定義 Microsoft Entra 租使用者
Microsoft Entra 租使用者提供身分識別和存取管理,這是安全性狀態的重要組成部分。 Microsoft Entra 租使用者可確保已驗證和授權的使用者只會存取他們擁有許可權的資源。 Microsoft Entra ID 會將這些服務提供給部署在 Azure 內外的應用程式和服務(例如內部部署或協力廠商雲端提供者)。
軟體即服務 (SaaS) 應用程式也會使用 Microsoft Entra ID,例如 Microsoft 365 和 Azure Marketplace。 已使用內部部署 AD 的組織可以將它與其目前的基礎結構整合,並擴充雲端驗證。 每個 Microsoft Entra 目錄都有一或多個網域。 目錄可以有許多相關聯的訂用帳戶,但只有一個 Microsoft Entra 租使用者。
在設計階段詢問基本安全性問題,例如貴組織如何管理認證,以及如何控制人類、應用程式和程式設計存取。
提示
如果您有多個 Microsoft Entra 租使用者,請檢閱 Azure 登陸區域和多個 Microsoft Entra 租使用者 及其相關聯的內容。
設計考量:
Azure 訂用帳戶一次只能信任一個 Microsoft Entra 租使用者,您可以在關聯或將 Azure 訂用帳戶新增至您的 Microsoft Entra 租使用者中找到 進一步的資訊
多個 Microsoft Entra 租使用者可以在相同的註冊中運作。 檢閱 Azure 登陸區域和多個 Microsoft Entra 租使用者
Azure Lighthouse 僅支援訂用帳戶和資源群組範圍的委派。
*.onmicrosoft.com
針對每個 Microsoft Entra 租使用者建立的功能變數名稱,必須根據什麼是 Microsoft Entra ID 的 術語一節,全域是唯一的?*.onmicrosoft.com
每個 Microsoft Entra 租使用者的功能變數名稱一旦建立後就無法變更。
檢閱 比較自我管理Active Directory 網域服務、Microsoft Entra ID 和受控 Microsoft Entra Domain Services ,以充分瞭解所有選項之間的差異及其關聯性
探索 Microsoft Entra ID 所提供的驗證方法,作為 Microsoft Entra 租使用者規劃的一部分
如果使用 Azure Government ,請檢閱規劃 Azure Government 應用程式身分識別中的 Microsoft Entra 租使用者相關指引
如果使用 Azure Government、Azure China 21Vianet、Azure 德國( 2021 年 10 月 29 日關閉),請檢閱 國家/地區雲端 ,以取得 Microsoft Entra ID 的進一步指引
設計建議:
根據 使用 Microsoft Entra 系統管理中心新增自訂功能變數名稱,將一或多個自訂網域新增至您的 Microsoft Entra 租使用者
- 如果您打算或使用 Microsoft Entra 連線,請檢 閱 Microsoft Entra UserPrincipalName 母體擴展 ,以確保自訂功能變數名稱會反映在您的 內部部署的 Active Directory Domain Services 環境中。
使用 Microsoft Entra 連線,根據其中一個支援的 拓撲,定義您的 Azure 單一登入策略 。
如果您的組織沒有身分識別基礎結構,請從實作僅限 Microsoft Entra 的身分識別部署開始。 使用 Microsoft Entra Domain Services 和 Microsoft Enterprise Mobility + Security 進行部署,可為 SaaS 應用程式、企業應用程式和裝置提供端對端保護。
Microsoft Entra 多重要素驗證 提供另一層安全性和驗證。 如需更多安全性,也針對所有特殊許可權帳戶強制執行 條件式存取 原則。
規劃緊急存取 或中斷帳戶,以防止全租使用者帳戶鎖定。
使用 Microsoft Entra Privileged Identity Management 來管理身分識別和存取權。
遵循這裡的指引,將所有 Microsoft Entra 診斷記錄傳送至中央 Azure 監視器 Log Analytics 工作區: 整合 Microsoft Entra 記錄與 Azure 監視器記錄
避免建立多個 Microsoft Entra 租使用者。 如需詳細資訊,請參閱 針對企業級 和 雲端採用架構 Azure 最佳做法指引進行測試方法,以標準化單一目錄和身分 識別。
使用 Azure Lighthouse 將客戶 Microsoft Entra 租使用者中的 Azure 資源存取權授與協力廠商/合作夥伴,以及在多租使用者 Microsoft Entra 架構中集中存取 Azure 資源。