الممارسات الأمنية الموصى بها
عند استخدام Azure Lighthouse، من المهم مراعاة الأمان والتحكم في الوصول. سيتمكن المستخدمون في المستأجر الخاص بك من الوصول المباشر إلى اشتراكات العملاء ومجموعات الموارد، لذلك ستحتاج إلى اتخاذ خطوات للحفاظ على أمان المستأجر الخاص بك. ستحتاج أيضاً إلى التأكد من أنك تسمح فقط بالوصول المطلوب لإدارة موارد عملائك بشكل فعال. يقدم هذا الموضوع توصيات لمساعدتك على القيام بذلك.
تلميح
تنطبق هذه التوصيات أيضاً على المؤسسات التي تدير مستأجرين متعددين باستخدام Azure Lighthouse.
طلب مصادقة Microsoft Entra متعددة العوامل
تساعد مصادقة Microsoft Entra متعددة العوامل (المعروفة أيضا باسم التحقق على خطوتين) في منع المهاجمين من الوصول إلى حساب من خلال طلب خطوات مصادقة متعددة. يجب أن تطلب مصادقة Microsoft Entra متعددة العوامل لجميع المستخدمين في المستأجر الإداري، بما في ذلك المستخدمين الذين سيكون لديهم حق الوصول إلى موارد العملاء المفوضة.
نوصي بأن تطلب من عملائك تنفيذ مصادقة Microsoft Entra متعددة العوامل في المستأجرين أيضا.
هام
لا تنطبق نهج الوصول المشروط التي تم تعيينها على مستأجر العميل على المستخدمين الذين يصلون إلى موارد هذا العميل من خلال Azure Lighthouse. تنطبق النهج المعينة على المستأجر الإداري فقط على هؤلاء المستخدمين. نوصي بشدة بطلب مصادقة Microsoft Entra متعددة العوامل لكل من المستأجر الإداري والمستأجر المدار (العميل).
تعيين أذونات للمجموعات، باستخدام كيان الامتياز الأقل
لتسهيل الإدارة، استخدم مجموعات Microsoft Entra لكل دور مطلوب لإدارة موارد عملائك. يتيح لك هذا إضافة أو إزالة مستخدمين فرديين إلى المجموعة حسب الحاجة، بدلاً من تعيين أذونات مباشرة لكل مستخدم.
هام
لإضافة أذونات لمجموعة Microsoft Entra، يجب تعيين نوع المجموعة إلى الأمان. يتم تحديد هذا الخيار عند إنشاء المجموعة. لمزيد من المعلومات، راجع إنشاء مجموعة أساسية وإضافة أعضاء.
عند إنشاء بنية الأذونات الخاصة بك، تأكد من اتباع كيان الامتياز الأقل بحيث لا يمتلك المستخدمون سوى الأذونات اللازمة لإكمال عملهم، ما يساعد على تقليل فرصة حدوث أخطاء غير مقصودة.
على سبيل المثال، قد ترغب في استخدام هيكل مثل هذا:
| اسم المجموعة | نوع | principalId | تعريف قاعدة | معرّف تعريف الدور |
|---|---|---|---|---|
| Architects | مجموعة المستخدمين | <principalId> | المساهم | b24988ac-6180-42a0-ab88-20f7382dd24c |
| تقييم | مجموعة المستخدمين | <principalId> | القارئ | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| متخصصو VM | مجموعة المستخدمين | <principalId> | مساهم VM | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| التنفيذ التلقائي | الاسم الأساسي للخدمة (SPN) | <principalId> | المساهم | b24988ac-6180-42a0-ab88-20f7382dd24c |
بمجرد إنشاء هذه المجموعات، يمكنك تعيين المستخدمين حسب الحاجة. أضف فقط المستخدمين الذين يحتاجون حقاً للوصول. تأكد من مراجعة عضوية المجموعة بانتظام وإزالة أي مستخدمين لم يعودوا مناسبين أو ضروريين للتضمين.
ضع في اعتبارك أنه عند انضمامك إلى العملاء من خلال عرض خدمة مُدارة عامة، فإن أي مجموعة (أو مستخدم أو مدير خدمة) تقوم بتضمينها ستكون لها الأذونات نفسها لكل عميل يشتري الخطة. لتعيين مجموعات مختلفة للعمل مع كل عميل، ستحتاج إلى نشر خطة خاصة منفصلة تكون حصرية لكل عميل أو العملاء على متن الطائرة بشكل فردي باستخدام قوالب Azure Resource Manager. على سبيل المثال، يمكنك نشر خطة عامة ذات وصول محدود للغاية، ثم العمل مع العميل مباشرةً لتزويد موارده بوصول إضافي باستخدام قالب موارد Azure المخصص الذي يمنح وصولاً إضافياً حسب الحاجة.
تلميح
يمكنك أيضاً إنشاء التخويلات المؤهلة التي تسمح للمستخدمين في المستأجر الإداري برفع دورهم مؤقتاً. باستخدام التراخيص المؤهلة، يمكنك تقليل عدد التعيينات الدائمة للمستخدمين إلى الأدوار المميزة، ما يساعد على تقليل مخاطر الأمان المتعلقة بالوصول المميز من قبل المستخدمين في المستأجر الخاص بك. تحتوي هذه الميزة على متطلبات ترخيص محددة. لمزيد من المعلومات، راجع إنشاء تراخيص مؤهلة.
الخطوات التالية
- راجع معلومات أساس الأمان لفهم كيفية تطبيق الإرشادات من معيار أمان السحابة من Microsoft على Azure Lighthouse.
- نشر مصادقة Microsoft Entra متعددة العوامل.
- تعرف على التجارب الخاصة بالإدارة عبر المستأجرين.