你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

管理防御组织的多租户操作

本文定义多租户防御组织应如何跨 Microsoft Entra 租户管理操作以满足零信任要求。 它涵盖应用程序管理、标识治理和安全操作。 主租户和辅助Microsoft Entra 租户管理员在每个区域中都有不同的责任。 主要租户和辅助租户必须协调应用程序载入、权利管理和威胁检测和响应（见图 1）。 有关详细信息，请参阅 标识租户类型。

图 1.多租户防御组织的租户共同责任

应用程序管理

主Microsoft Entra 租户和辅助Microsoft Entra 租户（s）共享应用程序管理职责。 主租户负责完成企业应用管理和应用注册等Microsoft Entra 任务。 辅助租户负责 Azure 平台操作，例如性能监视、资源配置、缩放和管理 DevSecOps 管道。

主租户应用程序管理

应载入需要以主租户中的企业应用程序身份登录用户的所有新式应用程序。

应向主租户注册在辅助租户订阅中运行的 Azure 应用程序。 主租户是用户和许可证所在的位置。 在主租户中注册应用程序允许用户使用用于 Microsoft 365 的相同标识登录。 此配置提供最无缝的体验，允许对所有应用程序访问应用相同的零信任策略基线。

应用程序基础结构（虚拟机、数据库、Web 应用）的位置不会影响可用于用户登录的租户。 管理主租户的团队负责应用注册和企业应用程序。 他们还负责将条件访问策略应用到主租户和任何辅助租户中托管的应用程序。

应用注册。 注册组织用于主租户的 Web 应用程序和 API。 应用注册在 Microsoft Entra ID 中创建 应用程序对象 。 应用程序对象表示应用程序定义。 应用程序定义包括应用程序清单、令牌声明配置、应用角色定义和客户端机密。 主要租户应用注册涉及的活动包括：

• 在 Microsoft entra ID 中委派应用注册权限
• 管理应用程序开发人员Microsoft Entra 角色的分配
• 为应用注册创建和分配自定义角色
• 为应用程序和 API 创建应用注册
• 公开 Web API 并将范围添加到已注册的应用
• 为已注册的应用程序创建和管理应用角色
• 定义应用程序的 API 权限

企业应用程序。 企业应用程序是 目录中应用程序的不同实例的服务主体 。 在Azure 门户中创建应用注册时，企业应用程序会自动创建并从应用程序对象继承某些属性。 在主租户中管理企业应用程序所涉及的活动包括：

• 从 Microsoft Entra 库 创建企业应用程序并部署非库 SAML 应用
• 通过 分配所有者委托企业应用程序管理
• 管理企业应用程序我的应用中的名称、徽标和可见性
• 分配用户和组 以访问企业应用程序
• 管理 SAML 应用的签名证书
• 授予 API 权限的许可
• 为本地应用程序部署和管理 Microsoft Entra 应用程序代理

条件访问策略。 条件访问策略强制实施零信任策略来访问受Microsoft Entra ID 保护的资源。 在主租户中注册应用程序时，主租户管理员 控制在用户登录期间应用 的策略。

辅助租户应用程序管理

辅助租户托管 Azure 中工作负载的基础结构和平台资源。 管理任何辅助租户的团队负责性能监视、资源配置、缩放和管理 DevSecOps 管道。

性能监视。 Azure 包含多个用于监视托管应用程序性能的工具，包括 Azure Monitor 和 Application Insights。 辅助租户管理员应设置监视，以收集链接到其辅助租户的订阅中的应用程序工作负荷的性能指标。

应用程序基础结构。 Azure 环境中的管理员必须管理运行应用程序的基础结构。 基础结构包括网络、平台服务和虚拟机。 此要求适用于在Azure Kubernetes 服务、App 服务或虚拟机上运行的应用程序。

应用程序所有者应使用 Defender for Cloud 来管理环境的安全状况，并查看已部署资源的警报和建议。 他们应使用 Azure Policy 计划来满足 合规性要求。

将 Defender for Cloud 连接到 Microsoft Sentinel 允许安全运营中心 （SOC） 更好地保护云应用程序。 SOC 仍可维护其标准安全工作流和自动化过程。 将 Defender 连接到 Sentinel 可提供关联整个企业的事件的可见性。 它可以监视云和 本地。 若要监视本地组件，需要使用 （1） Azure Arc 或 （2） 通过 API、Azure Monitor 代理或 Syslog 转发器对其进行管理。

DevSecOps 管道。 在 Azure 中托管应用程序时， DevSecOps 管道会将基础结构资源和应用程序代码部署到 Azure。 辅助租户管理员负责管理服务主体自动执行代码部署。 Microsoft Entra 工作负荷 ID 高级版有助于保护服务主体。 Microsoft Entra 工作负荷 ID 还会评审现有访问权限，并根据服务主体风险提供额外的保护。

标识治理

多租户防御组织需要控制对主Microsoft Entra 租户中的应用程序的访问，并在 Azure 环境中的辅助租户中管理外部来宾标识。

主租户标识治理

在主租户中注册应用程序时，主租户将控制应用程序访问。 管理主租户的团队配置权利管理并执行访问评审以审核现有访问。 他们还在主租户中管理外部标识和特权标识管理。

权利管理。 Microsoft Entra ID 权利管理 通过将权利捆绑到可分配的访问包，帮助控制对 Microsoft Entra 应用程序、组、SharePoint 网站和 Teams 的访问。 主租户管理员管理用于应用程序治理的 Microsoft Entra 对象。 主要租户中权利管理涉及的活动包括（见图 2）：

• 创建Microsoft用于分配应用程序角色的 Entra 安全组
• 委派应用程序分配的组所有权
• 配置权利管理 目录 和 访问包
• 在权利管理中委派角色
• 自动执行标识治理任务
• 为访问包和Microsoft Entra 安全组创建访问评审

图 2.应用程序分配的权利管理，使用 contoso.com 作为示例域名。

应使用权利管理访问包设置应用程序治理，并遵循此过程（请参阅图 2）：

1. 主租户应用程序管理员必须与开发人员协调，为部署在辅助租户中的 Web 应用创建新的应用注册。
2. 标识治理管理员 需要创建 访问包。 管理员将应用程序添加为权利，并允许用户请求包。 管理员在访问评审之前设置访问的最大持续时间。 （可选）权利管理管理员可以 委托 其他人管理访问包的权限。
3. 用户 请求 访问包。 它们必须包括访问请求的持续时间以及帮助审批者做出决策的理由。 他们最多可以请求管理员设置的最大持续时间。
4. 访问包审批者 批准请求。
5. 该包在请求的持续时间内为辅助租户中的应用程序分配用户访问权限。
6. 用户使用其主租户标识登录，以访问链接到辅助租户的订阅中托管的应用程序。

外部标识。Microsoft Entra 外部 ID支持与组织外部的用户进行安全交互。 主租户管理员对在主租户中注册的应用程序承担多个配置责任。 他们必须与合作伙伴组织配置外部（B2B）协作和跨租户访问策略。 他们还必须为来宾用户及其访问权限配置任何生命周期工作流。 在主租户中管理外部标识所涉及的活动包括：

• 管理组织外部用户的访问权限
• 管理合作伙伴组织的 B2B 协作设置和跨租户访问策略
• 配置Microsoft Entra ID 治理以查看和删除不再具有资源访问权限的外部用户

Privileged Identity Management。Microsoft Entra Privileged Identity Management （PIM）支持对 Microsoft Entra 角色、Azure 角色和 Microsoft Entra 安全组进行实时管理。 主租户管理员负责在主租户中配置和管理 Microsoft Entra PIM。

辅助租户标识治理

应使用主租户标识来管理辅助租户。 此管理模型减少了需要维护的单独帐户和凭据管理员的数量。 在辅助租户中配置标识治理功能可以进一步简化管理。 可以使用自助服务模型从主租户载入外部用户（B2B 来宾）。

管理辅助租户的团队在其辅助租户中具有多个职责。 配置权利管理。 他们进行访问评审以审核现有访问。 它们管理外部标识并配置特权标识管理。

权利管理。 需要为 Azure 管理配置外部用户治理。 应从主租户载入外部标识（B2B 来宾），以使用最终用户启动的方案使用 权利管理 来管理 Azure 资源（请参阅图 3）。

图 3.外部（B2B）来宾访问权限的权利管理，使用 contoso.com 作为示例域名。

应使用权利管理访问包设置外部（B2B）来宾访问，并遵循此过程（请参阅图 3）：

1. 辅助租户中的管理员将主租户添加为 连接的组织 ，并为 主要租户用户创建访问包 以请求。
2. 主租户用户请求辅助租户中的访问包。
3. （可选）审批者完成请求。
4. 为辅助租户中的用户创建外部来宾对象。
5. 为访问包分配了授予 Azure 角色资格。
6. 用户使用其外部标识管理 Azure 资源。

有关详细信息，请参阅 权利管理中外部用户的管理访问权限。

外部标识。 Microsoft Entra 外部 ID使主租户中的用户能够与辅助租户中的资源进行交互。 图 3 中概述的过程使用来自主租户的外部标识来管理附加到辅助租户的 Azure 订阅。 在辅助租户中管理外部标识所涉及的活动包括：

• 管理主租户和其他合作伙伴组织的 B2B 协作设置和跨租户访问策略（XTAP）
• 使用标识治理查看和删除不再具有资源访问权限的外部用户

Privileged Identity Management。Microsoft Entra PIM 为 Microsoft Entra 角色、Azure 角色和特权安全组启用实时管理。 辅助租户管理员负责配置和管理用于管理辅助Microsoft Entra 租户和 Azure 环境的管理角色Microsoft Entra PIM。

安全操作

防御组织的安全运营团队必须保护、检测和响应跨本地、混合和多云环境的威胁。 他们需要保护用户、控制敏感数据、调查用户设备和服务器上的威胁。 它们还需要修正云和本地资源的不安全配置。 多租户防御组织中的安全操作员通常从主租户运行，但可能会针对某些操作在租户之间切换。

主租户安全操作

主租户中的安全操作员需要监视和管理主租户中Microsoft 365 的警报。 这项工作涉及管理 Microsoft Sentinel 和 Microsoft Defender XDR 服务，例如 Microsoft Defender for Endpoint （MDE）。

Sentinel 和 Microsoft 365。 将 Microsoft Sentinel 实例部署到附加到主租户的订阅。 应为此 Sentinel 实例配置数据连接器。 数据连接器允许 Sentinel 实例从各种源引入安全日志。 这些源包括 Office 365、Microsoft Defender XDR、Microsoft Entra ID、Entra Identity Protection 和其他主租户中的工作负荷。 监视Microsoft 365 事件和警报的安全操作员应使用主租户。 在主租户中管理 sentinel Microsoft 365 所涉及的活动包括：

• 在主租户中监视和修正有风险的用户和服务主体
• 为 Microsoft 365 和其他可用的主租户数据源配置 数据连接器 以Microsoft Sentinel
• 在 Microsoft 365 环境中生成工作簿、笔记本、分析规则和安全业务流程和安全响应（SOAR）

Microsoft Defender XDR。 在主租户中管理 Microsoft Defender XDR。 主租户是使用 Microsoft 365 服务的位置。 Microsoft Defender XDR 可帮助你监视警报，并修正针对用户、设备和服务主体的攻击。 活动包括管理 Microsoft Defender XDR 的组件。 这些组件包括 Defender for Endpoint、Defender for Identity、Defender for Cloud Apps、Defender for Office。

Microsoft Defender for Endpoint （MDE） 响应（工作站）。 需要将最终用户工作站加入主租户，并使用 Microsoft Intune 来管理它们。 安全操作员需要使用 MDE 来响应检测到的攻击。 响应可以是隔离工作站，也可以收集调查包。 针对用户设备的 Defender for Endpoint 响应 操作发生在主租户 MDE 服务中。 在主租户中管理 MDE 响应所涉及的活动包括管理 设备组 和 角色。

辅助租户安全操作

本部分介绍如何监视和保护辅助租户中订阅中的 Azure 资源。 需要 Defender for Cloud、Microsoft Sentinel 和 Microsoft Defender for Endpoint （MDE）。 需要使用 Azure Lighthouse 和 外部标识 将权限分配给主租户中的安全操作员。 此设置允许安全操作员使用一个帐户和 特权访问设备 来管理租户之间的安全性。

Sentinel （云，本地）。 需要分配权限并将 Sentinel 配置为从链接到辅助租户的订阅中部署的 Azure 资源引入安全信号。

分配权限。 若要使主租户中的安全操作员能够使用 Microsoft Sentinel，必须使用 Azure 资源管理器 角色分配权限。 可以使用 Azure Lighthouse 将这些角色分配给主租户中的用户和安全组。 此配置允许安全操作员在不同的租户中跨 Sentinel 工作区运行。 如果没有 Lighthouse，安全操作员将需要来宾帐户或单独的凭据来管理辅助租户中的 Sentinel。

配置 Sentinel。 应在辅助租户中配置 Microsoft Sentinel，以便从多个源引入安全日志。 这些源包括辅助租户中的 Azure 资源、本地服务器以及辅助租户中拥有和管理的网络设备中的日志。 在辅助租户中管理 Sentinel 和本地所涉及的活动包括：

• 分配 Sentinel 角色 并配置 Azure Lighthouse 以授予对主要租户安全操作员的访问权限
• 为 Azure 资源管理器、Defender for Cloud 和其他可用的辅助租户数据源配置数据连接器，以Microsoft Sentinel
• 在辅助租户 Azure 环境中生成工作簿、笔记本、分析规则和安全业务流程和安全响应（SOAR）

Microsoft Defender for Cloud。 Defender for Cloud 为 Azure、本地或其他云提供商中的资源提供安全建议和警报。 需要分配权限来配置和管理 Defender for Cloud。

分配权限。 需要向主租户中的安全操作员分配权限。 与 Sentinel 一样，Defender for Cloud 也使用 Azure 角色。 可以使用 Azure Lighthouse 将 Azure 角色分配给主要租户安全操作员。 此配置允许主租户中的安全操作员查看 Defender for Cloud 的建议和警报，而无需切换目录或使用辅助租户中的单独帐户登录。

配置 Defender for Cloud。 需要启用 Defender for Cloud 并 管理建议和警报。 为链接到辅助租户的订阅中的资源启用 增强的工作负荷保护 。

Microsoft Defender for Endpoint （MDE） 响应（服务器）。Defender for Servers 是包含 MDE 的服务器的 Defender for Cloud 增强保护。

分配权限。 在辅助租户中启用 Defender for Server 计划时， MDE 扩展 会自动部署到 VM。 此 MDE 扩展将服务器加入辅助租户的 MDE 服务。

MDE 使用 Microsoft Defender 门户 和 权限模型。 必须使用外部标识（B2B 来宾）向主租户中的安全操作员授予对 MDE 的访问权限。 将 MDE 角色分配给Microsoft Entra 安全组，并将来宾添加为组成员，以便他们可以 在服务器上执行响应操作 。

配置 MDE。 需要在辅助租户的 Microsoft Defender for Endpoint 中配置和管理 设备组 和 角色 。

下一步

集中式安全操作

相关链接

• 标识概要
• 零信任配置
• 管理多租户操作