Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ein Microsoft Entra-Mandant bietet Identitäts- und Zugriffsverwaltung, die ein wichtiger Bestandteil Ihres Sicherheitsstatus ist. Ein Microsoft Entra-Mandant stellt sicher, dass authentifizierte und autorisierte Benutzer*innen nur auf die Ressourcen zugreifen, für die sie über Berechtigungen verfügen. Microsoft Entra ID bietet diese Dienste sowohl für innerhalb als auch außerhalb von Azure bereitgestellte Anwendungen und Dienste (z. B. lokal oder in Clouds von Drittanbietern).
Microsoft Entra ID wird auch von SaaS-Anwendungen (Software-as-a-Service) wie Microsoft 365 und Azure Marketplace verwendet. Organisationen, die AD bereits lokal nutzen, können es in ihre aktuelle Infrastruktur integrieren und die Cloudauthentifizierung erweitern. Jedes Microsoft Entra-Verzeichnis verfügt über mindestens eine Domäne. Einem Verzeichnis können viele Abonnements, aber nur ein Microsoft Entra-Mandant zugeordnet sein.
Während der Entwurfsphase sind grundlegende Sicherheitsfragen zu beantworten, z. B. wie Ihre Organisation Anmeldeinformationen verwaltet und wie der Benutzerzugriff, Anwendungszugriff und programmgesteuerte Zugriff gesteuert werden.
Tipp
Wenn Sie über mehrere Microsoft Entra-Mandanten verfügen, lesen Sie Azure-Zielzonen und mehrere Microsoft Entra-Mandanten und die zugehörigen Inhalte.
Entwurfsüberlegungen:
Ein Azure-Abonnement kann jeweils nur einem Microsoft Entra-Mandanten vertrauen, weitere Informationen finden Sie unter Associate oder Hinzufügen eines Azure-Abonnements zu Ihrem Microsoft Entra-Mandanten.
Mehrere Microsoft Entra-Mandanten können in derselben Registrierung aktiv sein. Weitere Informationen finden Sie unter Azure-Zielzonen und mehrere Microsoft Entra-Mandanten.
Azure Lighthouse unterstützt nur die Delegierung auf Abonnement- und Ressourcengruppenebene.
Der für jeden Microsoft Entra-Mandanten erstellte
*.onmicrosoft.comDomänenname muss global eindeutig sein, wie im Terminologieabschnitt 'Was ist Microsoft Entra ID?' beschrieben.- Der
*.onmicrosoft.com-Domänenname für jeden Microsoft Entra-Mandanten kann nach der Erstellung nicht mehr geändert werden.
- Der
Überprüfen Sie den Vergleich der selbstverwalteten Active Directory-Domänendienste, der Microsoft Entra-ID und der verwalteten Microsoft Entra Domain Services, um die Unterschiede zwischen allen Optionen und deren Beziehung vollständig zu verstehen.
Machen Sie sich mit den Authentifizierungsmethoden von Microsoft Entra ID vertraut, die im Rahmen der Planung Ihrer Microsoft Entra-Mandanten angeboten werden.
Wenn Sie Azure Government verwenden, lesen Sie die Anleitung zu Microsoft Entra-Mandanten unter Planen der Identität für Azure Government-Anwendungen.
Wenn Sie Azure Government, Azure China 21Vianet, Azure Deutschland (geschlossen am 29. Oktober 2021) verwenden, überprüfen Sie national/regional Clouds , um weitere Anleitungen zu Microsoft Entra ID zu erhalten.
Designempfehlungen:
Fügen Sie eine oder mehrere benutzerdefinierte Domänen zu Ihrem Microsoft Entra-Mandanten hinzu, wie in Hinzufügen Ihres benutzerdefinierten Domainnamens mit dem Microsoft Entra Admin Center beschrieben.
- Überprüfen Sie die Microsoft Entra UserPrincipalName-Population , wenn Sie Microsoft Entra Connect planen oder verwenden, um sicherzustellen, dass benutzerdefinierte Domänennamen in Ihrer lokalen Active Directory Domain Services-Umgebung widergespiegelt werden.
Definieren Sie Ihre Azure Single Sign-On-Strategie mithilfe von Microsoft Entra Connect basierend auf einer der unterstützten Topologien.
Verfügt Ihre Organisation über keine Identitätsinfrastruktur, implementieren Sie zunächst eine auf Microsoft Entra beschränkte Identitätsbereitstellung. Die Bereitstellung mit Microsoft Entra Domain Services und Microsoft Enterprise Mobility + Security bietet End-to-End-Schutz für SaaS-Anwendungen, Unternehmensanwendungen und Geräte.
Die mehrstufige Microsoft Entra-Authentifizierung bietet eine weitere Sicherheits- und Authentifizierungsebene. Um mehr Sicherheit zu gewährleisten, erzwingen Sie auch Richtlinien für bedingten Zugriff für alle privilegierten Konten.
Planen Sie Notfallzugriffskonten, um eine mandantenweite Kontosperrung zu vermeiden.
Verwenden Sie Microsoft Entra Privileged Identity Management , um Identitäten und Zugriff zu verwalten.
Senden Sie alle Microsoft Entra-Diagnoseprotokolle an einen zentralen Azure Monitor Log Analytics-Arbeitsbereich, und folgen Sie den hier aufgeführten Anleitungen: Integrieren von Microsoft Entra-Protokollen in Azure Monitor-Protokolle
Vermeiden Sie das Erstellen mehrerer Microsoft Entra-Mandanten. Weitere Informationen finden Sie unter Testansatz für den Unternehmensmaßstab.
Verwenden Sie Azure Lighthouse , um Drittanbietern/Partnern Zugriff auf Azure-Ressourcen in Microsoft Entra-Mandanten des Kunden und zentralisierten Zugriff auf Azure-Ressourcen in mehrinstanzenfähigen Microsoft Entra-Architekturen zu gewähren.