Doporučené postupy zabezpečení

  • Článek
  • 2 min ke čtení

Při použití Azure Lighthouseje důležité vzít v úvahu zabezpečení a řízení přístupu. Uživatelé ve vašem tenantovi budou mít přímý přístup k zákaznickým předplatným a skupinám prostředků, takže budete chtít podnikovat kroky k zajištění zabezpečení vašeho tenanta. Také se budete chtít ujistit, že povolíte jenom přístup, který je potřeba k efektivní správě prostředků vašich zákazníků. Toto téma obsahuje doporučení, která vám s tím pomůžou.

Tip

Tato doporučení platí také pro podniky, které spravují více tenantů s Azure Lighthouse.

Vyžadování vícefaktorového ověřování Azure AD

Azure AD Multi-Factor Authentication (označované také jako dvoustupňové ověřování) pomáhá zabránit útočníkům v získání přístupu k účtu tím, že vyžaduje více ověřovacích kroků. Službu Azure AD Multi-Factor Authentication byste měli vyžadovat pro všechny uživatele ve vašem tenantovi pro správu, včetně uživatelů, kteří budou mít přístup k delegovaných zákaznickým prostředkům.

Doporučujeme, abyste své zákazníky požádali také o implementaci služby Azure AD Multi-Factor Authentication ve svých tenantech.

Přiřazení oprávnění ke skupinám pomocí principu nejmenších oprávnění

Pro usnadnění správy použijte skupiny Azure Active Directory (Azure AD) pro každou roli, která se vyžaduje ke správě prostředků vašich zákazníků. To vám umožní přidávat nebo odebírat jednotlivé uživatele do skupiny podle potřeby, a nikoli přiřazovat oprávnění přímo každému uživateli.

Důležité

Pokud chcete přidat oprávnění pro skupinu Azure AD, musí být typ skupiny nastavený na Zabezpečení. Tato možnost se vybere při vytvoření skupiny. Další informace najdete v tématu Vytvoření základní skupiny a přidání členů pomocí Azure Active Directory.

Při vytváření struktury oprávnění dodržujte princip co nejmenších oprávnění, aby uživatelé měli pouze oprávnění potřebná k dokončení své práce, což snižuje riziko neúmyslných chyb.

Můžete například chtít použít strukturu, jako je tato:

Název skupiny Typ principalId Definice role ID definice role
Architekti Skupina uživatelů <principalId> Přispěvatel b24988ac-6180-42a0-ab88-20f7382dd24c
Posouzení Skupina uživatelů <principalId> Čtenář acdd72a7-3385-48ef-bd42-f606fba81ae7
Specialisté na virtuální počítače Skupina uživatelů <principalId> Přispěvatel virtuálních počítačů 9980e02c-c2be-4d73-94e8-173b1dc7cf3c
Automation Hlavní název služby (SPN) <principalId> Přispěvatel b24988ac-6180-42a0-ab88-20f7382dd24c

Po vytvoření těchto skupin můžete přiřadit uživatele podle potřeby. Přidejte pouze uživatele, kteří skutečně potřebují mít přístup. Nezapomeňte pravidelně kontrolovat členství ve skupinách a odebírat všechny uživatele, které už nejsou vhodné nebo které je potřeba zahrnout.

Mějte na paměti, že když nasazíte zákazníky prostřednictvím nabídky veřejné spravované služby,budou mít všechny zahrnuté skupiny (nebo uživatele nebo instanční objekt) stejná oprávnění pro každého zákazníka, který si plán koupí. Pokud chcete přiřazovat různé skupiny pro práci s jednotlivými zákazníky, budete muset publikovat samostatný privátní plán, který je výhradně pro každého zákazníka, nebo onboardovat zákazníky jednotlivě pomocí Azure Resource Manager šablon. Můžete například publikovat veřejný plán s velmi omezeným přístupem a pak přímo se zákazníkem připojit své prostředky pro další přístup pomocí přizpůsobené šablony prostředků Azure, která podle potřeby udělí další přístup.

Tip

Můžete také vytvořit oprávněné autorizace, které uživatelům ve vašem tenantovi pro správu dočasně povýší jejich roli. Pomocí oprávněných autorizací můžete minimalizovat počet trvalých přiřazení uživatelů k privilegovaných rolím, což pomáhá snížit rizika zabezpečení související s privilegovaný přístup uživatelů ve vašem tenantovi. Tato funkce je aktuálně ve verzi Public Preview a má specifické licenční požadavky. Další informace najdete v tématu Vytvoření oprávněných autorizací.

Další kroky