Definir Microsoft Entra tenants

Um locatário do Microsoft Entra fornece gerenciamento de identidade e acesso, que é uma parte importante de sua postura de segurança. Um locatário do Microsoft Entra garante que os usuários autenticados e autorizados acessem apenas os recursos para os quais eles têm permissões. A ID do Microsoft Entra fornece esses serviços para aplicativos e serviços implantados dentro e fora do Azure (como provedores de nuvem locais ou de terceiros).

O Microsoft Entra ID também é usado por aplicativos de software como serviço (SaaS), como o Microsoft 365 e o Azure Marketplace. As organizações que já usam o AD local podem integrá-lo à infraestrutura atual e estender a autenticação na nuvem. Cada diretório do Microsoft Entra tem um ou mais domínios. Um diretório pode ter muitas assinaturas associadas a ele, mas apenas um locatário do Microsoft Entra.

Faça perguntas básicas de segurança durante a fase de design, como como sua organização gerencia credenciais e como controla o acesso humano, de aplicativos e programático.

Dica

Se você tiver vários locatários do Microsoft Entra, examine as zonas de aterrissagem do Azure e vários locatários do Microsoft Entra e seu conteúdo associado.

Considerações sobre o design:

• Uma assinatura do Azure só pode confiar em um locatário do Microsoft Entra por vez, mais informações podem ser encontradas em Associar ou adicionar uma assinatura do Azure ao seu locatário do Microsoft Entra

• Vários locatários do Microsoft Entra podem funcionar no mesmo registro. Revise as zonas de aterrissagem do Azure e vários locatários do Microsoft Entra

• O Azure Lighthouse só dá suporte à delegação nos escopos de assinatura e de grupo de recursos.

• O nome de domínio criado para cada locatário do Microsoft Entra deve ser globalmente exclusivo de acordo com a seção de terminologia em O *.onmicrosoft.com que é o Microsoft Entra ID?

  • O *.onmicrosoft.com nome de domínio de cada locatário do Microsoft Entra não pode ser alterado depois de criado.

• Revise Comparar Serviços de Domínio Active Directory autogerenciados, ID do Microsoft Entra e Serviços de Domínio Microsoft Entra gerenciados para entender completamente as diferenças entre todas as opções e como elas se relacionam

• Explore os métodos de autenticação oferecidos pelo Microsoft Entra ID como parte do seu planejamento de locatário do Microsoft Entra

• Se estiver usando o Azure Government, revise as orientações sobre locatários do Microsoft Entra em Identidade de planejamento para aplicativos do Azure Government

• Se estiver usando o Azure Government, Azure China 21Vianet, Azure Alemanha (fechado em 29 de outubro de 2021), revise Nuvens nacionais/regionais para obter mais orientações sobre a ID do Microsoft Entra

Recomendações de design:

• Adicionar um ou mais domínios personalizados ao seu locatário do Microsoft Entra de acordo com Adicionar seu nome de domínio personalizado usando o centro de administração do Microsoft Entra

  • Revise a população UserPrincipalName do Microsoft Entra se estiver planejando ou usando o Microsoft Entra Connect para garantir que os nomes de domínio personalizados sejam refletidos em seu ambiente local dos Serviços de Domínio Active Directory.

• Defina sua estratégia de logon único do Azure, usando o Microsoft Entra Connect, com base em uma das topologias com suporte.

• Se sua organização não tiver uma infraestrutura de identidade, comece implementando uma implantação de identidade somente do Microsoft Entra. A implantação com o Microsoft Entra Domain Services e o Microsoft Enterprise Mobility + Security fornece proteção de ponta a ponta para aplicativos SaaS, aplicativos corporativos e dispositivos.

• A autenticação multifator do Microsoft Entra fornece outra camada de segurança e autenticação. Para obter mais segurança, aplique também políticas de acesso condicional para todas as contas com privilégios.

• Planeje contas de emergência ou acesso de emergência para evitar o bloqueio de conta em todo o locatário.

• Use o Microsoft Entra Privileged Identity Management para gerenciar identidades e acesso.

• Envie todos os logs de diagnóstico do Microsoft Entra para um espaço de trabalho central do Azure Monitor Log Analytics seguindo as orientações aqui: Integrar logs do Microsoft Entra com logs do Azure Monitor

• Evite criar vários locatários do Microsoft Entra. Para saber mais, veja Abordagem de teste para escala empresarial e Diretrizes de práticas recomendadas do Cloud Adoption Framework para Azure a fim de padronizar um único diretório e uma única identidade.

• Use o Azure Lighthouse para conceder a terceiros/parceiros acesso aos recursos do Azure em locatários do Microsoft Entra cliente e acesso centralizado aos recursos do Azure em arquiteturas multilocatárias do Microsoft Entra.