定義Microsoft Entra 租使用者

Microsoft Entra 租用戶提供身分識別與存取權管理，這是安全性態勢的重要部分。 Microsoft Entra 租用戶可確保已驗證和授權的使用者只能存取他們擁有許可權的資源。 Microsoft Entra ID 會將這些服務提供給部署在 Azure 內外的應用程式和服務（例如內部部署或第三方雲端提供者）。

軟體即服務 (SaaS) 應用程式 (例如 Microsoft 365 和 Azure Marketplace) 也會使用 Microsoft Entra ID。 已使用內部部署 AD 的組織可以將它與其目前的基礎結構整合，並擴充雲端驗證。 每個 Microsoft Entra 目錄都有一或多個網域。 一個目錄可以有多個與其相關聯的訂用帳戶，但只能有一個 Microsoft Entra 租用戶。

在設計階段詢問基本安全性問題，例如貴組織如何管理認證，以及如何控制人類、應用程式和程式設計存取。

提示

如果您有多個Microsoft Entra 租使用者，請檢閱 Azure 登陸區域和多個Microsoft Entra 租使用者 及其相關聯的內容。

設計考量：

• Azure 訂用帳戶一次只能信任一個Microsoft Entra 租使用者，您可以在關聯或將 Azure 訂用帳戶新增至您的 Microsoft Entra 租使用者中找到 進一步的資訊

• 相同的註冊中可以有多個 Microsoft Entra 租用戶運作。 檢閱 Azure 登陸區域和多個Microsoft Entra 租使用者

• Azure Lighthouse 僅支持訂用帳戶和資源群組範圍的委派。

• *.onmicrosoft.com針對每個Microsoft Entra 租使用者建立的功能變數名稱，必須根據Microsoft Entra標識符的術語一節，全域是唯一的？

  • *.onmicrosoft.com一旦建立之後，就無法變更每個Microsoft Entra 租使用者的功能變數名稱。

• 檢閱比較自我管理 Active Directory 網域服務、Microsoft Entra 標識碼，以及受控Microsoft Entra Domain Services，以充分瞭解所有選項之間的差異及其關聯方式

• 探索 Microsoft Entra ID 所提供的驗證方法，作為您Microsoft Entra 租使用者規劃的一部分

• 如果使用 Azure Government，請檢閱規劃 Azure Government 應用程式身分識別中Microsoft Entra 租使用者的指引

• 如果使用 Azure Government、Azure China 21Vianet、Azure 德國（於 2021 年 10 月 29 日關閉），請檢閱 國家/地區雲端 ，以取得Microsoft Entra 標識符的進一步指引

設計建議：

• 根據 使用 Microsoft Entra 系統管理中心新增自定義功能變數名稱，將一或多個自定義網域新增至您的Microsoft Entra 租使用者

  • 如果您打算或使用 Microsoft Entra Connect，請檢閱 entra UserPrincipalName 母體擴展Microsoft，以確保自定義功能變數名稱會反映在您的 內部部署的 Active Directory Domain Services 環境中。

• 使用 Microsoft Entra Connect，根據其中一個支援的 拓撲，定義您的 Azure 單一登錄策略。

• 如果您的組織沒有身分識別基礎結構，請從實作僅限 Microsoft Entra 的身分識別部署開始。 使用 Microsoft Entra Domain Services 和 Microsoft Enterprise Mobility + Security 進行部署，可為 SaaS 應用程式、企業應用程式和裝置提供端對端保護。

• Microsoft Entra 多重要素驗證 提供另一層安全性和驗證。 如需更多安全性，也針對所有特殊許可權帳戶強制執行 條件式存取 原則。

• 規劃緊急存取或中斷帳戶，以防止全租用戶帳戶鎖定。

• 使用 Microsoft Entra Privileged Identity Management 來管理身分識別和存取權。

• 遵循這裡的指引，將所有Microsoft Entra 診斷記錄傳送至中央 Azure 監視器 Log Analytics 工作區： 整合 Microsoft Entra 記錄與 Azure 監視器記錄

• 避免建立多個Microsoft Entra 租使用者。 如需詳細資訊，請參閱 企業級的測試方法。

• 使用 Azure Lighthouse 將客戶Microsoft Entra 租使用者中的 Azure 資源存取權授與第三方/合作夥伴，並集中存取多租使用者Microsoft Entra 架構中的 Azure 資源。