Rekommenderade säkerhetsmetoder

  • Artikel
  • 2 minuter för att läsa

När du Azure Lighthouseär det viktigt att tänka på säkerhet och åtkomstkontroll. Användare i din klientorganisation har direkt åtkomst till kundprenumerationer och resursgrupper, så du bör vidta åtgärder för att upprätthålla klientorganisationens säkerhet. Du bör också se till att endast tillåta den åtkomst som behövs för att effektivt hantera kundernas resurser. Det här avsnittet innehåller rekommendationer som hjälper dig att göra det.

Tips

Dessa rekommendationer gäller även för företag som hanterar flera klienter med Azure Lighthouse.

Kräv Azure AD-multifaktorautentisering

Azure AD Multi-Factor Authentication (kallas även tvåstegsverifiering) hjälper till att förhindra att angripare får åtkomst till ett konto genom att kräva flera autentiseringssteg. Du bör kräva Azure AD Multi-Factor Authentication för alla användare i din hanterande klientorganisation, inklusive användare som har åtkomst till delegerade kundresurser.

Vi rekommenderar att du ber dina kunder att implementera Azure AD Multi-Factor Authentication i sina klienter också.

Tilldela behörigheter till grupper med principen om minsta behörighet

För att underlätta hanteringen använder du Azure Active Directory (Azure AD) för varje roll som krävs för att hantera dina kunders resurser. På så sätt kan du lägga till eller ta bort enskilda användare i gruppen efter behov, i stället för att tilldela behörigheter direkt till varje användare.

Viktigt

För att du ska kunna lägga till behörigheter för en Azure AD-grupp måste grupptypen vara inställd på Säkerhet. Det här alternativet väljs när gruppen skapas. Mer information finns i Skapa en grundläggande grupp och lägga till medlemmar med hjälp av Azure Active Directory.

När du skapar din behörighetsstruktur måste du följa principen om minsta behörighet så att användarna bara har de behörigheter som krävs för att slutföra sitt jobb, vilket minskar risken för oavsiktliga fel.

Du kanske till exempel vill använda en struktur som den här:

Gruppnamn Typ principalId Rolldefinition Rolldefinitions-ID
Arkitekter Användargrupp <principalId> Deltagare b24988ac-6180-42a0-ab88-20f7382dd24c
Utvärdering Användargrupp <principalId> Läsare acdd72a7-3385-48ef-bd42-f606fba81ae7
VM-specialister Användargrupp <principalId> VM-deltagare 9980e02c-c2be-4d73-94e8-173b1dc7cf3c
Automation Tjänstens huvudnamn (SPN) <principalId> Deltagare b24988ac-6180-42a0-ab88-20f7382dd24c

När du har skapat dessa grupper kan du tilldela användare efter behov. Lägg bara till de användare som verkligen behöver åtkomst. Se till att granska gruppmedlemskap regelbundet och ta bort alla användare som inte längre är lämpliga eller nödvändiga att inkludera.

Tänk på att alla grupper (eller användare eller tjänstens huvudnamn) som du inkluderar har samma behörigheter för varje kund som köper planen när du ger kunder tillgång till ett offentligt erbjudande för hanterade tjänster. Om du vill tilldela olika grupper att arbeta med varje kund måste du publicera en separat privat plan som är exklusiv för varje kund, eller registrera kunder individuellt med hjälp av Azure Resource Manager mallar. Du kan till exempel publicera en offentlig plan som har mycket begränsad åtkomst och sedan arbeta med kunden direkt för att registrera sina resurser för ytterligare åtkomst med hjälp av en anpassad Azure-resursmall som beviljar ytterligare åtkomst efter behov.

Tips

Du kan också skapa berättigade auktoriseringar som låter användare i din hanterande klient tillfälligt höja sin roll. Genom att använda berättigade auktoriseringar kan du minimera antalet permanenta tilldelningar av användare till privilegierade roller, vilket bidrar till att minska säkerhetsrisker relaterade till privilegierad åtkomst för användare i din klientorganisation. Den här funktionen är för närvarande i offentlig förhandsversion och har specifika licensieringskrav. Mer information finns i Skapa berättigade auktoriseringar.

Nästa steg