Microsoft Entra-tenants definiëren

Een Microsoft Entra-tenant biedt identiteits- en toegangsbeheer. Dit is een belangrijk onderdeel van uw beveiligingspostuur. Een Microsoft Entra-tenant zorgt ervoor dat geverifieerde en geautoriseerde gebruikers alleen toegang hebben tot de resources waarvoor ze machtigingen hebben. Microsoft Entra ID biedt deze services aan toepassingen en services die zijn geïmplementeerd in en buiten Azure (zoals on-premises of cloudproviders van derden).

Microsoft Entra ID wordt ook gebruikt door SaaS-toepassingen (Software as a Service), zoals Microsoft 365 en Azure Marketplace. Organisaties die al gebruikmaken van on-premises AD, kunnen deze integreren met hun huidige infrastructuur en cloudverificatie uitbreiden. Elke Microsoft Entra-directory heeft een of meer domeinen. Aan een map kunnen veel abonnementen zijn gekoppeld, maar slechts één Microsoft Entra-tenant.

Stel basisbeveiligingsvragen tijdens de ontwerpfase, zoals hoe uw organisatie referenties beheert en hoe deze de toegang beheert voor mensen, toepassingen en programmatische toegang.

Fooi

Als u meerdere Microsoft Entra-tenants hebt, bekijkt u Azure-landingszones en meerdere Microsoft Entra-tenants en de bijbehorende inhoud.

Ontwerpoverwegingen:

• Een Azure-abonnement kan slechts één Microsoft Entra-tenant tegelijk vertrouwen. Meer informatie vindt u in Koppelen of een Azure-abonnement toevoegen aan uw Microsoft Entra-tenant

• Meerdere Microsoft Entra-tenants kunnen in dezelfde inschrijving werken. Azure-landingszones en meerdere Microsoft Entra-tenants bekijken

• Azure Lighthouse biedt alleen ondersteuning voor delegering in het abonnements- en resourcegroepbereik.

• De *.onmicrosoft.com domeinnaam die voor elke Microsoft Entra-tenant is gemaakt, moet wereldwijd uniek zijn volgens de terminologiesectie in wat is Microsoft Entra ID?

  • De *.onmicrosoft.com domeinnaam voor elke Microsoft Entra-tenant kan niet worden gewijzigd nadat deze is gemaakt.

• Bekijk Zelfbeheerde Active Directory-domein Services, Microsoft Entra ID en beheerde Microsoft Entra Domain Services om volledig inzicht te hebben in de verschillen tussen alle opties en hoe deze zich verhouden

• Verken de verificatiemethoden die worden aangeboden door Microsoft Entra ID als onderdeel van uw Microsoft Entra-tenantplanning

• Als u Azure Government gebruikt, raadpleegt u de richtlijnen voor Microsoft Entra-tenants in de planningsidentiteit voor Azure Government-toepassingen

• Als u Azure Government, Azure China 21Vianet, Azure Duitsland (gesloten op 29 oktober 2021) gebruikt, bekijkt u nationale/regionale clouds voor verdere richtlijnen over Microsoft Entra ID

Ontwerpaanvelingen:

• Voeg een of meer aangepaste domeinen toe aan uw Microsoft Entra-tenant op basis van uw aangepaste domeinnaam toevoegen met behulp van het Microsoft Entra-beheercentrum

  • Controleer de populatie van Microsoft Entra UserPrincipalName als u Microsoft Entra Verbinding maken wilt gebruiken om ervoor te zorgen dat aangepaste domeinnamen worden weergegeven in uw on-premises Active Directory-domein Services-omgeving.

• Definieer uw strategie voor eenmalige aanmelding van Azure, met behulp van Microsoft Entra Verbinding maken, op basis van een van de ondersteunde topologieën.

• Als uw organisatie geen identiteitsinfrastructuur heeft, begint u met het implementeren van een identiteitsimplementatie van Microsoft Entra. Implementatie met Microsoft Entra Domain Services en Microsoft Enterprise Mobility + Security biedt end-to-end-beveiliging voor SaaS-toepassingen, bedrijfstoepassingen en apparaten.

• Microsoft Entra meervoudige verificatie biedt een andere beveiligingslaag en verificatie. Voor meer beveiliging dwingt u ook beleid voor voorwaardelijke toegang af voor alle bevoegde accounts.

• Plan voor noodtoegang of break-glass-accounts om accountvergrendeling voor de hele tenant te voorkomen.

• Gebruik Microsoft Entra Privileged Identity Management om identiteiten en toegang te beheren.

• Verzend alle diagnostische logboeken van Microsoft Entra naar een centrale Azure Monitor Log Analytics-werkruimte volgens de richtlijnen: Microsoft Entra-logboeken integreren met Azure Monitor-logboeken

• Vermijd het maken van meerdere Microsoft Entra-tenants. Zie Testbenadering voor best practices van Cloud Adoption Framework en Cloud Adoption Framework voor het standaardiseren van één directory en identiteit voor meer informatie.

• Gebruik Azure Lighthouse om derden/partners toegang te verlenen tot Azure-resources in de Microsoft Entra-tenants van de klant en gecentraliseerde toegang tot Azure-resources in multitenant Microsoft Entra-architecturen.