你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
定义 Microsoft Entra 租户
Microsoft Entra 租户提供标识和访问管理,这是安全状况的重要组成部分。 Microsoft Entra 租户可确保经过身份验证和授权的用户仅访问他们有权访问的资源。 Microsoft Entra ID 为 Azure 内外部署的应用程序和服务(例如本地或第三方云提供商)提供这些服务。
Microsoft Entra ID 还由软件即服务(SaaS)应用程序(如 Microsoft 365 和 Azure 市场)使用。 已使用本地 AD 的组织可以将它与其当前基础结构集成,并扩展云身份验证。 每个 Microsoft Entra 目录都有一个或多个域。 目录可以有多个与之关联的订阅,但只有一个 Microsoft Entra 租户。
在设计阶段询问基本安全问题,例如组织如何管理凭据以及如何控制人工、应用程序和编程访问。
提示
如果有多个 Microsoft Entra 租户,请查看 Azure 登陆区域和多个 Microsoft Entra 租户 及其关联内容。
设计注意事项:
Azure 订阅一次只能信任一个 Microsoft Entra 租户,可以在“关联”中找到 更多信息,或向 Microsoft Entra 租户添加 Azure 订阅
多个 Microsoft Entra 租户可以在同一注册中运行。 查看 Azure 登陆区域和多个 Microsoft Entra 租户
Azure Lighthouse 仅支持在订阅和资源组范围内进行委派。
*.onmicrosoft.com根据什么是 Microsoft Entra ID 中的术语部分,为每个 Microsoft Entra 租户创建的域名必须全局唯一?*.onmicrosoft.com创建每个 Microsoft Entra 租户的域名后,无法更改。
查看比较自管理Active Directory 域服务、Microsoft Entra ID 和托管的 Microsoft Entra 域服务,以充分了解所有选项之间的差异及其关联方式
了解 Microsoft Entra ID 提供的身份验证方法,作为 Microsoft Entra 租户规划的一部分
如果使用 Azure 政府,Azure 中国世纪互联、Azure 德国(于 2021 年 10 月 29 日关闭),请查看国家/地区云,获取有关 Microsoft Entra ID 的进一步指导
设计建议:
根据 使用 Microsoft Entra 管理中心添加自定义域名,将一个或多个自定义域添加到 Microsoft Entra 租户
- 如果计划或使用 Microsoft Entra 连接来确保自定义域名反映在 本地 Active Directory 域服务环境中,请查看 Microsoft Entra UserPrincipalName 填充。
使用 Microsoft Entra 连接根据受支持的拓扑之一定义 Azure 单一登录策略。
如果组织没有标识基础结构,请先实现仅限 Microsoft Entra 的标识部署。 使用 Microsoft Entra 域服务和Microsoft 企业移动性 + 安全性部署为 SaaS 应用程序、企业应用程序和设备提供端到端保护。
Microsoft Entra 多重身份验证 提供另一层安全性和身份验证。 为了提高安全性,还应对所有特权帐户强制实施条件访问策略。
规划紧急访问或不受限帐户,用于防止租户范围帐户锁定。
使用 Microsoft Entra Privileged Identity Management 管理标识和访问。
按照以下指南将所有 Microsoft Entra 诊断日志发送到中心 Azure Monitor Log Analytics 工作区: 将 Microsoft Entra 日志与 Azure Monitor 日志集成
避免创建多个 Microsoft Entra 租户。 有关详细信息,请参阅企业级测试方法和云采用框架 Azure 最佳做法指南,用于标准化单个目录和标识。
使用 Azure Lighthouse 向第三方/合作伙伴授予对客户 Microsoft Entra 租户中的 Azure 资源的访问权限,并集中访问多租户 Microsoft Entra 体系结构中的 Azure 资源。