Definiera Microsoft Entra-klienter

En Microsoft Entra-klientorganisation tillhandahåller identitets- och åtkomsthantering, vilket är en viktig del av din säkerhetsstatus. En Microsoft Entra-klient ser till att autentiserade och auktoriserade användare endast får åtkomst till de resurser som de har behörighet till. Microsoft Entra ID tillhandahåller dessa tjänster till program och tjänster som distribueras i och utanför Azure (till exempel lokala eller tredjeparts molnleverantörer).

Microsoft Entra-ID används också av saaS-program (programvara som en tjänst), till exempel Microsoft 365 och Azure Marketplace. Organisationer som redan använder lokal AD kan integrera den med sin nuvarande infrastruktur och utöka molnautentiseringen. Varje Microsoft Entra-katalog har en eller flera domäner. En katalog kan ha många prenumerationer associerade med den, men bara en Microsoft Entra-klientorganisation.

Ställ grundläggande säkerhetsfrågor under designfasen, till exempel hur din organisation hanterar autentiseringsuppgifter och hur den styr mänsklig åtkomst, programåtkomst och programmatisk åtkomst.

Dricks

Om du har flera Microsoft Entra-klienter granskar du Azure-landningszoner och flera Microsoft Entra-klienter och dess associerade innehåll.

Designöverväganden:

• En Azure-prenumeration kan bara lita på en Microsoft Entra-klient i taget. Mer information finns i Associera eller lägg till en Azure-prenumeration i din Microsoft Entra-klientorganisation

• Flera Microsoft Entra-klienter kan fungera i samma registrering. Granska Azure-landningszoner och flera Microsoft Entra-klienter

• Azure Lighthouse stöder endast delegering i prenumerations- och resursgruppsomfången.

• Domännamnet *.onmicrosoft.com som skapas för varje Microsoft Entra-klientorganisation måste vara globalt unikt enligt terminologiavsnittet i vad är Microsoft Entra-ID?

  • Domännamnet *.onmicrosoft.com för varje Microsoft Entra-klientorganisation kan inte ändras när det har skapats.

• Granska Jämför självhanterade Active Directory-domän Services, Microsoft Entra-ID och hanterade Microsoft Entra Domain Services för att förstå skillnaderna mellan alla alternativ och hur de relaterar

• Utforska de autentiseringsmetoder som erbjuds av Microsoft Entra ID som en del av din Microsoft Entra-klientplanering

• Om du använder Azure Government kan du läsa vägledningen om Microsoft Entra-klienter i Planera identitet för Azure Government-program

• Om du använder Azure Government, Azure China 21Vianet, Azure Germany (stängt den 29 oktober 2021) kan du läsa Nationella/regionala moln för ytterligare vägledning om Microsoft Entra-ID

Designrekommendationer:

• Lägg till en eller flera anpassade domäner i din Microsoft Entra-klientorganisation enligt Lägg till ditt anpassade domännamn med hjälp av administrationscentret för Microsoft Entra

  • Granska Microsoft Entra UserPrincipalName-populationen om du planerar eller använder Microsoft Entra Anslut för att se till att anpassade domännamn återspeglas i din lokal Active Directory Domain Services-miljö.

• Definiera din azure-strategi för enkel inloggning med hjälp av Microsoft Entra Anslut baserat på en av de topologier som stöds.

• Om din organisation inte har någon identitetsinfrastruktur börjar du med att implementera en identitetsdistribution med endast Microsoft Entra. Distribution med Microsoft Entra Domain Services och Microsoft Enterprise Mobility + Security ger heltäckande skydd för SaaS-program, företagsprogram och enheter.

• Microsoft Entra multifaktorautentisering ger ett annat lager av säkerhet och autentisering. För mer säkerhet kan du även tillämpa principer för villkorlig åtkomst för alla privilegierade konton.

• Planera för nödåtkomst eller break-glass-konton för att förhindra kontoutelåsning för hela klientorganisationen.

• Använd Microsoft Entra Privileged Identity Management för att hantera identiteter och åtkomst.

• Skicka alla Microsoft Entra-diagnostikloggar till en central Azure Monitor Log Analytics-arbetsyta enligt vägledningen här: Integrera Microsoft Entra-loggar med Azure Monitor-loggar

• Undvik att skapa flera Microsoft Entra-klienter. Mer information finns i Metodtips för testning i företagsskala och Azure-metodtips för molnimplementering för att standardisera på en enda katalog och identitet.

• Använd Azure Lighthouse för att ge tredje part/partner åtkomst till Azure-resurser i microsoft entra-kundklientorganisationer och centraliserad åtkomst till Azure-resurser i Microsoft Entra-arkitekturer med flera klienter.