Definieren von Microsoft Entra-Mandanten

Ein Microsoft Entra-Mandant bietet Identitäts- und Zugriffsverwaltung, die ein wichtiger Bestandteil Ihres Sicherheitsstatus ist. Ein Microsoft Entra-Mandant stellt sicher, dass authentifizierte und autorisierte Benutzer*innen nur auf die Ressourcen zugreifen, für die sie über Berechtigungen verfügen. Microsoft Entra ID bietet diese Dienste sowohl für innerhalb als auch außerhalb von Azure bereitgestellte Anwendungen und Dienste (z. B. lokal oder in Clouds von Drittanbietern).

Microsoft Entra ID wird auch von SaaS-Anwendungen (Software-as-a-Service) wie Microsoft 365 und Azure Marketplace verwendet. Organisationen, die AD bereits lokal nutzen, können es in ihre aktuelle Infrastruktur integrieren und die Cloudauthentifizierung erweitern. Jedes Microsoft Entra-Verzeichnis verfügt über mindestens eine Domäne. Einem Verzeichnis können viele Abonnements, aber nur ein Microsoft Entra-Mandant zugeordnet sein.

Während der Entwurfsphase sind grundlegende Sicherheitsfragen zu beantworten, z. B. wie Ihre Organisation Anmeldeinformationen verwaltet und wie der Benutzerzugriff, Anwendungszugriff und programmgesteuerte Zugriff gesteuert werden.

Tipp

Wenn Sie über mehrere Microsoft Entra-Mandanten verfügen, lesen Sie Azure-Zielzonen und mehrere Microsoft Entra-Mandanten und die zugehörigen Inhalte.

Überlegungen zum Entwurf:

• Ein Azure-Abonnement kann immer nur einem Microsoft Entra-Mandanten vertrauen. Weitere Informationen finden Sie unter Zuordnen oder Hinzufügen eines Azure-Abonnements zu Ihrem Microsoft Entra-Mandanten

• Mehrere Microsoft Entra-Mandanten können in derselben Registrierung aktiv sein. Weitere Informationen finden Sie unter Azure-Zielzonen und mehrere Microsoft Entra-Mandanten

• Azure Lighthouse unterstützt nur die Delegierung auf Abonnement- und Ressourcengruppenebene.

• Der *.onmicrosoft.com-Domänenname, der für jeden Microsoft Entra ID-Mandanten erstellt wird, muss gemäß dem Abschnitt „Terminologie“ des Artikels „Was ist Microsoft Entra ID?“ global eindeutig sein

  • Der *.onmicrosoft.com-Domänenname für jeden Microsoft Entra-Mandanten kann nach der Erstellung nicht mehr geändert werden.

• Ausführliche Informationen zu den Unterschieden zwischen den Optionen und deren Beziehung zueinander finden Sie im Artikel Vergleichen von selbstverwalteten Active Directory Domain Services, Microsoft Entra ID und verwalteten Microsoft Entra Domain Services

• Machen Sie sich mit den Authentifizierungsmethoden von Microsoft Entra ID vertraut, die im Rahmen der Planung Ihrer Microsoft Entra-Mandanten angeboten werden

• Wenn Sie Azure Government verwenden, lesen Sie die Anleitung zu Microsoft Entra-Mandanten unter Planen der Identität für Azure Government-Anwendungen

• Wenn Sie Azure Government, Azure China 21Vianet oder Azure Deutschland (wurde am 29. Oktober 2021 eingestellt) verwenden, lesen Sie die Anleitung zu Microsoft Entra ID im Artikel Nationale/Regionale Clouds

Entwurfsempfehlungen:

• Fügen Sie Ihrem Microsoft Entra-Mandanten eine oder mehrere benutzerdefinierte Domänen hinzu. Eine Anleitung hierzu finden Sie unter Hinzufügen Ihres benutzerdefinierten Domänennamens über das Microsoft Entra Admin Center

  • Überprüfen Sie die Auffüllung des UserPrincipalName-Attributs in Microsoft Entra, wenn Sie Microsoft Entra Connect verwenden möchten oder verwenden, um sicherzustellen, dass benutzerdefinierte Domänennamen in Ihrer lokalen Active Directory Domain Services-Umgebung berücksichtigt werden.

• Definieren Sie Ihre Strategie für das einmalige Anmelden in Azure mithilfe von Microsoft Entra Connect basierend auf einer der unterstützten Topologien.

• Verfügt Ihre Organisation über keine Identitätsinfrastruktur, implementieren Sie zunächst eine auf Microsoft Entra beschränkte Identitätsbereitstellung. Die Bereitstellung mit Microsoft Entra Domain Services und Microsoft Enterprise Mobility + Security bietet End-to-End-Schutz für SaaS-Anwendungen, Unternehmensanwendungen und Geräte.

• Die Multi-Faktor-Authentifizierung von Microsoft Entra bietet eine weitere Sicherheits- und Authentifizierungsebene. Für mehr Sicherheit setzen Sie auch für alle privilegierten Konten Richtlinien für bedingten Zugriff durch.

• Planen Sie Notfallzugriffskonten, um eine mandantenweite Kontosperrung zu vermeiden.

• Verwenden Sie Microsoft Entra Privileged Identity Management für die Identitäts- und Zugriffsverwaltung.

• Senden Sie alle Microsoft Entra-Diagnoseprotokolle an einen zentralen Log Analytics-Arbeitsbereich in Azure Monitor. Führen Sie hierzu die Anleitung unter Integrieren von Microsoft Entra-Protokollen in Azure Monitor-Protokolle aus

• Vermeiden Sie das Erstellen mehrerer Microsoft Entra-Mandanten. Weitere Informationen finden Sie unter Testansatz für den Unternehmensmaßstab.

• Verwenden Sie Azure Lighthouse, um Dritten oder Partnern Zugriff auf Azure-Ressourcen in Microsoft Entra-Mandanten von Kunden und zentralisierten Zugriff auf Azure-Ressourcen in mandantenübergreifenden Microsoft Entra-Architekturen zu gewähren.