Definición de inquilinos de Microsoft Entra

Un inquilino de Microsoft Entra proporciona administración de identidades y acceso, lo cual es una parte importante de su posición de seguridad. Un inquilino de Microsoft Entra garantiza que los usuarios autenticados y autorizados solo tengan acceso a los recursos para los que tienen permisos. Microsoft Entra ID proporciona estos servicios a las aplicaciones y los servicios implementados en Azure y fuera de Azure (como proveedores de nube locales o de terceros).

Microsoft Entra ID también se usa en aplicaciones de software como servicio (SaaS), como Microsoft 365 y Azure Marketplace. Las organizaciones que ya usan aplicaciones de  AD pueden integrarla con su infraestructura actual y extender la autenticación en la nube. Cada directorio de Microsoft Entra tiene uno o varios dominios. Un directorio puede tener varias suscripciones asociadas, pero solo un inquilino de Microsoft Entra.

Es importante formular preguntas básicas de seguridad durante la fase de diseño, como la forma en que una organización administra las credenciales y el modo en que controla el acceso mediante programación, de personas y de aplicaciones.

Sugerencia

Si tiene varios inquilinos de Microsoft Entra, revise Zonas de aterrizaje de Azure y varios inquilinos de Microsoft Entra y su contenido asociado.

Consideraciones de diseño:

• Una suscripción de Azure solo puede confiar en un inquilino Microsoft Entra a la vez; puede encontrar más información en Asociación o adición de una suscripción de Azure al inquilino de Microsoft Entra

• Varios inquilinos de Microsoft Entra pueden funcionar en la misma inscripción. Revise Zonas de aterrizaje de Azure y varios inquilinos de Microsoft Entra

• Azure Lighthouse solo admite la delegación en los ámbitos de suscripción y grupo de recursos.

• El nombre de dominio *.onmicrosoft.com creado para cada inquilino de Microsoft Entra debe ser único globalmente según la sección de terminología en ¿Qué es Microsoft Entra ID?

  • El nombre de dominio *.onmicrosoft.com de cada inquilino de Microsoft Entra no se puede cambiar una vez creado.

• Revise Comparar Active Directory Domain Services autoadministrado, Microsoft Entra ID y Microsoft Entra Domain Services administrado para comprender completamente las diferencias entre todas las opciones y cómo se relacionan

• Explore los métodos de autenticación que ofrece Microsoft Entra ID como parte del planeamiento de inquilinos de Microsoft Entra

• Si usa Azure Government, consulte la guía sobre los inquilinos Microsoft Entra en Planeamiento de la identidad para aplicaciones de Azure Government

• Si usa Azure Government, Azure China 21Vianet o Azure Alemania (cerrado el 29 de octubre de 2021), consulte Nubes nacionales o regionales para obtener más instrucciones sobre Microsoft Entra ID

Recomendaciones de diseño:

• Agregue uno o varios dominios personalizados al inquilino de Microsoft Entra como se indica en Agregar el nombre de dominio personalizado mediante el Centro de administración de Microsoft Entra

  • Revise Rellenado de UserPrincipalName de Microsoft Entra si planea usar Microsoft Entra Connect (o si ya lo usa) para asegurarse de que los nombres de dominio personalizados se reflejan en el entorno local de Active Directory Domain Services.

• Defina la estrategia de inicio de sesión único de Azure mediante Microsoft Entra Connect, en función de una de las topologías admitidas.

• Si su organización no tiene una infraestructura de identidad, empiece por implementar una identidad que solo sea de Microsoft Entra. Esta implementación con Microsoft Entra Domain Services y Microsoft Enterprise Mobility + Security proporciona protección completa a las aplicaciones de SaaS y empresariales, así como a los dispositivos.

• La autenticación multifactor de Microsoft Entra proporciona otra capa de seguridad y autenticación. Para mayor seguridad, aplique también directivas de acceso condicional para todas las cuentas con privilegios.

• Planee el uso del acceso de emergencia o de cuentas de emergencia para evitar el bloqueo de cuentas en todo el inquilino.

• Use Microsoft Entra Privileged Identity Management para administrar las identidades y el acceso.

• Envíe todos los registros de diagnóstico de Microsoft Entra a un área de trabajo central de Log Analytics de Azure Monitor siguiendo las instrucciones que se indican aquí: Integración de registros de Microsoft Entra con registros de Azure Monitor

• Evite crear varios inquilinos de Microsoft Entra. Para obtener más información, consulte Enfoque de las pruebas a escala empresarial y la guía sobre procedimientos recomendados de Cloud Adoption Framework para Azure para estandarizar en un único directorio e identidad.

• Use Azure Lighthouse para conceder acceso a recursos de Azure a terceros o asociados en inquilinos de Microsoft Entra de clientes y acceso centralizado a los recursos de Azure en arquitecturas de Microsoft Entra multiinquilino.