Definir locatários do Microsoft Entra
Um locatário do Microsoft Entra fornece gerenciamento de identidades e acesso, que é uma parte importante da sua postura de segurança. Um locatário do Microsoft Entra garante que usuários autenticados e autorizados acessem apenas os recursos aos quais têm permissões. A ID do Microsoft Entra fornece esses serviços para aplicativos e serviços implantados dentro e fora do Azure (como provedores de nuvem locais ou de terceiros).
Ele também é usado por aplicativos software como serviço (SaaS), como o Microsoft 365 e o Azure Marketplace. As organizações que já usam o AD local podem integrá-lo à sua infraestrutura atual e estender a autenticação na nuvem. Cada diretório do Microsoft Entra tem um ou mais domínios. Um diretório pode ter muitas assinaturas associadas, mas apenas um locatário do Microsoft Entra.
Faça perguntas básicas de segurança durante a fase de design, como como sua organização gerencia credenciais e como ela controla o acesso humano, de aplicativos e programático.
Dica
Se você tiver vários locatários do Microsoft Entra, examine as zonas de destino do Azure e vários locatários do Microsoft Entra e seu conteúdo associado.
Considerações sobre o design:
Uma assinatura do Azure só pode confiar em um locatário do Microsoft Entra por vez, mais informações podem ser encontradas em Associar ou adicionar uma assinatura do Azure ao seu locatário do Microsoft Entra
Vários locatários do Microsoft Entra podem funcionar no mesmo registro. Examinar zonas de destino do Azure e vários locatários do Microsoft Entra
O Azure Lighthouse só dá suporte à delegação nos escopos de assinatura e de grupo de recursos.
O
*.onmicrosoft.comnome de domínio criado para cada locatário do Microsoft Entra deve ser globalmente exclusivo de acordo com a seção de terminologia em o que é a ID do Microsoft Entra?- O
*.onmicrosoft.comnome de domínio para cada locatário do Microsoft Entra não pode ser alterado depois de criado.
- O
Compare os Serviços de Domínio Active Directory autogerenciados, a ID do Microsoft Entra e os Serviços de Domínio Microsoft Entra gerenciados para entender completamente as diferenças entre todas as opções e como elas se relacionam
Explore os métodos de autenticação oferecidos pela ID do Microsoft Entra como parte do planejamento de locatários do Microsoft Entra
Se estiver usando o Azure Governamental , examine as diretrizes sobre locatários do Microsoft Entra em Planejando a identidade para aplicativos do Azure Governamental
Se estiver usando o Azure Governamental, Azure China 21Vianet, Azure Alemanha (fechado em 29 de outubro de 2021), examine as nuvens nacionais/regionais para obter mais diretrizes sobre a ID do Microsoft Entra
Recomendações de design:
Adicione um ou mais domínios personalizados ao seu locatário do Microsoft Entra de acordo com Adicionar seu nome de domínio personalizado usando o centro de administração do Microsoft Entra
- Examine o preenchimento do Microsoft Entra UserPrincipalName se estiver planejando ou usando o Microsoft Entra Connect para garantir que os nomes de domínio personalizados sejam refletidos no ambiente local dos Serviços de Domínio Active Directory.
Defina sua estratégia de logon único do Azure, usando o Microsoft Entra Connect, com base em uma das topologias com suporte.
Se a sua organização não tiver uma infraestrutura de identidade, comece fazendo uma implantação de identidade somente do Microsoft Entra. A implantação com o Microsoft Entra Domain Services e o Microsoft Enterprise Mobility + Security fornece proteção de ponta a ponta para aplicativos SaaS, aplicativos empresariais e dispositivos.
A autenticação multifator do Microsoft Entra fornece outra camada de segurança e autenticação. Para obter mais segurança, aplique também políticas de acesso condicional para todas as contas com privilégios.
Planeje contas de emergência ou acesso de emergência para evitar o bloqueio de conta em todo o locatário.
Use o Microsoft Entra Privileged Identity Management para gerenciar identidades e acesso.
Envie todos os logs de diagnóstico do Microsoft Entra para um workspace central do Log Analytics do Azure Monitor seguindo as diretrizes aqui: Integrar logs do Microsoft Entra aos Logs do Azure Monitor
Evite criar vários locatários do Microsoft Entra. Para obter mais informações, consulte Abordagem de teste para escala empresarial.
Use o Azure Lighthouse para conceder a terceiros/parceiros acesso aos recursos do Azure em locatários do Microsoft Entra do cliente e acesso centralizado aos recursos do Azure em arquiteturas multilocatários do Microsoft Entra.