Önerilen güvenlik uygulamalarıRecommended security practices

Azure Temsilcili kaynak yönetimini kullanırken, güvenlik ve erişim denetimi göz önünde bulundurmanız önemlidir.When using Azure delegated resource management, it’s important to consider security and access control. Kiracınızdaki kullanıcılar müşteri aboneliklerine ve kaynak gruplarına doğrudan erişebilir, bu nedenle kiracınızın güvenliğini sağlamak için adımları uygulamanız gerekir.Users in your tenant will have direct access to customer subscriptions and resource groups, so you’ll want to take steps to maintain your tenant’s security. Ayrıca, yalnızca müşterilerinizin kaynaklarını etkin bir şekilde yönetmek için gereken erişime izin verdiğinizden emin olmak isteyeceksiniz.You’ll also want to make sure you only allow the access that’s needed to effectively manage your customers’ resources. Bu konu, bunu yapmanıza yardımcı olacak öneriler sağlar.This topic provides recommendations to help you do so.

Azure Multi-Factor Authentication gerektirRequire Azure Multi-Factor Authentication

Azure Multi-Factor Authentication (iki adımlı doğrulama olarak da bilinir), saldırganların birden çok kimlik doğrulama adımı gerektirerek bir hesaba erişim sağlamasını önlemeye yardımcı olur.Azure Multi-Factor Authentication (also known as two-step verification) helps prevent attackers from gaining access to an account by requiring multiple authentication steps. Müşteri kaynaklarına erişimi olacak kullanıcılar da dahil olmak üzere, hizmet sağlayıcı kiracınızdaki tüm kullanıcılar için Multi-Factor Authentication gerekir.You should require Multi-Factor Authentication for all users in your service provider tenant, including any users who will have access to customer resources.

Müşterilerinizin kiracılarında Azure Multi-Factor Authentication uygulamasını da sağlamasını öneririz.We suggest that you ask your customers to implement Azure Multi-Factor Authentication in their tenants as well.

En az ayrıcalık ilkesini kullanarak gruplara izin atamaAssign permissions to groups, using the principle of least privilege

Yönetimi kolaylaştırmak için, müşterilerinizin kaynaklarını yönetmek için gereken her bir rol için Azure AD Kullanıcı gruplarını kullanmanızı öneririz.To make management easier, we recommend using Azure AD user groups for each role required to manage your customers’ resources. Bu, izinleri doğrudan bu kullanıcıya atamak yerine, her kullanıcıyı gerektiği gibi eklemenize veya kaldırmanıza olanak sağlar.This lets you add or remove individual users to the group as needed, rather than assigning permissions directly to that user.

İzin yapınızı oluştururken, kullanıcıların yalnızca işini tamamlaması için gerekli izinlere sahip olması için en az ayrıcalık ilkesini izlediğinizden emin olun, böylece yanlışlıkla oluşan hatalara karşı daha fazla hata olasılığını azaltır.When creating your permission structure, be sure to follow the principle of least privilege so that users only have the permissions needed to complete their job, helping to reduce the chance of inadvertent errors.

Örneğin, aşağıdaki gibi bir yapı kullanmak isteyebilirsiniz:For example, you may want to use a structure like this:

Grup adıGroup name TürType PrincipalIdprincipalId Rol tanımıRole definition Rol tanımı KIMLIĞIRole definition ID
LarıArchitects Kullanıcı grubuUser group <PrincipalId><principalId> KatılımcıContributor b24988ac-6180-42a0-ab88-20f7382dd24cb24988ac-6180-42a0-ab88-20f7382dd24c
DeğerlendirmeAssessment Kullanıcı grubuUser group <PrincipalId><principalId> OkuyucuReader acdd72a7-3385-48ef-bd42-f606fba81ae7acdd72a7-3385-48ef-bd42-f606fba81ae7
VM uzmanlarıVM Specialists Kullanıcı grubuUser group <PrincipalId><principalId> VM KatılımcısıVM Contributor 9980e02c-c2be-4d73-94e8-173b1dc7cf3c9980e02c-c2be-4d73-94e8-173b1dc7cf3c
OtomasyonAutomation Hizmet asıl adı (SPN)Service principal name (SPN) <PrincipalId><principalId> KatılımcıContributor b24988ac-6180-42a0-ab88-20f7382dd24cb24988ac-6180-42a0-ab88-20f7382dd24c

Bu grupları oluşturduktan sonra, gerektiğinde kullanıcıları atayabilirsiniz.Once you’ve created these groups, you can assign users as needed. Yalnızca, erişimi olması gereken kullanıcıları ekleyin.Only add the users who truly need to have access. Grup üyeliğini düzenli olarak gözden geçirdiğinizden emin olun ve artık uygun veya gerekli olmayan tüm kullanıcıları kaldırın.Be sure to review group membership regularly and remove any users that are no longer appropriate or necessary to include.

Ortak yönetilen bir hizmet teklifi aracılığıyla müşterilerieklediğinizde, eklediğiniz herhangi bir grup (veya Kullanıcı veya hizmet sorumlusu) planı satın alan her müşteri için aynı izinlere sahip olacağını unutmayın.Keep in mind that when you onboard customers through a public managed service offer, any group (or user or service principal) that you include will have the same permissions for every customer who purchases the plan. Her müşteriyle çalışacak farklı gruplar atamak için, her müşteri için özel olarak özel bir plan yayımlamanız veya Azure Resource Manager şablonlarını kullanarak müşterileri ayrı ayrı birlikte yayımlamanız gerekir.To assign different groups to work with each customer, you’ll need to publish a separate private plan that is exclusive to each customer, or onboard customers individually by using Azure Resource Manager templates. Örneğin, çok sınırlı erişimi olan bir genel planı yayımlayabilir ve daha sonra gerekli şekilde ek erişim sağlayan özelleştirilmiş bir Azure kaynak şablonu kullanarak daha fazla erişim sağlamak için müşteriyle doğrudan birlikte çalışabilirsiniz.For example, you could publish a public plan that has very limited access, then work with the customer directly to onboard their resources for additional access using a customized Azure Resource Template granting additional access as needed.

Sonraki adımlarNext steps