Définir des locataires Microsoft Entra
Un locataire Microsoft Entra fournit une gestion des identités et des accès qui constitue une partie importante de votre posture de sécurité. Un locataire Microsoft Entra garantit que les utilisateurs authentifiés et autorisés ont accès uniquement aux ressources pour lesquelles ils disposent d’autorisations. Microsoft Entra ID fournit ces services aux applications et services déployés dans Azure et en dehors d’Azure (comme les fournisseurs de cloud locaux ou tiers).
Microsoft Entra ID est également utilisé par des applications SaaS telles que Microsoft 365 et la Place de marché Azure. Les organisations qui utilisent déjà AD en local peuvent l’intégrer à leur infrastructure actuelle et étendre l’authentification cloud. Chaque répertoire Microsoft Entra contient au moins un domaine personnalisé. Un annuaire peut être associé à de nombreux abonnements, mais il ne peut dépendre que d’un seul locataire Microsoft Entra.
Posez-vous les bonnes questions de sécurité pendant la phase de conception, notamment concernant la façon dont votre organisation gère les informations d’identification et dont elle contrôle les accès des utilisateurs, des applications et des programmes.
Conseil
Si vous avez plusieurs locataires Microsoft Entra, passez en revue l’article Zones d’atterrissage Azure et plusieurs locataires Microsoft Entra et le contenu qui lui est associé.
Considérations relatives à la conception :
Un abonnement azure ne peut approuver qu’un seul locataire Microsoft Entra à la fois. Des informations supplémentaires sont disponibles dans Associer ou ajouter un abonnement Azure à votre locataire Microsoft Entra
Plusieurs locataires Microsoft Entra peuvent opérer dans le cadre de la même inscription. Consultez Zones d’atterrissage Azure et utilisation de multiples locataires Microsoft Entra
Azure Lighthouse prend uniquement en charge la délégation au niveau des étendues d’abonnement et de groupe de ressources.
Le nom de domaine
*.onmicrosoft.com
créé pour chaque locataire Microsoft Entra doit être globalement unique conformément à la section Terminologie de la présentation de Microsoft Entra ID.- Une fois créé, le nom de domaine
*.onmicrosoft.com
de chaque locataire Microsoft Entra ne peut pas être modifié.
- Une fois créé, le nom de domaine
Consultez Comparer Active Directory Domain Services autogérés, Microsoft Entra ID et Microsoft Entra Domain Services gérés pour cerner parfaitement les différences entre les options et leur lien
Explorez les méthodes d’authentification offertes par Microsoft Entra ID dans le cadre de la planification de votre locataire Microsoft Entra
Si vous utilisez Azure Government, consultez les instructions relatives aux locataires Microsoft Entra dans la rubrique Planification de l’identité pour les applications Azure Government
Si vous utilisez Azure Government, Azure China 21Vianet et Azure Allemagne (fermé le 29 octobre 2021), consultez la rubrique Clouds nationaux/régionaux pour obtenir des instructions supplémentaires concernant Microsoft Entra ID
Recommandations relatives à la conception :
Ajoutez un ou plusieurs domaines personnalisés à votre locataire Microsoft Entra, conformément aux instructions de la rubrique Ajouter votre nom de domaine personnalisé à l’aide du centre d’administration Microsoft Entra
- Consultez Alimentation du UserPrincipalName Microsoft Entra si vous prévoyez d’utiliser ou utilisez Microsoft Entra Connect pour vous assurer que les noms de domaine personnalisés sont reflétés dans votre environnement local Active Directory Domain Services.
Définissez votre stratégie d’authentification unique Azure à l’aide de Microsoft Entra Connect, conformément à l’une des topologies prises en charge.
Si votre organisation n’a pas d’infrastructure d’identité, commencez par implémenter un déploiement d’identité exclusivement Microsoft Entra. Un déploiement avec Microsoft Entra Domain Services et Microsoft Enterprise Mobility + Security offre une protection de bout en bout pour les applications SaaS, les applications d’entreprise et les appareils.
L’authentification multifacteur Microsoft Entra offre une couche supplémentaire de sécurité et d’authentification. Pour plus de sécurité, appliquez également des stratégies d’accès conditionnel pour tous les comptes privilégiés.
Planifiez des comptes d’accès d’urgence ou de secours pour empêcher le verrouillage du compte sur l’ensemble du locataire.
Utilisez Microsoft Entra Privileged Identity Management pour gérer les identités et les accès.
Envoyez tous les journaux de diagnostic Microsoft Entra vers un espace de travail Log Analytics Azure Monitor central en suivant les instructions fournies ici : Intégrer les journaux Microsoft Entra aux journaux Azure Monitor
Éviter de créer plusieurs locataires Microsoft Entra. Pour plus d’informations, consultez l’approche de test pour l’échelle de l’entreprise.
Utilisez Azure Lighthouse pour permettre l’accès à des tiers/partenaires à des ressources Azure dans les locataires Microsoft Entra du client et un accès centralisé aux ressources Azure dans les architectures multilocataires Microsoft Entra.