Определение клиентов Microsoft Entra
Клиент Microsoft Entra предоставляет управление удостоверениями и доступом, что является важной частью вашей системы безопасности. Клиент Microsoft Entra гарантирует, что прошедшие проверку подлинности и авторизованные пользователи получают доступ только к ресурсам, к которым у них есть разрешения. Идентификатор Microsoft Entra предоставляет эти службы для приложений и служб, развернутых в Azure и за ее пределами (например, локальных или сторонних поставщиков облачных служб).
Идентификатор Microsoft Entra также используется программным обеспечением как услуга (SaaS), такими как Microsoft 365 и Azure Marketplace. Организации, уже использующие локальную службу AD, могут интегрировать ее с текущей инфраструктурой и расширить облачную проверку подлинности. Каждый каталог Microsoft Entra имеет один или несколько доменов. Каталог может иметь множество подписок, связанных с ним, но только один клиент Microsoft Entra.
Задайте основные вопросы безопасности на этапе разработки, такие как управление учетными данными вашей организации и управление доступом к пользователям, приложениям и программному доступу.
Совет
Если у вас несколько клиентов Microsoft Entra, просмотрите целевые зоны Azure и несколько клиентов Microsoft Entra и связанное с ним содержимое.
Рекомендации по проектированию.
Подписка Azure может доверять только одному клиенту Microsoft Entra за раз, дополнительные сведения можно найти на странице "Связать" или добавить подписку Azure в клиент Microsoft Entra.
Несколько клиентов Microsoft Entra могут работать в одной регистрации. Просмотр целевых зон Azure и нескольких клиентов Microsoft Entra
Azure Lighthouse поддерживает делегирование только на уровне группы ресурсов и подписки.
Доменное
*.onmicrosoft.com
имя, созданное для каждого клиента Microsoft Entra, должно быть глобально уникальным в соответствии с разделом терминологии в том, что такое идентификатор Microsoft Entra?- Имя
*.onmicrosoft.com
домена для каждого клиента Microsoft Entra невозможно изменить после создания.
- Имя
Ознакомьтесь с проверкой самостоятельно управляемых служб домен Active Directory, идентификатора Microsoft Entra и управляемых доменных служб Microsoft Entra, чтобы полностью понять различия между всеми параметрами и их связью
Изучение методов проверки подлинности, предлагаемых идентификатором Microsoft Entra в рамках планирования клиента Microsoft Entra
При использовании Azure для государственных организаций ознакомьтесь с рекомендациями по клиентам Microsoft Entra в удостоверении планирования для приложений Azure для государственных организаций
Если используется Azure для государственных организаций, Azure China 21Vianet, Azure Germany (закрыто 29 октября 2021 г.), ознакомьтесь с национальными и региональными облаками для получения дополнительных рекомендаций по идентификатору Microsoft Entra ID
Рекомендации по проектированию.
Добавление одного или нескольких пользовательских доменов в клиент Microsoft Entra в качестве имени личного домена с помощью Центра администрирования Microsoft Entra
- Проверьте население Microsoft Entra UserPrincipalName, если планируете или используете Microsoft Entra Connect, чтобы убедиться, что имена пользовательских доменов отражаются в среде локальная служба Active Directory доменных служб.
Определите стратегию единого входа Azure с помощью Microsoft Entra Connect на основе одной из поддерживаемых топологий.
Если у вашей организации нет инфраструктуры удостоверений, начните с реализации развертывания удостоверений только для Microsoft Entra. Развертывание с помощью доменных служб Microsoft Entra и Microsoft Enterprise Mobility + Security обеспечивает сквозную защиту приложений SaaS, корпоративных приложений и устройств.
Многофакторная проверка подлинности Microsoft Entra обеспечивает еще один уровень безопасности и проверки подлинности. Для большей безопасности также следует применять политики условного доступа для всех привилегированных учетных записей.
При составлении плана не забудьте об учетных записях для аварийного доступа или обхода стандартной системы контроля доступа, чтобы предотвратить блокировку учетной записи на уровне арендатора.
Используйте Microsoft Entra управление привилегированными пользователями для управления удостоверениями и доступом.
Отправьте все журналы диагностики Microsoft Entra в центральную рабочую область Azure Monitor Log Analytics, следуя инструкциям ниже. Интеграция журналов Microsoft Entra с журналами Azure Monitor
Избегайте создания нескольких клиентов Microsoft Entra. Дополнительные сведения см. в разделе "Тестирование" для корпоративного масштаба.
Используйте Azure Lighthouse для предоставления третьим лицам или партнерам доступа к ресурсам Azure в клиентах Microsoft Entra и централизованном доступе к ресурсам Azure в многотенантных архитектурах Microsoft Entra.