Definiowanie dzierżaw firmy Microsoft Entra

Dzierżawa firmy Microsoft Entra zapewnia zarządzanie tożsamościami i dostępem, co jest ważną częścią stanu zabezpieczeń. Dzierżawa firmy Microsoft Entra zapewnia, że uwierzytelnieni i autoryzowani użytkownicy uzyskują dostęp tylko do zasobów, do których mają uprawnienia. Microsoft Entra ID udostępnia te usługi aplikacjom i usługom wdrożonym na platformie Azure i poza nimi (takim jak lokalni lub zewnętrzni dostawcy usług w chmurze).

Identyfikator Entra firmy Microsoft jest również używany przez aplikacje typu oprogramowanie jako usługa (SaaS), takie jak Microsoft 365 i Azure Marketplace. Organizacje korzystające już z lokalnej usługi AD mogą zintegrować ją z bieżącą infrastrukturą i rozszerzyć uwierzytelnianie w chmurze. Każdy katalog Firmy Microsoft Entra ma co najmniej jedną domenę. Katalog może mieć wiele skojarzonych subskrypcji, ale tylko jedną dzierżawę firmy Microsoft Entra.

Zadaj podstawowe pytania dotyczące zabezpieczeń w fazie projektowania, takie jak sposób zarządzania poświadczeniami przez organizację i sposobu sterowania dostępem człowieka, aplikacji i dostępu programowego.

Napiwek

Jeśli masz wiele dzierżaw firmy Microsoft Entra, zapoznaj się ze strefami docelowymi platformy Azure i wieloma dzierżawami firmy Microsoft Entra i skojarzona z nią zawartością.

Zagadnienia dotyczące projektowania:

• Subskrypcja platformy Azure może ufać tylko jednej dzierżawie firmy Microsoft Entra. Dalsze informacje można znaleźć w artykule Kojarzenie lub dodawanie subskrypcji platformy Azure do dzierżawy firmy Microsoft Entra

• Wiele dzierżaw firmy Microsoft Entra może działać w tej samej rejestracji. Przeglądanie stref docelowych platformy Azure i wielu dzierżaw firmy Microsoft Entra

• Usługa Azure Lighthouse obsługuje tylko delegowanie w zakresach subskrypcji i grupy zasobów.

• Nazwa domeny utworzona *.onmicrosoft.com dla każdej dzierżawy usługi Microsoft Entra musi być globalnie unikatowa zgodnie z sekcją terminologii w temacie Co to jest identyfikator Entra firmy Microsoft?

  • Nie *.onmicrosoft.com można zmienić nazwy domeny dla każdej dzierżawy usługi Microsoft Entra po utworzeniu.

• Przejrzyj porównanie usług domena usługi Active Directory zarządzanych samodzielnie, microsoft Entra ID i zarządzanych usług Microsoft Entra Domain Services, aby w pełni zrozumieć różnice między wszystkimi opcjami i sposobem ich powiązania

• Zapoznaj się z metodami uwierzytelniania oferowanymi przez firmę Microsoft Entra ID w ramach planowania dzierżawy firmy Microsoft Entra

• Jeśli korzystasz z platformy Azure Government, zapoznaj się ze wskazówkami dotyczącymi dzierżaw firmy Microsoft Entra w temacie Planowanie tożsamości dla aplikacji platformy Azure Government

• Jeśli korzystasz z platformy Azure Government, Azure China 21Vianet, Azure Germany (zamknięte 29 października 2021 r.), zapoznaj się z artykułem National/Regional clouds (Krajowe/regionalne chmury), aby uzyskać dalsze wskazówki dotyczące identyfikatora Entra firmy Microsoft

Zalecenia dotyczące projektowania:

• Dodaj co najmniej jedną domenę niestandardową do dzierżawy firmy Microsoft Entra zgodnie z opisem Dodaj niestandardową nazwę domeny przy użyciu centrum administracyjnego firmy Microsoft Entra

  • Przejrzyj populację Microsoft Entra UserPrincipalName, jeśli planujesz lub używasz programu Microsoft Entra Connect, aby upewnić się, że niestandardowe nazwy domen są odzwierciedlane w środowisku usług domenowych lokalna usługa Active Directory.

• Zdefiniuj strategię logowania jednokrotnego platformy Azure przy użyciu programu Microsoft Entra Connect na podstawie jednej z obsługiwanych topologii.

• Jeśli Twoja organizacja nie ma infrastruktury tożsamości, zacznij od zaimplementowania wdrożenia tożsamości tylko firmy Microsoft. Wdrażanie za pomocą usług Microsoft Entra Domain Services i Microsoft Enterprise Mobility + Security zapewnia kompleksową ochronę aplikacji SaaS, aplikacji dla przedsiębiorstw i urządzeń.

• Uwierzytelnianie wieloskładnikowe firmy Microsoft zapewnia kolejną warstwę zabezpieczeń i uwierzytelniania. Aby uzyskać więcej zabezpieczeń, wymusić również zasady dostępu warunkowego dla wszystkich uprzywilejowanych kont.

• Zaplanuj dostęp awaryjny lub konta ze szkła awaryjnego, aby zapobiec zablokowaniu konta w całej dzierżawie.

• Zarządzanie tożsamościami i dostępem przy użyciu usługi Microsoft Entra Privileged Identity Management .

• Wyślij wszystkie dzienniki diagnostyczne firmy Microsoft Entra do centralnego obszaru roboczego usługi Azure Monitor Log Analytics, postępując zgodnie z poniższymi wskazówkami: Integrowanie dzienników firmy Microsoft Entra z dziennikami usługi Azure Monitor

• Unikaj tworzenia wielu dzierżaw firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Testowanie podejścia do skali przedsiębiorstwa.

• Usługa Azure Lighthouse umożliwia udzielanie stronom trzecim/partnerom dostępu do zasobów platformy Azure w dzierżawach firmy Microsoft Entra i scentralizowanym dostępem do zasobów platformy Azure w wielodostępnych architekturach firmy Microsoft Entra.