วันจันทร์ที่ 26 สิงหาคม พ.ศ. 2567

รู้จักกับ Multitenant Organization ใน Microsoft Entra ID

      สวัสดีครับทุกท่านสำหรับบทความนี้ผมอยากจะนำเสนอเรื่องราวเกี่ยวกับการบริหารจัดการ Identity ในลักษณะหรือรูปแบบที่เรียกว่า "Multi-Tenant" ครับ ซึ่งแน่นอนว่าจะมี Service ที่ชื่อว่า "Microsoft Entra ID" เข้ามาเกี่ยวข้องอย่างแน่นอนครับ ที่มาที่ไปของบทความนี้สืบเนื่องมาจากที่ผมได้มีโอกาสเข้าไปพบและให้คำปรึกษากับลูกค้าก่อนหน้านี้และได้พบว่า Tenants ของลูกค้าหลายที่เลยครับที่มีมากกว่า 1 Tenants และอีกหลายที่ๆ กำลังวางแผนและพิจารณาการมี Tenants หลายๆ Tenants เพิ่มเติมครับ ทางลูกค้าก็มีคำถามว่าจะวางแผนเพื่อดำเนินการในเรื่องของการบริหารจัดการอย่างไร? ถ้าองค์กรมีหลายๆ  Tenants ครับ

และจากคำถามดังกล่าวนี้เอง, ผมจึงอยากจะพาทุกท่านไปทำความรู้จักกับความสามารถหรือฟีเจอร์หนึ่งของ Microsoft Entra ID ที่จะเข้ามาช่วยในประเด็นดังกล่าวนี้ครับ โดยฟีเจอร์นี้มีชื่อว่า "Multitenant Organization" ครับ แต่ก่อนที่จะพาทุกท่านไปทำความรู้จักกับฟีเจอร์ดังกล่าวนี้ มีสิ่งหนึ่งที่ผมอยากจะอธิบายทุกท่านก่อนนะครับ นั่นก็คือเรื่องของการบริหารจัดการในลักษณะที่มีหลายๆ Tenants นั้น โดยส่วนใหญ่เลยจะเกี่ยวข้องกับ Tenants ที่มี Resources ของ Microsoft 365 ครับ แต่ก็มี Resources ของ Microsoft Azure ได้นะครับทั้งนี้ทั้งนั้นจะต้องดูจากความต้องการของแต่ละองค์กรครับ  

ผมขอยกตัวอย่างหนึ่งนะครับ เช่น ถ้าตัวผมต้องการที่จะ access เข้าไปใช้งาน Resources ต่างๆ ใน Tenant ของทุกท่านล่ะครับ คำถามคือ ท่านจะดำเนินการอย่างไรครับ? เพื่อให้ผมสามารถเข้าถึงหรือ access ได้  สิ่งที่จะต้องพิจารณาก่อนเลยคือ ตัวผมเท่านั้นหรือมีคนอื่นๆ อีกหรือเปล่าพูดง่ายๆ เลย คือ อยากทราบว่าจำนวนครับ ถัดมาคือ ตัวผมรวมถึงท่านอื่นคือใคร เช่น เป็นผู้ใช้งานภายในองค์กรหรือบุคคลภายนอกองค์กรครับ ถ้าเป็นภายนอกองค์กร สิ่งที่ทุกท่านสามารถจัดการได้เพื่อให้ผมเข้าถึงและใช้งาน Resources ต่างๆ ได้ นั่นก็คือ การใช้ External User (Guest User) ครับ (คุ้นๆ กันมั๊ยครับ)  แต่ถ้าเป็นอีกกรณีหนึ่งคือ ถ้าออฟฟิศของผมกับทุกท่านเรามีการทำธุรกิจร่วมกันครับ และมีความต้องการ access Resources ต่างๆ ข้ามออฟฟิศซึ่งแน่นอนมันก็คือข้าม Tenants ครับ คำถามคือ ท่านผู้อ่านจะทำอย่างไร? สำหรับกรณีนี้ครับ ลองนึกดูครับ.....

จากตัวอย่างที่ผมยกขึ้นมาอธิบายและสอบถามทุกท่านเมื่อซักครู่ พอนึกคำตอบหรือหาแนวทางได้มั๊ยครับ ถ้านึกไม่ออก ไม่เป็นไรครับ เพราะทาง Microsoft ได้เตรียมแนวทางที่จะดำเนินการเอาไว้ให้เราแล้วครับ โดยมีหลายแนวทางให้เราพิจารณาดังนี้ครับ:


- B2B Direct Connect

- B2B Collaboration

- Cross-Tenant Synchronization

- อื่นๆ 


ขยายความตรงอื่นๆ ครับ คือ นอกเหนือจากแนวทางหรือรูปแบบข้างต้นแล้ว ยังมีอีกแนวทางหนึ่งก็คือ "Multitenant Organization" ครับ และในบทความนี้ตามที่เกริ่นไว้ข้างต้น ผมจะพาทุกท่านมาทำความรู้จักกับ Multitenant Organization กันครับ และเพื่อไม่ให้เป็นการเสียเวลาเรามาทำความรู้จักกับ Multitenant Organization กันเลยครับ


Multitenant Organization คืออะไร?

คือฟีเจอร์หนึ่งของ Microsoft Entra ID และ Microsoft 365 ซึ่งเข้ามาช่วยในเรื่องของการกำหนดขอบเขต (Boundary) ในการบริหารจัดการครับ Tenants ต่างๆ ในองค์กรครับ สิ่งที่อยากจะให้ทุกท่านได้ทราบต่อมาคือ ทำไมเราถึงต้องพิจารณาและนำเอา Multitenant Organization มาใช้งาน มันมีเหตุผลหลักๆ ดังนี้ครับ:


- มีความต้องการที่จะกำหนดขอบเขต (Boundary) ใหักับ Tenants ที่เป็นขององค์กร

- มีความต้องการที่จะ Collaborate ข้าม Tenants สำหรับ Microsoft Teams

- มีความต้องการที่จะ Collaborate ข้าม Tenants สำหรับ Microsoft Viva Engage 


และถัดมาคือใครหรือองค์กรใดที่ควรจะพิจารณานำเอา Multitenant Organizations มาประยุกต์ใช้งาน คำตอบ คือ องค์กรที่มีหลาย Tenants นั่นเองครับและต้องการทำให้การบริหารจัดการ Identity ในหลายๆ Tenants นั้นมีความยืดหยุ่นและมีประสิทธิภาพมากขึ้น ส่งผลทำให้องค์กรที่นำเอาฟีเจอร์ดังกล่าวนี้ได้รับประโยชน์ต่างๆ เช่น:


- ระบุถึงความแตกต่างระหว่างผู้ใช้งานในองค์กรกับผู้ใช้งานภายนอกองค์กรได้อย่างชัดเจน เพราะใน Microsoft Entra ID นั้นคำว่า "External Users" นั้นสามารถเป็นผู้ใช้งานมาจากภายในองค์กร แต่องค์กรดังกล่าวมีลักษณะเป็น Multi-Tenant หรือ External Users ที่ว่านี้อาจจะเป็นบุคคลภายนอกองค์กรก็ได้ ซึ่งถ้าสร้างหรือกำหนดความแตกต่างในะรื่องนี้ได้อย่างชัดเจนก็จะส่งผลทำให้การบริหารจัดการ เช่น การกำหนด Policy ต่างๆ ได้มีความยืดหยุ่นและมีประสิทธิภาพมากขึ้น

- ปรับปรุงเรื่องของ Collaboration ใน Microsoft Teams

- ปรับปรุงเรื่องของ Collaboration ใน Microsoft Viva Engage


Multitenant Organization ทำงานอย่างไร?

เริ่มจากตัวของ Multitenant Organization จะให้เราทำการกำหนดขอบเขต (Boundary) รอบๆ  Microsoft Entra Tenants ของเราครับ ว่า Tenants ไหนเป็นของเรา หรือเรียกว่าการ Define a Multitenant Organization  จากนั้นทำการ Join a Multitenant Organization โดยผู้ดูแลหรือผู้ที่เกี่ยวข้องก็จะทำการ Join Tenants ต่างๆ ตามที่ต้องการหรือตามที่วางแผนเอาไว้ก็จะส่งผลให้ Multitenant Organization ถูกสร้างและกำหนดขึ้นส่งผลทำให้ผู้ดูแลแต่ละ Tenants ยังคงมีความสามารถในการบริหารจัดการ Tenants ของตัวเองและ Tenants ที่เป็นสมาชิกอยู่ใน Multitenant Organization ดังรูปด้านล่างครับ





จากรูปด้านบนหลังจากที่มีการกำหนดและใช้งาน Multitenant Organization เรียบร้อยแล้วส่งผลทำให้ Admin หรือผู้ดูแลจาก Tenant A มองเห็นหลายๆ Tenants (A, B, และ C) และเห็น Cross-Tenant Settings ของ Tenant B และ C

Admin หรือผู้ดูแลจาก Tenant B มองเห็นหลายๆ Tenants (A, B, และ C) และเห็น Cross-Tenant Settings ของ Tenant A และ C

Admin หรือผู้ดูแลจาก Tenant C มองเห็นหลายๆ Tenants (A, B, และ C) และเห็น Cross-Tenant Settings ของ Tenant A และ B


*Cross-Tenant Settings คือ การที่ผู้ดูแลหรือ Admin ยังคงบริหารจัดการและควบคุม Resources ต่างๆ ในตามคอนเซปการทำงานของ Multitenant Organization ครับ 












โดย Cross-Tenant Settings จะถูกใช้ในการกำหนดความสัมพันธ์ระหว่าง Tenants (Tenant-to-Tenant Relationship) และ Policy ต่างๆ ดังนี้:


1. Cross-Tenant access Partner Configuration  รายละเอียดเพิ่มเติมสามารถไปที่ Link นี้ได้เลยครับ, Configure B2B collaboration cross-tenant access - Microsoft Entra External ID | Microsoft Learn

2. Cross-Tenant access Identity Synchronization รายละเอียดเพิ่มเติมสามารถไปที่ Link นี้ได้เลยครับ, Configure cross-tenant synchronization - Microsoft Entra ID | Microsoft Learn


Multitenant Organization จะอยู่ใน Microsoft Entra ID Edition (Premium P1) นะครับ รายละเอียดเพิ่มเติมเกี่ยวกับความแตกต่างของแต่ละ Edition ของ Microsoft Entra ID สามารถไปที่ Link นี้ครับ, แผนและราคาของ Microsoft Entra | Microsoft Security


เรื่องราวของฟีเจอร์นี้ยังมีรายละเอียดอีกเยอะนะครับ บทความนี้เป็นเพียงแค่ส่วนหนึ่งเท่านั้นนะครับ สำหรับท่านใดที่อยากทราบรายละเอียดเพิ่มเติมเกี่ยวกับ Multitenant Organization สามารถไปที่ Link นี้ได้เลยครับ, What is a multitenant organization in Microsoft Entra ID? - Microsoft Entra ID | Microsoft Learn


และนี่คือเรื่องราวของ Multitenant Organization ครับผม.....








เขียนโดย ที่ ไม่มีความคิดเห็น:

วันอังคารที่ 13 สิงหาคม พ.ศ. 2567

รูปแบบต่างๆ ของ Identity ใน Microsoft Entra ID

      สวัสดีครับทุกท่าน สำหรับบทความนี้ผมอยากจะนำเสนอเรื่องราวเกี่ยวกับ Identity ใน Microsoft Azure ครับ และแน่นอนครับว่าพอเราพูดหรือนึกถึง Identity ก็จะมี Service นึงเข้ามาเกี่ยวข้องแน่นอนนั่นก็คือ "Microsoft Entra ID" โดยตัวของ Microsoft Entra ID นั้นเป็น Service ที่เข้ามาช่วยในเรื่องของการบริหารจัดการ Identity (Identity and Access Management) ซึ่งถ้าเราใช้งาน Cloud Services ต่างๆ ของ Microsoft ยกตัวอย่างเช่น Microsoft 365, Microsoft Azure, เป็นต้น Microsoft Entra ID ก็จะมาพร้อมกับ Cloud Services เหล่านี้และเข้ามาบริหารจัดการ Identity ใน Microsoft Entra Tenant ขององค์กรครับ โดยตัวของ Microsoft Entra ID นั้นถือว่าเป็น Service หนึ่งที่มีความสำคัญมากในองค์กรที่มีนำเอา Cloud เข้ามาประยุกต์ใช้งานเพราะตัวของ Microsoft Entra ID จะเข้ามาบริหารจัดการ Identity อย่างที่ผมได้เกริ่นไว้ข้างต้นและ Microsoft Entra ID จะดำเนินการกระบวนการต่างๆ กับ Identities เช่น Authentication, Authorization, และ Auditing ครับ 


โดยในบทความนี้ผมอยากจะพาทุกท่านมาทำความรู้จักกับชนิดหรือรูปแบบของ Identity ต่างๆ ใน Microsoft Entra ID ครับ เพราะในการบริหารจัดการ Identity ในองค์กร เราจะต้องเข้าไปเกี่ยวข้องกับ Identity หลากหลายรูปแบบครับ ทั้งนี้ก็ขึ้นอยู่กับความต้องการของแต่ละองค์กรว่าจะใช้ Identity ชนิดหรือรูปแบบใดบ้างครับ และสำหรับท่านที่ทำหน้าที่เป็นผู้ดูแล Microsoft Entra ID ในองค์กรตลอดจนท่านที่บทบาทหน้าที่ที่เกี่ยวข้องกับการบริหารจัดการ Identity ยิ่งควรทราบและทำความรู้จักกับชนิดหรือรูปแบบต่างๆ ของ Identity ครับ รายละเอียดจะเป็นอย่างไร เรามาเริ่มกันเลยครับ



รูปแบบต่างๆ ของ Identity ใน Microsoft Entra ID





สำหรับใน Microsoft Entra ID นั้นจะมี Identity อยู่ 4 แบบครับ โดยมีรายละเอียดดังนี้:


รูปแบบที่ 1:  User Account จัดว่าเป็น Identity รูปแบบหรือชนิดที่หลายๆ ท่านรวมถึงตัวผมเองรู้จักและคุ้นเคยมากที่สุด เพราะ Identity รูปแบบดังกล่าวนี้ใช้แทนตัวของผู้ใช้งานเพื่อใช้ในการเข้าถึง Resources ต่างๆ  โดยก่อนหน้าที่จะเข้าถึง Resources ต่างๆ ก็จะต้องผ่านกระบวนการตรวจสอบ (Authentication) กับ Microsoft Entra ID ก่อน โดยตัวของ User Account นั้นยังแบ่งออกเป็นอีก 3 ชนิดครับ นั่นก็คือ

- Cloud User Account (Cloud Account) คือ User Account ที่สร้างขึ้นมาใหม่ใน Microsoft Entra Tenant

- Hybrid User Account (Hybrid Account) คือ User Account ที่ถูก Synced จาก Active Directory Domain Service (AD DS) มายัง Microsoft Entra ID

- External User Account (Guest Account) คือ User Account ที่ใช้แทนบุคคลภายนอกองค์กร แต่เราต้องการให้เข้ามา Access Resources ต่างๆ ใน Microsoft Entra Tenant  


รูปแบบที่ 2: Group Account จัดว่าเป็น Identity ที่นำเอามาใช้ในเรื่องของการทำ Access Control หรือการ Assign สิทธิ์เพื่อเข้าถึง Resources ต่างๆ ครับ โดยตัวของ Group Account นั้นยังแบ่งออกเป็น 2 ชนิด คือ

- Security Group (Default) สำหรับใช้ในการเข้าถึงหรือ Access Resources ต่างๆ *Nest ได้

- Microsoft 365 Group สำหรับใช้ในการเข้าถึงหรือ Access Microsoft 365 Resources *ไม่สามารถ Nest ได้


รูปแบบที่ 3: Service Principal จัดว่าเป็น Identity ที่ถูกนำเอาไปใช้กับ Applications ในกรณีที่องค์กรที่มีความต้องการที่จะให้ Applications เช่น Web App เข้าถึงหรือ Access Resources ต่างๆ ใน Microsoft Tenant ครับ โดยการที่จะทำให้ตัวของ Application มี Identity (Service Principal) นั้นจะต้องนำเอา App ดังกล่าวนี้ไปทำการ Register กับ Microsoft Entra ID ครับ


รูปแบบที่ 4: Managed Identity จัดว่าเป็น Identity ที่ถูกนำเอามาใช้กับ Services ต่างๆ ใน Microsoft Azure ที่ต้องการเข้าถึงหรือ Access Resources ต่างๆ ใน Microsoft Tenant ครับ ยกตัวอย่างเช่น ถ้าผมต้องการให้ Azure Web App หรือ Azure App Service เข้าไป Access ข้อมูลหรือ Data ใน Azure Storage Account ครับ เพราะฉะนั้นการที่เราจะทำให้ Services ใน Microsoft Azure มี Identity ขึ้นมาได้น้้นก็จะอาศัยความสามารถของ Microsoft Entra ID โดยใช้ฟีเจอร์ "Managed Identity" ซึ่งก็คือ Identity ในรูปแบบดังกล่าวนี้นั่นเองครับ นอกจากนี้แล้ว Managed Identity ยังแบ่งออกเป็น 2 ชนิด คือ

- System-Assigned Managed Identity คือ ชนิดที่ Microsoft Entra ID สร้าง Identity ขึ้นมาและกำหนดให้กับ Azure Services นั้นๆ  ยกตัวอย่างเช่น ผมต้องการให้ Azure App Service เข้าไป Access ข้อมูลใน Azure Storage Account ดังนั้นเมื่อมีการกำหนด Identity ให้กับ Azure App Service แล้ว จากนั้นเราสามารถทำการ Assign RBAC Roles ที่ต้องการให้กับ Azure App Service ได้เลยครับ ซึ่งจะมีคอนเซปเดียวกับตอนที่เราทำการ Assign RBAC Roles ให้กับ  User หรือ Group Accounts (รูปแบบที่ 1 และ 2) ครับ

- User-Assigned Managed Identity คือ ชนิดที่ Microsoft Entra ID สร้าง Identity ขึ้นมาต่างหากและทำการกำหนดให้กับ Azure Services หลายตัวที่ต้องการเข้าถึงหรือ Access Resources เช่น ผมมี Azure Virtual Machines หลายตัวที่ต้องการเข้าถึงหรือ Access Resources ครับ ดังนั้น Identity ชนิดนี้สามารถถูกกำหนดให้กับหลาย Azure Virtual Machines ได้ครับ แทนที่จะกำหนดที่ละตัวครับ


และทั้งหมดนี้คือเรื่องราวเกี่ยวกับรูปแบบต่างๆ ของ Identity ที่อยู่ใน Microsoft Entra ID ครับ และมาถึงตรงนี้ท่านผู้อ่านจะเห็นว่า คำว่า "Identity" ที่เรารู้จักหรือคุ้นเคยกันอยู่เลย ไม่ได้หมายความเพียงแค่  User Account เพียงอย่างเดียวครับ อีกทั้งสิ่งที่จะเข้ามา Access Resources ที่อยู่ใน Microsoft Entra Tenant ก็ไม่ได้มีเพียงแค่ผู้ใช้งาน (User Account) อย่างเดียว ยังมี Applications ที่ต้องการเข้าถึงหรือ Access Resources เช่นเดียวกันครับ ดังนั้นในการที่เราจะเข้าไปทำการบริหารจัดการ Identity ในองค์กรมีความเป็นไปได้ครับ ที่เราอาจจะเกี่ยวข้องกับ Identity หลายหลายรูปแบบ และเราสามารถบริหารจัดการ Identity หลากหลายรูปแบบได้โดยอาศัยความสามารถของ Microsoft Entra ID ที่เรารู้จักครับผม.....

เขียนโดย ที่ ไม่มีความคิดเห็น:

วันอังคารที่ 6 สิงหาคม พ.ศ. 2567

ทำความเข้าใจ Microsoft Entra ID, Tenant, และอื่นๆ เพื่อนำไปวางแผน, ออกแบบ, และประยุกต์ใช้งานในองค์กร

      สวัสดีครับทุกท่าน สบายดีกันทุกท่านนะครับ สำหรับผมนั้นช่วงที่ผ่านมาติดงานและภารกิจหลายอย่างครับไม่ว่าจะเป็นงานสอน, งาน Consulting, และอื่นๆ เลยไม่ได้มีเวลามาเขียนบทความเลย แต่ตอนนี้พอจะมีเวลาแล้วครับเลยกลับมานำเสนอเรื่องราวต่างๆ เหมือนเช่นเคยครับ และสำหรับบทความนี้ผมอยากนำเสนอเรื่องราวเกี่ยวกับ Microsoft Entra ID หรือชื่อเดิมคือ Azure Active Directory (Azure AD) นั่นเองครับ โดยสิ่งที่ผมอยากจะนำเสนอคือ การที่เราจะต้องทำความเข้าใจเกี่ยวกับคำศัพท์หรือ Terminology ต่างๆ ที่เกี่ยวข้องกับ Microsoft Entra ID เพื่อนำไปใช้ตั้งแต่การวางแผน,ออกแบบ, จนถึงการนำไปประยุกต์ใช้งานในองค์กรครับ และผมเชื่อว่าท่านผู้อ่านทุกท่านที่ใช้งาน Cloud Services ของ Microsoft อยู่แล้ว ก็น่าจะมีความคุ้นเคยตลอดจนมีประสบการณ์ในการบริหารจัดการ Microsoft Entra ID กันพอสมควร แต่หลายๆ ครั้งที่ผมเจอกับลูกค้า ยังมีหลายท่านเลยครับที่ยังไม่เข้าใจคอนเซปตลอดจนเรื่องราวต่างๆ ของ Microsoft Entra ID รวมถึงคำศัพท์ต่างๆ ที่เกี่ยวข้อง และนี่จึงเป็นที่มาของบทความของผมตอนนี้ครับ


Microsoft Entra ID คืออะไร?

เป็น Service หนึ่งที่มาพร้อมกับ Cloud Services ของ Microsoft (เช่น Microsoft 365, Microsoft Azure, เป็นต้น) ครับ โดยชื่อเดิมของ Microsoft Entra ID คือ Azure Active Directory (Azure AD) ครับ ตัวของ Microsoft Entra ID นั้นจะเป็น Service ที่ให้บริการในเรื่องของการบริหารจัดการ Identity หรือเรียกอย่างเป็นทางการว่า "Identity and Access Management" หรือ "IAM" ครับ ซึ่งจะมาทำหนาที่หลักๆ เช่น Authentication, Authorization, เป็นต้นครับ นอกจากนี้แล้วตัวของ Microsoft Entra ID ยังมีความสามารถในการไปทำงานร่วมกับ Active Directory Domain Service (AD DS) ซึ่งเป็น Role หนึ่งใน Windows Server (โดย Role ดังกล่าวนี้ไปติดต้ังที่ Windows Server ตัวใดก็ตาม เราจะเรียกว่า "Domain Controller" หรือ "DC" นั่นเองครับ) เพื่อทำ Hybrid Identity Scenario โดย Scenario ดังกล่าวนี้ถือว่าเป็นสิ่งที่ทุกองค์กรที่นำเอา Cloud ของ Microsoft เข้ามาประยุกต์ฺใช้งาน ก็จะต้องมีการวางแผนเพื่อดำเนินการ Scenario ดังกล่าวนี้ครับ เพื่อให้ได้ Benefits หนึ่งคือ "Single Sign-On" หรือ "SSO" ครับ 











นอกจากการทำงานร่วมกับ AD DS แล้ว, Microsoft Entra ID ยังสามารถทำงานร่วมกับ External Identity Providers อื่นๆ ได้อีกด้วย เช่น Google, Facebook. และอื่นๆ ครับ รวมถึงยังสามารถทำงานร่วมกับ SaaS หรือ Cloud Applications ได้อีกด้วยครับ มาถึงตรงนี้ท่านผู้อ่านก็จะเห็นว่า Microsoft Entra ID นั้นมีความสามารถหลากหลายและถือว่าเป็นส่วนประกอบที่สำคัญในระบบ IT ขององค์กร ไม่ว่าจะมีลักษณะเป็น Hybrid หรือ Multi-Cloud Environments ก็ตามครับ

ในแง่ของการบริหารจัดการ Identity เช่น Users, Microsoft Entra ID สามารถบริหารจัดการ User Accounts ได้ 3 ชนิด คือ

1. Cloud User Account คือ User ที่ถูกสร้างขึ้นมาใน Microsoft Entra (จริงๆ คือ ถูกสร้างขึ้นใน Tenant)

2. Hybrid User Account คือ User ที่ถูก Synced จาก AD DS มายัง Microsoft Entra ID (เกิดจากองค์กรวางแผนและดำเนินการทำ Hybrid Identity Scenario ตามที่อธิบายไว้ในข้างต้นครับ)

3. External User Account (Guest Account) คือ บุคคลที่อยู่ภายนอกองค์กรแต่ต้องการให้เข้ามา Access Resources ต่างๆ ขององค์กร


มาดูกันในแง่ของ Access Control กันบ้างครับ, ใน Microsoft Entra ID จะมีฟีเจอร์ที่ชื่อว่า Role-Bases Access Control (RBAC) เอาไว้จัดการในเรื่องของการที่เราจะทำการกำหนดหรือ Assign สิทธิ์ให้กับผู้ใช้งานในองค์กรเพื่อเข้าถึง Resources ต่างๆ โดย RBAC ใน Microsoft Entra ID ยังแบ่งออกเป็น 2 ชนิด คือ

1. Microsoft Entra Roles ใช้ในการจัดการ Microsoft Entra ID และ Tenant

2. Azure Resource Roles ใช้ในการจัดการ Resources ต่างๆ ของ Microsoft Azure


ยิ่งไปกว่านั้นตัวของ Microsoft Entra ID ยังมีหลาย Editions อีกด้วยครับ โดย Edition ที่มาพร้อมกับ Microsoft Entra ID นั่นก็คือ Free Edition ครับ (ใช้งานฟรีครับ) บางท่านอาจจะเคยได้ยินชื่อของ Edition อื่นๆ นอกเหนือจาก Free Edition ของ Microsoft Entra ID เช่น Microsoft Entra ID Premium P1, Microsoft Entra ID Premium P2 เป็นต้น โดยแต่ละ Edition ของ Microsoft Entra ID ก็จะมีสิ่งที่แตกต่างก็อยู่หลักๆ นั่นก็คือ ฟีเจอร์รวมถึงราคาครับ 

โครงสร้างหรือ Structure ของ Microsoft Entra ID จะมีลักษณะเป็นแบบ Flat ครับ คือ จะมีสิ่งที่เรียกว่า Microsoft Entra Tenant เกิดขึ้น (เดี๋ยวผมจะอธิบายเป็นเรื่องถัดไปครับ) และจะมีสิ่งต่างๆ ถูกเพิ่มเข้ามาใน Tenant ที่ว่านี้ ยกตัวอย่างเช่น Subscriptions, Resources ต่างๆ เป็นต้นครับ ถัดมาเรามาทำความรู้จักกับ Microsoft Entra Tenant หรือเรามักจะเรียกกันสั้นๆ ว่า Tenant ครับ



Microsoft Entra Tenant คืออะไร?

มันคือ Instance หนึ่งของ Microsoft Entra ID ซึ่งจะเกิดขึ้นเมื่อเราใช้งาน Cloud ของ Microsoft (Microsoft 365, Microsoft Azure เป็นต้น) โดยผ่านการนำเอา Subscriptions ของ Cloud Services ของ Microsoft มาทำการ Activate เพื่อใช้งานครั้งแรก สิ่งหนึ่งที่จะเกิดอยู่เบื้องหลังจากการ Activate คือ Microsoft Entra Tenant ครับ โดยถ้าเรามองในมุมของการบริหารจัดการ, Tenant ถือว่าเป็นขอบเขตที่ใช้ในการบริหารจัดการ Resources ต่างๆ ไม่ว่าจะเป็น Resources ของ Microsoft 365, Microsoft Azure ก็ตามครับ ดังนั้นก่อนที่เราจะนำเอา Cloud ของทาง Microsoft มาใช้งาน เราจะต้องทำความเข้าใจและทำการวางแผนออกแบบก่อนว่าในองค์กรของเราจะมีการนำเอา Cloud Services ใดของ Microsoft มาใช้งานบ้าง, จะมี Microsoft Entra Tenant กี่ Tenant (Best Practices ของ Microsoft แนะนำว่าควรจะเริ่มจากมี Tenant เดียวก่อนครับ), และอื่นๆ นี่คือตัวอย่างของปัจจัยต่างๆ ที่จะต้องถูกนำเอาพิจารณาตอนที่ทำการออกแบบครับ นอกจากนี้แล้วยังมีอีกสิ่งหนึ่งที่มาพร่อมกับ Tenant อีกครับ นั่นก็คือ Domain Representation ครับ ตัวอย่างเช่น  MyCompany.onmicrosoft.com ครับ หรืออีกชื่อว่า Primary Domain ซึ่งก็คือชื่อ Domain ของ Tenant ของเรา ซึ่งเราสามารถใช้ชื่อ Domain Name ของเราที่จดทะเบียนไว้ได้ครับ ซึ่งใน Microsoft Entra ID จะมีฟีเจอร์ที่ชื่อว่า Domain Names จัดการเรื่องดังกล่าวนี้ครับ

สิ่งที่ผมอยากจะอธิบายเพิ่มเติมสำหรับ โดยขอยกตัวอย่างนี้ครับ ในกรณีที่ผมตัดสินใจจะนำเอา Microsoft Azure เข้ามาประยุกต์ใช้งานในองค์กรเป็นครั้งแรก ผมจะต้องวางแผนและเตรียมความพร้อมต่างๆ จนกระทั่งผมตัดสินใจซื้อ Azure Subscription (ในความเป็นจริง จะต้องมีการวางแผนออกแบบด้วยนะครับว่า เราจะมี Subscriptions ทั้งหมดกี่ Subscriptions) จากนั้นทำการ Activate และสิ่งที่ตามมาคือ Tenant ตามที่ผมได้อธิบายไปก่อนหน้านี้ แต่มีอีกหนึ่งสิ่งที่ทุกท่านจะต้องรู้จักกับเพราะสิ่งนี้จะอยู่ภายใน Tenant ครับ นั่นก็คือ "Azure Resource Hierarchy" ดูตามรูปด้านล่างครับ














และในการทำงานและใช้งานจริง จะต้องมีการวางแผนและออกแบบ Azure Resource Hierarchy ด้วยนะครับ เพราะโครงสร้างดังกล่าวนี้จะเกี่ยวข้องกับหลายเรื่องเลยครับ ไม่ว่าจะเป็นเรื่องของ การ Organizing Resources, Access Control, Governance, เป็นต้นครับ ซึ่งจะต้องมีการนำเอา Services ตัวอื่นๆ ที่อยู่ใน Microsoft Entra Family หรือ Microsoft Entra Suite (ล่าสุดที่ทาง Microsoft ได้มีการ Announced ออกมาครับ) เข้ามาทำงานร่วมกัน ทั้งนี้ขึ้นอยู่กับความต้องการของแต่ละองค์กรด้วยนะครับ ถัดมาผมจะอธิบายเรื่องของ Azure Subscriptions ครับ



Azure Subscriptions คืออะไร?

ม้นเป็น Logical Containers เพื่อใช้ในการ Provisioning และ Managing Azure Resources ต่างๆ  และจะผูกเข้ากับเรื่องของ Billing ครับ สำหรับท่านใดที่คุ้นเคยกับการใช้งาน Microsoft Azure อยู่แล้ว ก็จะทราบและเข้าใจว่า Azure Subscriptions นั้นจะเข้ามาเกี่ยวข้องในเวลาที่เราต้องการที่จะทำการ Deploy หรือ Provision Services ซักตัวหนึ่งใน Microsoft Azure ใช้งาน ซึ่งค่าใช้จ่ายของ Services ดังกล่าวนั้นก็จะผูกเข้ากับ Azure Subscriptions เพื่อ Charge หรือคิดค่าใช้จ่ายครับ โดยแต่ละ Services ใน Microsoft Azure ก็จะมีค่าใช้จ่ายที่แตกต่างกันไปครับ ดังนั้นในการใช้งานจริง จึงจำเป็นต้องมีการวางแผนออกแบบด้วยนะครับว่าจะมี Subscriptions ทั้งหมดเท่าไร? และตัวของ Azure Subscriptions ถือว่าเป็นส่วนหนึ่งของ Azure Resource Hierarchy และอยู่ภายใต้ Tenant ครับ

มาถึงตรงนี้แล้ว นั่นหมายความว่าเรามี Tenant, Subscription, และอื่นๆ พร้อมที่จะดำเนินการตามที่ได้ทำการวางแผนออกแบบไว้แล้วครับ และนี่เป็นเพียงแค่เรื่องราวที่เกี่ยวข้องกับ Microsoft Entra ID ที่เราจะต้องทำความเข้าใจเบื้องต้นเท่านั้นนะครับ เพราะในความเป็นจริงแล้วยังมีเรื่องราวอีกเยอะมากครับที่เกี่ยวข้องกับ Microsoft Entra ID ยังไงคอยติดตามกันนะครับผม.....


เขียนโดย ที่ ไม่มีความคิดเห็น:
สมัครสมาชิก: บทความ (Atom)