W świecie IAM dużo mówi się o phishing-resistant MFA czy agentach AI, ale w praktyce wiele organizacji nęka dużo bardziej przyziemny problem: nie wiedzą, ile naprawdę mają tenantów i kto nimi zarządza. Microsoft właśnie wszedł w ten obszar głębiej, prezentując Microsoft Entra Tenant Governance – zestaw funkcji do wykrywania, obejmowania nadzorem i utrzymywania spójnych polityk w środowiskach multi-tenant. Na oficjalnym blogu 25 marca 2026 r. Microsoft opublikował wraz z powiązaną dokumentacją wpis, który pokazuje, że nie chodzi wyłącznie o marketingową nakładkę, ale o próbę uporządkowania realnego bałaganu po tenantach zakładanych poza kontrolą centralnego zespołu tożsamości.

Autor: 7 min czytania

Jaki problem rozwiązuje Microsoft Entra Tenant Governance?

Problem jest prosty: organizacja zwykle zakłada, że „jej Entra” to jeden kontrolowany tenant produkcyjny. Tymczasem w tle pojawiają się kolejne: tenant po przejęciu spółki, środowisko developerskie założone do testów, osobny tenant dla nowej jednostki biznesowej, a czasem po prostu „czyjś” tenant opłacany z tej samej organizacyjnej karty czy konta rozliczeniowego. Microsoft wprost wskazuje, że takie niezarządzane tenanty tworzą niewidoczne obszary bezpieczeństwa i compliance, a Tenant Governance ma dać widoczność, relacje zarządcze i ciągłą kontrolę konfiguracji z jednego miejsca.

Ile mam tenantów Entra ID w organizacji?

Najciekawszy element tej nowości to Related Tenants. Microsoft nie każe ręcznie budować katalogu wszystkich tenantów powiązanych z firmą, lecz próbuje je odkrywać na podstawie obserwowalnych sygnałów: B2B collaboration, użycia aplikacji multitenant, a także powiązań billingowych. To ważne rozróżnienie, bo Microsoft jednocześnie podkreśla, że related tenant nie jest dowodem własności ani automatycznie tenantem „naszym” – to raczej sygnał, że istnieje relacja, którą trzeba zrozumieć i ocenić.

To właśnie sprawia, że temat jest ciekawy z perspektywy bezpieczeństwa. W wielu firmach nikt nie ma pełnej mapy zależności między tenantami, a ryzyko pojawia się nie dlatego, że produkcyjny tenant jest źle zabezpieczony, tylko dlatego, że jakiś inny tenant ma luźniejsze MFA, słabszy nadzór nad adminami, niekontrolowane aplikacje albo dziwne relacje B2B. Tenant Governance ma najpierw pokazać te połączenia, a dopiero potem dać możliwość decyzji: uznać taki tenant za znany i akceptowalny, objąć go governance albo go odizolować. Taki właśnie model klasyfikacji Microsoft opisuje w dokumentacji wdrożeniowej (LINK).

Co zamiast lokalnych adminów i gości B2B?

Drugim filarem są governance relationships – relacje, w których jeden tenant staje się tenantem zarządzającym, a drugi zarządzanym. W praktyce chodzi o to, by administratorzy logowali się ze swojego centralnego, governing tenanta i stamtąd zarządzali innymi tenantami, bez utrzymywania lokalnych adminów albo rozproszonych kont B2B w każdym środowisku. Microsoft opisuje to jako model least privilege dla administracji cross-tenant, z mapowaniem grup bezpieczeństwa z tenanta zarządzającego na wbudowane role Entra w tenantach zarządzanych (LINK).

To jest ruch w dobrą stronę z dwóch powodów.

  • Po pierwsze upraszcza operacyjnie zarządzanie rozdrobnionym środowiskiem tenantów.
  • Po drugie przenosi kontrolę nad uprawnieniami do miejsca, w którym zwykle i tak istnieją procesy IAM: grupy, przeglądy dostępu, PIM, lifecycle.

Microsoft potwierdza też, że governance relationships wspierają scenariusze one-to-many i many-to-one, ale nie wspierają modelu multi-tier, czyli tenant nie może być jednocześnie governing i governed. To istotne ograniczenie, o którym warto napisać wprost, bo pokazuje, że produkt ma już konkretny model operacyjny, ale nie jest jeszcze odpowiedzią na każdy możliwy układ korporacyjny.

Czym jest Tenant Configuration Management?

Z perspektywy bezpieczeństwa równie interesująco wygląda tenant configuration management. Microsoft opisuje tu model zbliżony do desired state dla konfiguracji tenantów: definiujesz baseline w formacie JSON, robisz snapshot known good środowiska, a potem uruchamiasz monitory, które regularnie sprawdzają drift konfiguracji. Według dokumentacji rozwiązanie obejmuje ponad 200 typów zasobów w usługach takich jak Entra, Exchange, Intune, Defender, Purview i Teams. Co ważne, same tenant configuration management APIs są już general availability, choć pozostałe doświadczenia Tenant Governance pozostają w preview.

To prawdopodobnie najbardziej praktyczny element całej nowości. W dużych organizacjach problemem nie jest wyłącznie to, że istnieje za dużo tenantów. Problemem jest to, że po kilku miesiącach każdy z nich zaczyna żyć własnym życiem: ktoś zmienia Conditional Access, ktoś luzuje ustawienia, ktoś wdraża wyjątki, a po kwartale nikt już nie wie, co jest standardem, a co odstępstwem. Tenant governance próbuje to sformalizować: nie tylko mieć widoczność, ale też mierzyć odchylenie od przyjętej konfiguracji bazowej. Jest to jedna z ciekawszych zmian w zarządzaniu tożsamością na styku IAM, SecOps i governance.

Co nam daje Secure Tenant Creation?

Czwarty obszar to secure add-on tenant creation. Idea jest prosta: jeśli organizacja i tak musi czasem tworzyć nowe tenanty – do testów, wydzielonych projektów czy osobnych środowisk – to lepiej, żeby powstawały one od razu w modelu zarządzanym. Microsoft opisuje scenariusz, w którym nowy tenant tworzony jest z automatycznie ustanowioną relacją governance do tenanta nadrzędnego, a do tego zostaje od razu podpięty do organizacyjnego konta billingowego. W dokumentacji wdrożeniowej Microsoft zaznacza jednak ważny warunek: do secure tenant creation potrzebne są odpowiednie uprawnienia na subskrypcji Microsoft Customer Agreement, a Enterprise Agreement nie jest wspierane (LINK).

Jakich licencji wymaga Microsoft Entra Tenant Governance?

Funkcje Microsoft Entra Tenant Governance są dostępne w ramach licencji Entra ID P1 (wchodzącej także w skład pakietu Microsoft 365 E3), Entra ID P2 (również dostępnej w pakiecie Microsoft 365 E5) oraz Microsoft Entra ID Governance, które jest częścią Entra Suite i Microsoft 365 E7. Szczegółowe informacje na temat licencjonowania można znaleźć na stronie poświęconej licencjom Microsoft Entra.

Interfejsy API do zarządzania konfiguracją tenantów są już ogólnie dostępne. Pozostałe funkcje związane z tenant governance pozostają obecnie w fazie public preview.

Podsumowanie

Jeśli do tej pory myślałeś o Entra głównie przez pryzmat użytkowników, grup, MFA i Conditional Access, to warto mieć na uwadze, że od teraz Microsoft próbuje przekonać rynek, że sam tenant też stał się obiektem governance i to może być jedna z bardziej praktycznych nowości w Entra w 2026 roku.