Önerilen güvenlik uygulamaları

uygulama Azure Lighthouse,güvenlik ve erişim denetimi dikkate önemlidir. Kiracınız kullanıcıları müşteri aboneliklerine ve kaynak gruplarına doğrudan erişime sahip olur, bu nedenle kiracının güvenliğini korumak için adımlar atabilirsiniz. Ayrıca yalnızca müşterinizin kaynaklarını etkili bir şekilde yönetmek için gereken erişime izin vermenizi de sağlayacaktır. Bu konu, bu konuda size yardımcı olacak öneriler sağlar.

İpucu

Bu öneriler, birden çok kiracıyı tek bir kiracıyla yöneten kuruluşlar Azure Lighthouse.

Azure AD Multi-Factor Authentication’ı zorunlu kılma

Azure AD Multi-Factor Authentication (iki aşamalı doğrulama olarak da bilinir), saldırganların birden çok kimlik doğrulama adımı gerektirerek bir hesaba erişmesini önlemeye yardımcı olur. Temsilci olarak müşteri kaynaklarına erişimi olacak kullanıcılar da dahil olmak üzere, yönetim kiracınız içinde tüm kullanıcılar için Azure AD Multi-Factor Authentication'a gerek vardır.

Müşterilerinizden kiracılarında Da Azure AD Multi-Factor Authentication'ın uygulanmasını istemenizi öneririz.

En az ayrıcalık ilkesini kullanarak gruplara izin atama

Yönetimi kolaylaştırmak için, Azure Active Directory yönetmek için gereken her rol için bir grup (Azure AD) grubu kullanın. Bu, izinleri doğrudan her kullanıcıya atamak yerine gruba tek tek kullanıcıları eklemenize veya kaldırmanıza olanak sağlar.

Önemli

Bir Azure AD grubuna izinler eklemek için Grup türü Güvenlik olarak ayar gerekir. Grup oluşturulduğunda bu seçenek seçilir. Daha fazla bilgi için bkz. Temel bir grup oluşturma ve Azure Active Directory.

İzin yapınızı oluştururken, kullanıcıların yalnızca işlerini tamamlamak için gereken izinlere sahip olması için en düşük ayrıcalık ilkesini takip ederek yanlışlıkla hata yapma ihtimalini azaltmaya yardımcı olun.

Örneğin, aşağıdakine benzer bir yapı kullanmak istiyor olabilir:

Grup adı Tür principalId Rol tanımı Rol tanımı kimliği
Mimarlar Kullanıcı grubu <principalId> Katkıda Bulunan b24988ac-6180-42a0-ab88-20f7382dd24c
Değerlendirme Kullanıcı grubu <principalId> Okuyucu acdd72a7-3385-48ef-bd42-f606fba81ae7
VM Uzmanları Kullanıcı grubu <principalId> VM Katkıda Bulunanı 9980e02c-c2be-4d73-94e8-173b1dc7cf3c
Otomasyon Hizmet asıl adı (SPN) <principalId> Katılımcı b24988ac-6180-42a0-ab88-20f7382dd24c

Bu grupları oluşturduktan sonra, kullanıcıları gereken şekilde atabilirsiniz. Yalnızca gerçekten erişimi olan kullanıcıları ekleyin. Grup üyeliğini düzenli olarak gözden geçirmeyi ve artık dahil etmek için uygun veya gerekli olan tüm kullanıcıları kaldırabilirsiniz.

Müşterileri bir genel yönetilen hizmet teklifi aracılığıyla dahil ederken, dahil edersiniz herhangi bir grup (veya kullanıcı veya hizmet sorumlusu) planı satın alan her müşteri için aynı izinlere sahip olur. Her müşteriyle çalışmak için farklı gruplar atamak için her müşteriye özel ayrı bir özel plan yayımlamanız veya farklı şablonlar kullanarak müşterileri tek tek Azure Resource Manager gerekir. Örneğin, çok sınırlı erişimi olan bir genel plan yayımlayın, ardından gerektiğinde ek erişim izni vermek üzere özelleştirilmiş bir Azure Kaynak Şablonu kullanarak kaynaklarını ek erişim için eklemesi için müşteriyle doğrudan çalışabilirsiniz.

İpucu

Ayrıca, yönetim kiracısı kullanıcılarınıza rollerini geçici olarak yükseltme iznini olan uygun yetkilendirmeler de oluşturabilirsiniz. Uygun yetkilendirmeleri kullanarak, kiracınız kullanıcıları tarafından ayrıcalıklı erişimle ilgili güvenlik risklerinin azaltılmasına yardımcı olmak için kullanıcıların ayrıcalıklı rollere kalıcı atama sayısını en aza abilirsiniz. Bu özellik şu anda genel önizlemededir ve belirli lisans gereksinimlerine sahiptir. Daha fazla bilgi için bkz. Uygun yetkilendirmeler oluşturma.

Sonraki adımlar