Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Клиент Microsoft Entra предоставляет управление удостоверениями и доступом, что является важной частью вашей системы безопасности. Клиент Microsoft Entra гарантирует, что прошедшие проверку подлинности и авторизованные пользователи получают доступ только к ресурсам, к которым у них есть разрешения. Идентификатор Microsoft Entra предоставляет эти службы для приложений и служб, развернутых в Azure и за ее пределами (например, локальных или сторонних поставщиков облачных служб).
Идентификатор Microsoft Entra также используется программным обеспечением как услуга (SaaS), такими как Microsoft 365 и Azure Marketplace. Организации, уже использующие локальную службу AD, могут интегрировать ее с текущей инфраструктурой и расширить облачную проверку подлинности. Каждый каталог Microsoft Entra имеет один или несколько доменов. Каталог может иметь множество подписок, связанных с ним, но только один клиент Microsoft Entra.
Задайте основные вопросы безопасности на этапе разработки, такие как управление учетными данными вашей организации и управление доступом к пользователям, приложениям и программному доступу.
Совет
Если у вас несколько арендаторов Microsoft Entra, просмотрите посадочные зоны Azure и нескольких арендаторов Microsoft Entra и связанное с ними содержимое.
Рекомендации по проектированию.
Подписка Azure может доверять только одному клиенту Microsoft Entra одновременно. Дополнительную информацию можно найти на странице “Связать или добавить подписку Azure к клиенту Microsoft Entra”.
Несколько клиентов Microsoft Entra могут работать в одной учётной записи. Просмотр зон приземления Azure и нескольких арендаторов Microsoft Entra
Azure Lighthouse поддерживает делегирование только на уровне группы ресурсов и подписки.
Доменное
*.onmicrosoft.comимя, созданное для каждого клиента Microsoft Entra, должно быть глобально уникальным в соответствии с разделом терминологии в том, что такое идентификатор Microsoft Entra?- Имя
*.onmicrosoft.comдомена для каждого клиента Microsoft Entra невозможно изменить после создания.
- Имя
Ознакомьтесь с сравнением самостоятельно управляемых служб домена Active Directory, Microsoft Entra ID и управляемыми доменными службами Microsoft Entra, чтобы полностью понять различия между всеми параметрами и как они связаны.
Исследуйте методы проверки подлинности, предлагаемые Microsoft Entra ID в рамках планирования вашего тенанта Microsoft Entra
При использовании Azure Government ознакомьтесь с рекомендациями по клиентам Microsoft Entra в планировании управления идентификацией для приложений Azure Government
Если используется Azure для государственных организаций, Azure China 21Vianet, Azure Germany (закрыто 29 октября 2021 г.), ознакомьтесь с национальными и региональными облаками для получения дополнительных рекомендаций по идентификатору Microsoft Entra ID
Рекомендации по проектированию.
Добавьте один или несколько пользовательских доменов в клиент Microsoft Entra, как указано в разделе Добавление имени вашего домена с помощью Центра администрирования Microsoft Entra
- Проверьте заполнение UserPrincipalName в Microsoft Entra, если вы планируете использовать или уже используете Microsoft Entra Connect, чтобы убедиться, что имена пользовательских доменов отражаются в вашей локальной службе доменных служб Active Directory.
Определите стратегию единого входа Azure с помощью Microsoft Entra Connect на основе одной из поддерживаемых топологий.
Если в вашей организации нет инфраструктуры идентификации, начните с развертывания системы управления идентификацией, предназначенной только для Microsoft Entra. Развертывание с помощью доменных служб Microsoft Entra и Microsoft Enterprise Mobility + Security обеспечивает сквозную защиту приложений SaaS, корпоративных приложений и устройств.
Многофакторная проверка подлинности Microsoft Entra обеспечивает еще один уровень безопасности и проверки подлинности. Для повышения безопасности также применяются политики условного доступа для всех привилегированных учетных записей.
При составлении плана не забудьте об учетных записях для аварийного доступа или взлома, чтобы предотвратить блокировку всех учетных записей арендатора.
Используйте Microsoft Entra управление привилегированными пользователями для управления удостоверениями и доступом.
Отправьте все журналы диагностики Microsoft Entra в центральную рабочую область Azure Monitor Log Analytics, следуя инструкциям ниже. Интеграция журналов Microsoft Entra с журналами Azure Monitor
Избегайте создания нескольких клиентов Microsoft Entra. Дополнительные сведения см. в разделе "Тестирование" для корпоративного масштаба.
Используйте Azure Lighthouse для предоставления третьим лицам или партнерам доступа к ресурсам Azure в клиентах Microsoft Entra и централизованном доступе к ресурсам Azure в многотенантных архитектурах Microsoft Entra.