Определение клиентов Microsoft Entra

Клиент Microsoft Entra предоставляет управление удостоверениями и доступом, что является важной частью вашей системы безопасности. Клиент Microsoft Entra гарантирует, что прошедшие проверку подлинности и авторизованные пользователи получают доступ только к ресурсам, к которым у них есть разрешения. Идентификатор Microsoft Entra предоставляет эти службы для приложений и служб, развернутых в Azure и за ее пределами (например, локальных или сторонних поставщиков облачных служб).

Идентификатор Microsoft Entra также используется программным обеспечением как услуга (SaaS), такими как Microsoft 365 и Azure Marketplace. Организации, уже использующие локальную службу AD, могут интегрировать ее с текущей инфраструктурой и расширить облачную проверку подлинности. Каждый каталог Microsoft Entra имеет один или несколько доменов. Каталог может иметь множество подписок, связанных с ним, но только один клиент Microsoft Entra.

Задайте основные вопросы безопасности на этапе разработки, такие как управление учетными данными вашей организации и управление доступом к пользователям, приложениям и программному доступу.

Рекомендации по проектированию

• Подписка Azure может доверять только одному клиенту Microsoft Entra за раз, дополнительные сведения можно найти на странице "Связать" или добавить подписку Azure в клиент Microsoft Entra.

• Несколько клиентов Microsoft Entra могут работать в одной регистрации. Просмотр целевых зон Azure и нескольких клиентов Microsoft Entra

• Azure Lighthouse поддерживает делегирование только на уровне группы ресурсов и подписки.

• Доменное *.onmicrosoft.com имя, созданное для каждого клиента Microsoft Entra, должно быть глобально уникальным в соответствии с разделом терминологии в том, что такое идентификатор Microsoft Entra?

  • Имя *.onmicrosoft.com домена для каждого клиента Microsoft Entra невозможно изменить после создания.

• Ознакомьтесь с проверкой самостоятельно управляемых служб домен Active Directory, идентификатора Microsoft Entra и управляемых доменных служб Microsoft Entra, чтобы полностью понять различия между всеми параметрами и их связью

• Изучение методов проверки подлинности, предлагаемых идентификатором Microsoft Entra в рамках планирования клиента Microsoft Entra

• При использовании Azure для государственных организаций ознакомьтесь с рекомендациями по клиентам Microsoft Entra в удостоверении планирования для приложений Azure для государственных организаций

• Если используется Azure для государственных организаций, Azure China 21Vianet, Azure Germany (закрыто 29 октября 2021 г.), ознакомьтесь с национальными и региональными облаками для получения дополнительных рекомендаций по идентификатору Microsoft Entra ID

Рекомендации по проектированию.

• Добавление одного или нескольких пользовательских доменов в клиент Microsoft Entra в качестве имени личного домена с помощью Центра администрирования Microsoft Entra

  • Проверьте население Microsoft Entra UserPrincipalName, если планируете или используете Microsoft Entra Подключение, чтобы убедиться, что пользовательские доменные имена отражаются в среде локальная служба Active Directory доменных служб.

• Определите стратегию единого входа Azure с помощью Microsoft Entra Подключение на основе одной из поддерживаемых топологий.

• Если у вашей организации нет инфраструктуры удостоверений, начните с реализации развертывания удостоверений только для Microsoft Entra. Развертывание с помощью доменных служб Microsoft Entra и Microsoft Enterprise Mobility + Security обеспечивает сквозную защиту приложений SaaS, корпоративных приложений и устройств.

• Многофакторная проверка подлинности Microsoft Entra обеспечивает еще один уровень безопасности и проверки подлинности. Для большей безопасности также следует применять политики условного доступа для всех привилегированных учетных записей.

• При составлении плана не забудьте об учетных записях для аварийного доступа или обхода стандартной системы контроля доступа, чтобы предотвратить блокировку учетной записи на уровне арендатора.

• Используйте Microsoft Entra управление привилегированными пользователями для управления удостоверениями и доступом.

• Отправьте все журналы диагностики Microsoft Entra в центральную рабочую область Azure Monitor Log Analytics, следуя инструкциям ниже. Интеграция журналов Microsoft Entra с журналами Azure Monitor

• Избегайте создания нескольких клиентов Microsoft Entra. Дополнительные сведения см. в статьях Подход к тестированию для корпоративного уровня и Cloud Adoption Framework: рекомендации по стандартизации с помощью одного каталога и одного удостоверения.

• Используйте Azure Lighthouse для предоставления третьим лицам или партнерам доступа к ресурсам Azure в клиентах Microsoft Entra и централизованном доступе к ресурсам Azure в многотенантных архитектурах Microsoft Entra.