Procedimientos de seguridad recomendadosRecommended security practices

Al usar la administración de recursos delegados de Azure, es importante tener en cuenta la seguridad y el control de acceso.When using Azure delegated resource management, it’s important to consider security and access control. Los usuarios de su inquilino tendrán acceso directo a las suscripciones y los grupos de recursos del cliente, por lo que es recomendable tomar medidas para proteger la seguridad del inquilino.Users in your tenant will have direct access to customer subscriptions and resource groups, so you’ll want to take steps to maintain your tenant’s security. También es recomendable asegurarse de que solo se permite el acceso necesario para administrar de forma eficaz los recursos de los clientes.You’ll also want to make sure you only allow the access that’s needed to effectively manage your customers’ resources. En este tema se proporcionan recomendaciones para ayudarle a hacerlo.This topic provides recommendations to help you do so.

Requerir Azure Multi-Factor AuthenticationRequire Azure Multi-Factor Authentication

Azure Multi-Factor Authentication (también conocido como verificación en dos pasos) ayuda a evitar que los atacantes obtengan acceso a una cuenta, ya que requiere varios pasos de autenticación.Azure Multi-Factor Authentication (also known as two-step verification) helps prevent attackers from gaining access to an account by requiring multiple authentication steps. Debe requerir Multi-Factor Authentication a todos los usuarios del inquilino del proveedor de servicios, incluidos los usuarios que tendrán acceso a los recursos del cliente.You should require Multi-Factor Authentication for all users in your service provider tenant, including any users who will have access to customer resources.

Le recomendamos que pida a sus clientes que implementen también Azure Multi-Factor Authentication en sus inquilinos.We suggest that you ask your customers to implement Azure Multi-Factor Authentication in their tenants as well.

Asignar permisos a grupos mediante el principio de privilegios mínimosAssign permissions to groups, using the principle of least privilege

Para facilitar la administración, se recomienda usar grupos de usuarios de Azure AD para cada rol necesario para administrar los recursos de los clientes.To make management easier, we recommend using Azure AD user groups for each role required to manage your customers’ resources. Esto le permite agregar o quitar usuarios individuales del grupo según sea necesario, en lugar de asignar permisos directamente a ese usuario.This lets you add or remove individual users to the group as needed, rather than assigning permissions directly to that user.

Al crear la estructura de permisos, asegúrese de seguir el principio de privilegios mínimos para que los usuarios solo tengan los permisos necesarios para completar su trabajo, lo que ayuda a reducir la posibilidad de errores involuntarios.When creating your permission structure, be sure to follow the principle of least privilege so that users only have the permissions needed to complete their job, helping to reduce the chance of inadvertent errors.

Por ejemplo, puede que quiera usar una estructura como la siguiente:For example, you may want to use a structure like this:

Nombre del grupoGroup name TipoType principalIdprincipalId Definición de rolesRole definition Id. de definición de rolesRole definition ID
ArquitectosArchitects Grupo de usuariosUser group <principalId><principalId> ColaboradorContributor b24988ac-6180-42a0-ab88-20f7382dd24cb24988ac-6180-42a0-ab88-20f7382dd24c
EvaluaciónAssessment Grupo de usuariosUser group <principalId><principalId> LectorReader acdd72a7-3385-48ef-bd42-f606fba81ae7acdd72a7-3385-48ef-bd42-f606fba81ae7
Especialistas en VMVM Specialists Grupo de usuariosUser group <principalId><principalId> Colaborador de VMVM Contributor 9980e02c-c2be-4d73-94e8-173b1dc7cf3c9980e02c-c2be-4d73-94e8-173b1dc7cf3c
AutomationAutomation Nombre de entidad de seguridad de servicio (SPN)Service principal name (SPN) <principalId><principalId> ColaboradorContributor b24988ac-6180-42a0-ab88-20f7382dd24cb24988ac-6180-42a0-ab88-20f7382dd24c

Una vez que haya creado estos grupos, puede asignarles usuarios según sea necesario.Once you’ve created these groups, you can assign users as needed. Agregue solo los usuarios que realmente necesitan tener acceso.Only add the users who truly need to have access. Asegúrese de revisar la pertenencia a grupos con regularidad y quite los usuarios que ya no sean adecuados o que no sea necesario incluir.Be sure to review group membership regularly and remove any users that are no longer appropriate or necessary to include.

Tenga en cuenta que al incorporar clientes a través de una oferta pública de servicios administrados, cualquier grupo (o entidad de servicio o usuario) que incluya tendrá los mismos permisos para todos los clientes que compren el plan.Keep in mind that when you onboard customers through a public managed service offer, any group (or user or service principal) that you include will have the same permissions for every customer who purchases the plan. Para asignar grupos diferentes para que trabajen con cada cliente, tendrá que publicar un plan privado independiente exclusivo para cada cliente o incorporar los clientes individualmente mediante plantillas de Azure Resource Manager.To assign different groups to work with each customer, you’ll need to publish a separate private plan that is exclusive to each customer, or onboard customers individually by using Azure Resource Manager templates. Por ejemplo, podría publicar un plan público que tenga un acceso muy limitado y, después, trabajar con el cliente directamente para incorporar sus recursos para obtener acceso adicional mediante una plantilla de recursos de Azure personalizada que concede acceso adicional según sea necesario.For example, you could publish a public plan that has very limited access, then work with the customer directly to onboard their resources for additional access using a customized Azure Resource Template granting additional access as needed.

Pasos siguientesNext steps