Pratiques de sécurité recommandéesRecommended security practices

Lorsque vous utilisez la gestion des ressources déléguées Azure, il est important de prendre en compte la sécurité et le contrôle d’accès.When using Azure delegated resource management, it’s important to consider security and access control. Les utilisateurs de votre locataire ayant un accès direct aux abonnements et aux groupes de ressources du client, il est souhaitable de prendre des mesures pour maintenir la sécurité de votre locataire.Users in your tenant will have direct access to customer subscriptions and resource groups, so you’ll want to take steps to maintain your tenant’s security. Vous devez également vous assurer que vous autorisez uniquement l’accès nécessaire pour gérer efficacement les ressources de vos clients.You’ll also want to make sure you only allow the access that’s needed to effectively manage your customers’ resources. Cette rubrique fournit des recommandations pour vous y aider.This topic provides recommendations to help you do so.

Exiger l’utilisation de Microsoft Azure Multi-Factor AuthenticationRequire Azure Multi-Factor Authentication

La solution Azure Multi-Factor Authentication (également appelée vérification en deux étapes) aide à empêcher des attaquants d’accéder à un compte en exigeant plusieurs étapes d’authentification.Azure Multi-Factor Authentication (also known as two-step verification) helps prevent attackers from gaining access to an account by requiring multiple authentication steps. Vous devez exiger l’application de la solution Microsoft Azure Multi-Factor Authentication à tous les utilisateurs de votre locataire de fournisseur de services, notamment aux utilisateurs qui auront accès aux ressources du client.You should require Multi-Factor Authentication for all users in your service provider tenant, including any users who will have access to customer resources.

Nous vous suggérons de demander à vos clients d’implémenter également Microsoft Azure Multi-Factor Authentication dans leurs locataires.We suggest that you ask your customers to implement Azure Multi-Factor Authentication in their tenants as well.

Affecter des autorisations à des groupes selon le principe de privilège minimumAssign permissions to groups, using the principle of least privilege

Pour faciliter la gestion, nous vous recommandons d’utiliser des groupes d’utilisateurs Azure AD pour chaque rôle requis pour gérer les ressources de vos clients.To make management easier, we recommend using Azure AD user groups for each role required to manage your customers’ resources. Cela vous permet d’ajouter ou de supprimer un utilisateur individuel dans un groupe en fonction des besoins, plutôt que d’attribuer directement des autorisations à cet utilisateur.This lets you add or remove individual users to the group as needed, rather than assigning permissions directly to that user.

Lors de la création de votre structure d’autorisation, veillez à suivre le principe du privilège minimum afin que les utilisateurs disposent uniquement des autorisations nécessaires pour accomplir leur travail, ce qui contribue à réduire le risque d’erreurs accidentelles.When creating your permission structure, be sure to follow the principle of least privilege so that users only have the permissions needed to complete their job, helping to reduce the chance of inadvertent errors.

Par exemple, vous pouvez utiliser une structure telle que celle-ci :For example, you may want to use a structure like this:

Nom du groupeGroup name TypeType principalIdprincipalId Définition de rôleRole definition ID de définition de rôleRole definition ID
ArchitectesArchitects Groupe d'utilisateursUser group <principalId><principalId> ContributeurContributor b24988ac-6180-42a0-ab88-20f7382dd24cb24988ac-6180-42a0-ab88-20f7382dd24c
ÉvaluationAssessment Groupe d'utilisateursUser group <principalId><principalId> LecteurReader acdd72a7-3385-48ef-bd42-f606fba81ae7acdd72a7-3385-48ef-bd42-f606fba81ae7
Spécialistes des machines virtuellesVM Specialists Groupe d'utilisateursUser group <principalId><principalId> Contributeur de machine virtuelleVM Contributor 9980e02c-c2be-4d73-94e8-173b1dc7cf3c9980e02c-c2be-4d73-94e8-173b1dc7cf3c
AutomatisationAutomation Nom du principal du service (SPN)Service principal name (SPN) <principalId><principalId> ContributeurContributor b24988ac-6180-42a0-ab88-20f7382dd24cb24988ac-6180-42a0-ab88-20f7382dd24c

Une fois que vous avez créé ces groupes, vous pouvez affecter des utilisateurs en fonction des besoins.Once you’ve created these groups, you can assign users as needed. Ajoutez uniquement les utilisateurs qui ont vraiment besoin d’un accès.Only add the users who truly need to have access. Veillez à vérifier régulièrement l’appartenance aux groupes et à supprimer tous les utilisateurs dont l’inclusion n’est plus appropriée ou nécessaire.Be sure to review group membership regularly and remove any users that are no longer appropriate or necessary to include.

N’oubliez pas que, lorsque vous intégrez des clients via une offre de service managé public, tout groupe (ou utilisateur ou principal de service) que vous incluez aura les mêmes autorisations pour chaque client achetant le plan.Keep in mind that when you onboard customers through a public managed service offer, any group (or user or service principal) that you include will have the same permissions for every customer who purchases the plan. Pour affecter différents groupes afin de collaborer avec chaque client, vous devez publier un plan privé distinct exclusif pour chaque client, ou intégrer des clients individuellement à l’aide de modèles Azure Resource Manager.To assign different groups to work with each customer, you’ll need to publish a separate private plan that is exclusive to each customer, or onboard customers individually by using Azure Resource Manager templates. Par exemple, vous pouvez publier un plan public disposant d’un accès très limité, puis travailler directement avec le client pour intégrer ses ressources afin d’obtenir un accès supplémentaire à l’aide d’un modèle de ressource Azure personnalisé qui accorde un accès supplémentaire en fonction des besoins.For example, you could publish a public plan that has very limited access, then work with the customer directly to onboard their resources for additional access using a customized Azure Resource Template granting additional access as needed.

Étapes suivantesNext steps