你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Entra 租户提供标识和访问管理,后者是安全态势的重要组成部分。 Microsoft Entra 租户可确保经过身份验证和获得授权的用户只能访问他们有权访问的资源。 Microsoft Entra ID 向 Azure 内外部署的应用程序和服务(例如本地或第三方云提供商)提供这些服务。
服务型软件 (SaaS) 应用程序(例如 Microsoft 365 和 Azure 市场)也使用 Microsoft Entra ID。 已使用本地 AD 的组织可以将它与其当前基础结构集成,并扩展云身份验证。 每个 Microsoft Entra 目录都有一个或多个域。 一个目录可以关联多个订阅,但只有一个 Microsoft Entra 租户。
在设计阶段询问基本安全问题,例如组织如何管理凭据以及如何控制人工、应用程序和编程访问。
提示
如果你有多个 Microsoft Entra 租户,请查看 Azure 登陆区域和多个 Microsoft Entra 租户及其相关内容。
设计注意事项:
Azure 订阅一次只能信任一个 Microsoft Entra 租户,可以在“关联”中找到 更多信息,或向 Microsoft Entra 租户添加 Azure 订阅
多个 Microsoft Entra 租户可以在同一注册中运行。 查看 Azure 登陆区域和多个 Microsoft Entra 租户
Azure Lighthouse 仅支持在订阅和资源组范围内进行委派。
根据
*.onmicrosoft.com的内容,为每个 Microsoft Entra 租户创建的 域名必须是全局唯一的*.onmicrosoft.com创建后,无法更改每个Microsoft Entra 租户的域名。
查看比较自管理Active Directory 域服务、Microsoft Entra ID 和托管Microsoft Entra 域服务,以充分了解所有选项之间的差异及其关联方式
了解 Microsoft Entra ID 提供的身份验证方法,作为Microsoft Entra 租户规划的一部分
如果使用 Azure 政府,请在为 Azure 政府应用程序规划标识中查看关于 Microsoft Entra 租户的指南
如果使用Azure 政府,Azure 中国世纪互联、Azure 德国(于 2021 年 10 月 29 日关闭),请查看国家/地区云,获取有关 Microsoft Entra ID 的进一步指导
设计建议:
根据 使用 Microsoft Entra 管理中心添加自定义域名的说明,将一个或多个自定义域添加到 Microsoft Entra 租户。
- 如果计划或使用 Microsoft Entra Connect,请查看 Microsoft Entra UserPrincipalName 填充,以确保自定义域名反映在你的本地 Active Directory 域服务环境中。
使用 Microsoft Entra Connect 根据受支持的 拓扑之一定义 Azure 单一登录策略。
如果你的组织没有标识基础结构,请先实现仅限 Microsoft Entra 的标识部署。 使用 Microsoft Entra 域服务和Microsoft 企业移动性 + 安全性进行部署可为 SaaS 应用程序、企业应用程序和设备提供端到端保护。
Microsoft Entra 多重身份验证提供了另一层安全和身份验证。 为了获得更多安全性,还对所有特权帐户强制实施 条件访问策略 。
规划紧急访问或不受限帐户,用于防止租户范围帐户锁定。
使用 Microsoft Entra Privileged Identity Management 管理标识和访问。
按照以下指南将所有Microsoft Entra 诊断日志发送到中心 Azure Monitor Log Analytics 工作区: 将 Microsoft Entra 日志与 Azure Monitor 日志集成
避免创建多个 Microsoft Entra 租户。 有关详细信息,请参阅 企业规模的测试方法。
使用 Azure Lighthouse 向第三方/合作伙伴授予对客户Microsoft Entra 租户中的 Azure 资源的访问权限,并集中访问多租户Microsoft Entra 体系结构中的 Azure 资源。