Zalecane najlepsze rozwiązania dotyczące zabezpieczeń
W przypadku korzystania z usługi Azure Lighthouse należy wziąć pod uwagę zabezpieczenia i kontrolę dostępu. Użytkownicy w dzierżawie będą mieli bezpośredni dostęp do subskrypcji klientów i grup zasobów, dlatego należy wykonać kroki w celu zachowania zabezpieczeń dzierżawy. Należy również upewnić się, że zezwalasz tylko na dostęp potrzebny do efektywnego zarządzania zasobami klientów. Ten temat zawiera zalecenia ułatwiające wykonanie tych czynności.
Napiwek
Te zalecenia dotyczą również przedsiębiorstw zarządzających wieloma dzierżawami za pomocą usługi Azure Lighthouse.
Wymagaj uwierzytelniania wieloskładnikowego firmy Microsoft
Uwierzytelnianie wieloskładnikowe firmy Microsoft (nazywane również weryfikacją dwuetapową) pomaga zapobiec uzyskiwaniu dostępu do konta osobom atakującym przez wymaganie wielu kroków uwierzytelniania. Należy wymagać uwierzytelniania wieloskładnikowego firmy Microsoft dla wszystkich użytkowników w dzierżawie zarządzającej, w tym użytkowników, którzy będą mieli dostęp do delegowanych zasobów klienta.
Zalecamy, aby poprosić klientów o zaimplementowanie uwierzytelniania wieloskładnikowego firmy Microsoft w swoich dzierżawach.
Ważne
Zasady dostępu warunkowego ustawione w dzierżawie klienta nie mają zastosowania do użytkowników, którzy uzyskują dostęp do zasobów tego klienta za pośrednictwem usługi Azure Lighthouse. Tylko zasady ustawione w dzierżawie zarządzającej mają zastosowanie do tych użytkowników. Zdecydowanie zalecamy wymaganie uwierzytelniania wieloskładnikowego firmy Microsoft zarówno dla dzierżawy zarządzającej, jak i dzierżawy zarządzanej (klienta).
Przypisywanie uprawnień do grup przy użyciu zasady najniższych uprawnień
Aby ułatwić zarządzanie, użyj grup firmy Microsoft Entra dla każdej roli wymaganej do zarządzania zasobami klientów. Dzięki temu można dodawać lub usuwać poszczególnych użytkowników do grupy w razie potrzeby, zamiast przypisywać uprawnienia bezpośrednio do każdego użytkownika.
Ważne
Aby dodać uprawnienia dla grupy Microsoft Entra, typ grupy musi być ustawiony na Wartość Zabezpieczenia. Ta opcja jest wybierana podczas tworzenia grupy. Aby uzyskać więcej informacji, zobacz Tworzenie podstawowej grupy i dodawanie członków.
Podczas tworzenia struktury uprawnień należy przestrzegać zasady najniższych uprawnień, aby użytkownicy mieli tylko uprawnienia potrzebne do ukończenia zadania, co pomaga zmniejszyć prawdopodobieństwo niezamierzonych błędów.
Na przykład możesz użyć struktury podobnej do następującej:
| Nazwa grupy | Typ | principalId | Definicja roli | Identyfikator definicji roli |
|---|---|---|---|---|
| Architekci | Grupa użytkowników | <principalId> | Współautor | b24988ac-6180-42a0-ab88-20f7382dd24c |
| Ocena | Grupa użytkowników | <principalId> | Czytelnik | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| Specjaliści ds. maszyn wirtualnych | Grupa użytkowników | <principalId> | Współautor maszyny wirtualnej | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| Automatyzacja | Nazwa główna usługi (SPN) | <principalId> | Współautor | b24988ac-6180-42a0-ab88-20f7382dd24c |
Po utworzeniu tych grup możesz w razie potrzeby przypisać użytkowników. Dodaj tylko użytkowników, którzy naprawdę muszą mieć dostęp. Pamiętaj, aby regularnie przeglądać członkostwo w grupach i usuwać wszystkich użytkowników, którzy nie są już odpowiednie lub niezbędne do uwzględnienia.
Należy pamiętać, że w przypadku dołączania klientów za pośrednictwem publicznej oferty usługi zarządzanej każda grupa (lub użytkownik lub jednostka usługi), którą uwzględnisz, będzie miała takie same uprawnienia dla każdego klienta, który kupuje plan. Aby przypisać różne grupy do pracy z każdym klientem, musisz opublikować oddzielny plan prywatny, który jest wyłączny dla każdego klienta, lub dołączyć klientów indywidualnie przy użyciu szablonów usługi Azure Resource Manager. Możesz na przykład opublikować plan publiczny, który ma bardzo ograniczony dostęp, a następnie pracować z klientem bezpośrednio w celu dołączenia zasobów w celu uzyskania dodatkowego dostępu przy użyciu dostosowanego szablonu zasobów platformy Azure, udzielając dodatkowego dostępu zgodnie z potrzebami.
Napiwek
Możesz również utworzyć kwalifikujące się autoryzacje , które pozwalają użytkownikom w dzierżawie zarządzającej tymczasowo podnieść ich rolę. Korzystając z kwalifikujących się autoryzacji, można zminimalizować liczbę stałych przypisań użytkowników do ról uprzywilejowanych, co pomaga zmniejszyć zagrożenia bezpieczeństwa związane z uprzywilejowanym dostępem użytkowników w dzierżawie. Ta funkcja ma określone wymagania licencyjne. Aby uzyskać więcej informacji, zobacz Tworzenie kwalifikujących się autoryzacji.
Następne kroki
- Zapoznaj się z informacjami o punkcie odniesienia zabezpieczeń, aby dowiedzieć się, jak wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft dotyczą usługi Azure Lighthouse.
- Wdrażanie uwierzytelniania wieloskładnikowego firmy Microsoft.
- Dowiedz się więcej o środowiskach zarządzania między dzierżawami.