Definire i tenant di Microsoft Entra

Il tenant di Microsoft Entra offre la gestione delle identità e degli accessi, che costituisce una parte importante del comportamento di sicurezza. Un tenant di Microsoft Entra garantisce che gli utenti autenticati e autorizzati accevano solo alle risorse a cui dispongono delle autorizzazioni. Microsoft Entra ID fornisce questi servizi alle applicazioni e ai servizi distribuiti in e all'esterno di Azure ,ad esempio provider di servizi cloud locali o di terze parti.

Microsoft Entra viene usato anche da applicazioni software come servizio (SaaS), ad esempio Microsoft 365 e Azure Marketplace. Le organizzazioni che usano già Active Directory locale possono integrarla con l'infrastruttura corrente ed estendere l'autenticazione cloud. Ogni directory Microsoft Entra ha uno o più domini. A una directory possono essere associate numerose sottoscrizioni, ma solo un tenant di Microsoft Entra.

Porre domande di sicurezza di base durante la fase di progettazione, ad esempio il modo in cui l'organizzazione gestisce le credenziali e il modo in cui controlla l'accesso umano, applicazione e a livello di codice.

Suggerimento

Se si dispone di più tenant di Microsoft Entra, esaminare le zone di destinazione di Azure e più tenant di Microsoft Entra e il relativo contenuto associato.

Considerazioni sulla progettazione:

• Una sottoscrizione di Azure può considerare attendibile un solo tenant di Microsoft Entra alla volta, altre informazioni sono disponibili in Associare o aggiungere una sottoscrizione di Azure al tenant di Microsoft Entra

• Possono essere operativi più tenant di Microsoft Entra nella stessa registrazione. Esaminare le zone di destinazione di Azure e più tenant di Microsoft Entra

• Azure Lighthouse supporta solo la delega negli ambiti della sottoscrizione e del gruppo di risorse.

• Il *.onmicrosoft.com nome di dominio creato per ogni tenant di Microsoft Entra deve essere globalmente univoco in base alla sezione terminologia in che cos'è Microsoft Entra ID?

  • Il *.onmicrosoft.com nome di dominio per ogni tenant di Microsoft Entra non può essere modificato dopo la creazione.

• Vedere Confrontare i servizi di Dominio di Active Directory autogestito, l'ID Microsoft Entra e i servizi di dominio Microsoft Entra gestiti per comprendere appieno le differenze tra tutte le opzioni e le relative relazioni

• Esplorare i metodi di autenticazione offerti da Microsoft Entra ID come parte della pianificazione del tenant di Microsoft Entra

• Se si usa Azure per enti pubblici esaminare le linee guida relative ai tenant di Microsoft Entra in Pianificazione dell'identità per le applicazioni Azure per enti pubblici

• Se si usa Azure per enti pubblici, Azure China 21Vianet, Azure Germania (chiuso il 29 ottobre 2021), vedere Cloud nazionali/regionali per altre indicazioni su Microsoft Entra ID

Raccomandazioni sulla progettazione:

• Aggiungere uno o più domini personalizzati al tenant di Microsoft Entra in base all'aggiunta del nome di dominio personalizzato tramite l'interfaccia di amministrazione di Microsoft Entra

  • Esaminare il popolamento di Microsoft Entra UserPrincipalName se si prevede o si usa Microsoft Entra Connect per assicurarsi che i nomi di dominio personalizzati si riflettano nell'ambiente dei servizi di dominio Active Directory locale.

• Definire la strategia di Single Sign-On di Azure usando Microsoft Entra Connect, in base a una delle topologie supportate.

• Se l'organizzazione non ha un'infrastruttura di identità, iniziare implementando una distribuzione di identità solo Microsoft Entra. La distribuzione con Microsoft Entra Domain Services e Microsoft Enterprise Mobility + Security offre protezione end-to-end per applicazioni SaaS, applicazioni aziendali e dispositivi.

• L'autenticazione a più fattori Microsoft Entra offre un altro livello di sicurezza e autenticazione. Per aumentare la sicurezza, applicare anche criteri di accesso condizionale per tutti gli account con privilegi.

• Pianificare anche alcuni account di emergenza o per l'accesso di emergenza per prevenire il blocco degli account in tutto il tenant.

• Usare Microsoft Entra Privileged Identity Management per gestire identità e accesso.

• Inviare tutti i log di diagnostica di Microsoft Entra a un'area di lavoro log analytics di Monitoraggio di Azure centrale seguendo le indicazioni riportate qui: Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure

• Evitare di creare più tenant di Microsoft Entra. Per altre informazioni, vedere Approccio di test per la scalabilità aziendale.

• Usare Azure Lighthouse per concedere a terze parti/partner l'accesso alle risorse di Azure nei tenant Microsoft Entra dei clienti e l'accesso centralizzato alle risorse di Azure nelle architetture Microsoft Entra multi-tenant.