Definir Microsoft Entra tenants

Um locatário do Microsoft Entra fornece gerenciamento de identidade e acesso, que é uma parte importante de sua postura de segurança. Um locatário do Microsoft Entra garante que os usuários autenticados e autorizados acessem apenas os recursos para os quais eles têm permissões. O Microsoft Entra ID fornece esses serviços para aplicativos e serviços implantados dentro e fora do Azure (como provedores de nuvem locais ou de terceiros).

O Microsoft Entra ID também é usado por aplicativos de software como serviço (SaaS), como o Microsoft 365 e o Azure Marketplace. As organizações que já usam o AD local podem integrá-lo à infraestrutura atual e estender a autenticação na nuvem. Cada diretório do Microsoft Entra tem um ou mais domínios. Um diretório pode ter muitas assinaturas associadas a ele, mas apenas um locatário do Microsoft Entra.

Faça perguntas básicas de segurança durante a fase de design, como como sua organização gerencia credenciais e como ela controla o acesso humano, de aplicativos e programático.

Gorjeta

Se você tiver vários locatários do Microsoft Entra, revise as zonas de aterrissagem do Azure e vários locatários do Microsoft Entra e seu conteúdo associado.

Considerações de design:

• Uma assinatura do Azure só pode confiar em um locatário do Microsoft Entra de cada vez, mais informações podem ser encontradas em Associar ou adicionar uma assinatura do Azure ao seu locatário do Microsoft Entra

• Vários locatários do Microsoft Entra podem funcionar no mesmo registro. Revise as zonas de aterrissagem do Azure e vários locatários do Microsoft Entra

• O Azure Lighthouse só dá suporte à delegação nos escopos de assinatura e grupo de recursos.

• O *.onmicrosoft.com nome de domínio criado para cada locatário do Microsoft Entra deve ser globalmente exclusivo de acordo com a seção de terminologia em que é o Microsoft Entra ID?

  • O *.onmicrosoft.com nome de domínio para cada locatário do Microsoft Entra não pode ser alterado depois de criado.

• Consulte Compare os Serviços de Domínio Ative Directory autogerenciados, a ID do Microsoft Entra e os Serviços de Domínio Microsoft Entra gerenciados para entender completamente as diferenças entre todas as opções e como elas se relacionam

• Explore os métodos de autenticação oferecidos pelo Microsoft Entra ID como parte do planejamento de locatários do Microsoft Entra

• Se estiver usando o Azure Government , revise as orientações sobre locatários do Microsoft Entra em Planejando a identidade para aplicativos do Azure Government

• Se estiver usando o Azure Government, Azure China 21Vianet, Azure Germany (fechado em 29 de outubro de 2021), revise as nuvens nacionais/regionais para obter mais orientações sobre o Microsoft Entra ID

Recomendações de design:

• Adicionar um ou mais domínios personalizados ao seu locatário do Microsoft Entra de acordo com Adicionar seu nome de domínio personalizado usando o Centro de administração do Microsoft Entra

  • Analise a população UserPrincipalName do Microsoft Entra se estiver planejando ou usando o Microsoft Entra Connect para garantir que os nomes de domínio personalizados sejam refletidos em seu ambiente local dos Serviços de Domínio Ative Directory.

• Defina sua estratégia de logon único do Azure, usando o Microsoft Entra Connect, com base em uma das topologias suportadas.

• Se sua organização não tiver uma infraestrutura de identidade, comece implementando uma implantação de identidade somente Microsoft Entra. A implantação com os Serviços de Domínio Microsoft Entra e o Microsoft Enterprise Mobility + Security fornece proteção completa para aplicativos SaaS, aplicativos corporativos e dispositivos.

• A autenticação multifator do Microsoft Entra fornece outra camada de segurança e autenticação. Para maior segurança, aplique também políticas de acesso condicional para todas as contas privilegiadas.

• Planeje o acesso de emergência ou contas quebra-vidro para evitar o bloqueio de contas em todo o locatário.

• Use o Microsoft Entra Privileged Identity Management para gerenciar identidades e acesso.

• Envie todos os logs de diagnóstico do Microsoft Entra para um espaço de trabalho central do Azure Monitor Log Analytics seguindo as orientações aqui: Integrar logs do Microsoft Entra com logs do Azure Monitor

• Evite criar vários locatários do Microsoft Entra. Para obter mais informações, consulte Abordagem de teste para escala empresarial.

• Use o Azure Lighthouse para conceder a terceiros/parceiros acesso aos recursos do Azure em locatários do Microsoft Entra do cliente e acesso centralizado aos recursos do Azure em arquiteturas multilocatárias do Microsoft Entra.