и каковы подтверждающие доказательства.

Во-вторых, вам нужно решить вы будете это делать. Если вы используете один Active Directory или даже несколько лесов AD, то это будет не так просто, как простое добавление нескольких арендаторов Office 365 в Azure AD connect.

В-третьих, вы понимаете, с вам придется жить. Как люди в нескольких арендаторах будут обмениваться и распространять информацию? Каким будет пользовательский опыт? Каким будет управление в долгосрочной перспективе?

Общие причины для нескольких арендных договоров

Хотя от идеи использования нескольких арендаторов Office 365 легко отказаться, иногда может показаться, что другого варианта нет. Некоторые из причин, о которых я слышал, имеют веские основания:

• У нас есть стратегия по переносу всего в Office 365, но данные должны находиться в определенных регионах.
• Мы должны иметь возможность обеспечить полную автономию административного контроля для подразделений/операционных подразделений внутри организации.
• Вариант вышеизложенного: в настоящее время мы используем отдельные среды для каждого подразделения / операционной единицы по юридическим причинам и хотим продолжить эту модель.
• Мы должны избегать проблем с задержкой при работе с определенными рабочими нагрузками Office 365, такими как Skype для бизнеса и SharePoint Online.

У каждого из них могут быть альтернативные решения для решения проблемы в краткосрочной и долгосрочной перспективе, но это означает, что вам нужно будет подумать, как вы достигнете цели и каким будет конечный результат.

Давайте рассмотрим, каковы последствия для нескольких арендаторов, чтобы вы, прежде всего, поняли, как это будет работать; и каково будет на самом деле жить с этим.

Идентификация, пользовательские домены и Azure AD

Основой любой реализации Office 365 является идентификация. Независимо от того, планируете ли вы использовать простые облачные идентификаторы или использовать синхронизированные идентификаторы, подключенные к вашей локальной среде Active Directory, вы должны предоставить логин для каждого пользователя.

Azure AD — это основная служба каталогов, используемая Office 365 для предоставления доступа к службам. Арендатор Azure AD подключается к одному арендатору Office 365, точно так же локальная служба Active Directory может иметь только одну установленную организацию Exchange.

Каждый объект пользователя уникален в Azure AD, и вы не можете синхронизировать одного пользователя с несколькими арендаторами, используя поддерживаемый метод с инструментами Microsoft.

Мало того, вы также не можете зарегистрировать домен DNS в нескольких арендаторах. Это означает, что если вы используете общий домен адреса электронной почты в организации, его невозможно использовать более чем в одном арендаторе Office 365.

Чтобы решить эту проблему, вам нужно сделать три вещи:

Используйте разные пользовательские домены для каждого арендатора

Вы можете поделиться доменом DNS — ну, вроде того, если вы используете поддомены. Зарегистрировав поддомены в каждом арендаторе, вы можете разделить домен на региональном уровне или по подразделениям.

Установите несколько копий Azure AD Connect.

Azure AD Connect может синхронизировать несколько лесов Active Directory, но не может синхронизироваться с несколькими арендаторами. Вам потребуется отдельный экземпляр, работающий на отдельном сервере, для каждого подключения Azure AD. Это применимо в равной степени, если у вас есть несколько лесов.

Убедитесь, что каждый пользовательский объект синхронизирован только с одним арендатором.

Вам нужно будет убедиться, что сам объект пользователя синхронизируется только одним экземпляром Azure AD, подключенным к одному арендатору Office 365. Один пользователь не может быть представлен как синхронизированная учетная запись в нескольких лесах. Типичным подходом будет фильтрация, возможно, по организационной единице, чтобы для каждого арендатора синхронизировались только определенные части AD.

Конечно, это не означает, что у вас не может быть согласованного глобального списка адресов. Вы можете использовать сценарии или средства синхронизации глобального списка адресов для создания соответствующих контактов между арендаторами. Это может помочь пользователям найти друг друга среди арендаторов и решить проблемы с маршрутизацией почты.

В следующей и последней части этой серии мы рассмотрим отдельные службы Office 365 и их влияние.