Definování tenantů Microsoft Entra

Tenant Microsoft Entra poskytuje správu identit a přístupu, což je důležitou součástí stavu zabezpečení. Tenant Microsoft Entra zajišťuje, že ověření a autorizovaní uživatelé přistupují jenom k prostředkům, ke kterým mají oprávnění. Microsoft Entra ID poskytuje tyto služby aplikacím a službám nasazeným v Azure i mimo Azure (například místním nebo externím poskytovatelům cloudu).

Microsoft Entra ID se používá také v aplikacích saaS (software jako služba), jako je Microsoft 365 a Azure Marketplace. Organizace, které už používají místní službu AD, ji mohou integrovat se svou aktuální infrastrukturou a rozšířit cloudové ověřování. Každý adresář Microsoft Entra má jednu nebo více domén. Adresář může mít přidružených mnoho předplatných, ale jenom jednoho tenanta Microsoft Entra.

Položte si základní bezpečnostní otázky během fáze návrhu, například jak vaše organizace spravuje přihlašovací údaje a jak řídí lidský, aplikační a programový přístup.

Tip

Pokud máte více tenantů Microsoft Entra, zkontrolujte cílové zóny Azure a několik tenantů Microsoft Entra a přidružený obsah.

Aspekty návrhu:

• Předplatné Azure může současně důvěřovat jenom jednomu tenantovi Microsoft Entra. Další informace najdete v části Přidružení nebo přidání předplatného Azure do tenanta Microsoft Entra.

• Ve stejné registraci může fungovat více tenantů Microsoft Entra. Kontrola cílových zón Azure a několika tenantů Microsoft Entra

• Azure Lighthouse podporuje delegování pouze v rozsahech předplatného a skupin prostředků.

• Název *.onmicrosoft.com domény vytvořený pro každého tenanta Microsoft Entra musí být globálně jedinečný podle části terminologie v tom, co je ID Microsoft Entra?

  • Název *.onmicrosoft.com domény pro každého tenanta Microsoft Entra nelze po vytvoření změnit.

• Projděte si porovnání samoobslužných služeb Doména služby Active Directory Services, Microsoft Entra ID a spravovaných služeb Microsoft Entra Domain Services, abyste plně porozuměli rozdílům mezi všemi možnostmi a jejich vztahem.

• Prozkoumání metod ověřování nabízených ID Microsoft Entra v rámci plánování tenanta Microsoft Entra

• Pokud používáte Azure Government , projděte si pokyny týkající se tenantů Microsoft Entra v identitě plánování pro aplikace Azure Government.

• Pokud používáte Azure Government, Azure China 21Vianet, Azure Germany (uzavřeno 29. října 2021), projděte si národní/regionální cloudy , kde najdete další pokyny k Microsoft Entra ID.

Doporučení k návrhu:

• Přidání jedné nebo více vlastních domén do tenanta Microsoft Entra podle potřeby přidání vlastního názvu domény pomocí Centra pro správu Microsoft Entra

  • Zkontrolujte základní soubor Microsoft Entra UserPrincipalName, pokud plánujete nebo používáte Microsoft Entra Connect, abyste měli jistotu, že se vlastní názvy domén projeví ve vašem prostředí místní Active Directory Domain Services.

• Na základě jedné z podporovaných topologií definujte strategii jednotného přihlašování Azure pomocí služby Microsoft Entra Connect.

• Pokud vaše organizace nemá infrastrukturu identit, začněte implementací nasazení identity pouze Microsoft Entra. Nasazení se službami Microsoft Entra Domain Services a Microsoft Enterprise Mobility + Security poskytuje kompletní ochranu pro aplikace SaaS, podnikové aplikace a zařízení.

• Vícefaktorové ověřování Microsoft Entra poskytuje další vrstvu zabezpečení a ověřování. Pro větší zabezpečení také vynucujte zásady podmíněného přístupu pro všechny privilegované účty.

• Naplánujte nouzový přístup nebo prolomení účtů, abyste zabránili uzamčení účtu v rámci celého tenanta.

• Ke správě identit a přístupu použijte Microsoft Entra Privileged Identity Management .

• Všechny diagnostické protokoly Microsoft Entra odešlete do centrálního pracovního prostoru služby Azure Monitor Log Analytics podle těchto pokynů: Integrace protokolů Microsoft Entra s protokoly služby Azure Monitor

• Vyhněte se vytváření více tenantů Microsoft Entra. Další informace najdete v tématu Otestování přístupu na podnikové úrovni.

• Azure Lighthouse umožňuje třetím stranám nebo partnerům udělit přístup k prostředkům Azure v zákaznických tenantech Microsoft Entra a centralizovaný přístup k prostředkům Azure ve víceklientských architekturách Microsoft Entra.