Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il tenant di Microsoft Entra offre la gestione delle identità e degli accessi, che costituisce una parte importante del comportamento di sicurezza. Un tenant di Microsoft Entra garantisce che gli utenti autenticati e autorizzati accevano solo alle risorse a cui dispongono delle autorizzazioni. Microsoft Entra ID fornisce questi servizi alle applicazioni e ai servizi distribuiti in e all'esterno di Azure ,ad esempio provider di servizi cloud locali o di terze parti.
Microsoft Entra ID viene utilizzato anche da applicazioni software come servizio (SaaS) come Microsoft 365 e Azure Marketplace. Le organizzazioni che usano già Active Directory locale possono integrarla con l'infrastruttura corrente ed estendere l'autenticazione cloud. Ogni directory Microsoft Entra ha uno o più domini. A una directory possono essere associate numerose sottoscrizioni, ma solo un tenant di Microsoft Entra.
Porre domande di sicurezza di base durante la fase di progettazione, ad esempio il modo in cui l'organizzazione gestisce le credenziali e il modo in cui controlla l'accesso umano, applicazione e a livello di codice.
Suggerimento
Se hai più tenant di Microsoft Entra, esamina le zone di destinazione di Azure e i diversi tenant di Microsoft Entra e il relativo contenuto associato.
Considerazioni sulla progettazione:
Una sottoscrizione di Azure può considerare attendibile un solo tenant di Microsoft Entra alla volta, altre informazioni sono disponibili in Associare o aggiungere una sottoscrizione di Azure al tenant di Microsoft Entra
Possono essere operativi più tenant di Microsoft Entra nella stessa registrazione. Esaminare le zone di atterraggio di Azure e molteplici tenant di Microsoft Entra
Azure Lighthouse supporta solo la delega negli ambiti dell'abbonamento e del gruppo di risorse.
Il
*.onmicrosoft.comnome di dominio creato per ogni tenant di Microsoft Entra deve essere globalmente univoco in base alla sezione terminologia in che cos'è Microsoft Entra ID?- Il
*.onmicrosoft.comnome di dominio per ogni tenant di Microsoft Entra non può essere modificato dopo la creazione.
- Il
Esamina i servizi di Active Directory Domain Services autogestiti, Microsoft Entra ID e i servizi di dominio Microsoft Entra gestiti per comprendere appieno le differenze tra tutte le opzioni e come si relazionano tra loro.
Esplorare i metodi di autenticazione offerti da Microsoft Entra ID come parte della pianificazione del tenant di Microsoft Entra
Se si usa Azure per enti pubblici esaminare le linee guida relative ai tenant di Microsoft Entra in Pianificazione dell'identità per le applicazioni Azure per enti pubblici
Se si usa Azure per enti pubblici, Azure China 21Vianet, Azure Germania (chiuso il 29 ottobre 2021), vedere Cloud nazionali/regionali per altre indicazioni su Microsoft Entra ID
Raccomandazioni sulla progettazione:
Aggiungi uno o più domini personalizzati al tenant di Microsoft Entra secondo Aggiungi il tuo nome di dominio personalizzato utilizzando l'interfaccia di amministrazione di Microsoft Entra
- Esaminare il popolamento di Microsoft Entra UserPrincipalName se si prevede o si usa Microsoft Entra Connect per assicurarsi che i nomi di dominio personalizzati siano riflessi nell'ambiente dei servizi di dominio Active Directory locale.
Definire la strategia di Single Sign-On di Azure usando Microsoft Entra Connect, in base a una delle topologie supportate.
Se l'organizzazione non ha un'infrastruttura di identità, inizia implementando una distribuzione di identità esclusivamente di Microsoft Entra. La distribuzione con Microsoft Entra Domain Services e Microsoft Enterprise Mobility + Security offre protezione end-to-end per applicazioni SaaS, applicazioni aziendali e dispositivi.
L'autenticazione a più fattori Microsoft Entra offre un altro livello di sicurezza e autenticazione. Per maggiore sicurezza, applicare anche i criteri di accesso condizionale per tutti gli account con privilegi.
Pianificare account di emergenza o account "break-glass" per prevenire il blocco degli account sull'intero tenant.
Usare Microsoft Entra Privileged Identity Management per gestire identità e accesso.
Inviare tutti i log di diagnostica di Microsoft Entra a un'area di lavoro Log Analytics di Monitoraggio di Azure centrale seguendo le indicazioni riportate qui: Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure
Evitare di creare più tenant di Microsoft Entra. Per altre informazioni, vedere Approccio di test per la scalabilità aziendale.
Usare Azure Lighthouse per concedere a terze parti/partner l'accesso alle risorse di Azure nei tenant Microsoft Entra dei clienti e l'accesso centralizzato alle risorse di Azure nelle architetture Microsoft Entra multi-tenant.