Önerilen güvenlik uygulamaları
uygulama Azure Lighthouse,güvenlik ve erişim denetimi dikkate önemlidir. Kiracınız kullanıcıları müşteri aboneliklerine ve kaynak gruplarına doğrudan erişime sahip olur, bu nedenle kiracının güvenliğini korumak için adımlar atabilirsiniz. Ayrıca yalnızca müşterinizin kaynaklarını etkili bir şekilde yönetmek için gereken erişime izin vermenizi de sağlayacaktır. Bu konu, bu konuda size yardımcı olacak öneriler sağlar.
İpucu
Bu öneriler, birden çok kiracıyı tek bir kiracıyla yöneten kuruluşlar Azure Lighthouse.
Azure AD Multi-Factor Authentication’ı zorunlu kılma
Azure AD Multi-Factor Authentication (iki aşamalı doğrulama olarak da bilinir), saldırganların birden çok kimlik doğrulama adımı gerektirerek bir hesaba erişmesini önlemeye yardımcı olur. Temsilci olarak müşteri kaynaklarına erişimi olacak kullanıcılar da dahil olmak üzere, yönetim kiracınız içinde tüm kullanıcılar için Azure AD Multi-Factor Authentication'a gerek vardır.
Müşterilerinizden kiracılarında Da Azure AD Multi-Factor Authentication'ın uygulanmasını istemenizi öneririz.
En az ayrıcalık ilkesini kullanarak gruplara izin atama
Yönetimi kolaylaştırmak için, Azure Active Directory yönetmek için gereken her rol için bir grup (Azure AD) grubu kullanın. Bu, izinleri doğrudan her kullanıcıya atamak yerine gruba tek tek kullanıcıları eklemenize veya kaldırmanıza olanak sağlar.
Önemli
Bir Azure AD grubuna izinler eklemek için Grup türü Güvenlik olarak ayar gerekir. Grup oluşturulduğunda bu seçenek seçilir. Daha fazla bilgi için bkz. Temel bir grup oluşturma ve Azure Active Directory.
İzin yapınızı oluştururken, kullanıcıların yalnızca işlerini tamamlamak için gereken izinlere sahip olması için en düşük ayrıcalık ilkesini takip ederek yanlışlıkla hata yapma ihtimalini azaltmaya yardımcı olun.
Örneğin, aşağıdakine benzer bir yapı kullanmak istiyor olabilir:
| Grup adı | Tür | principalId | Rol tanımı | Rol tanımı kimliği |
|---|---|---|---|---|
| Mimarlar | Kullanıcı grubu | <principalId> | Katkıda Bulunan | b24988ac-6180-42a0-ab88-20f7382dd24c |
| Değerlendirme | Kullanıcı grubu | <principalId> | Okuyucu | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| VM Uzmanları | Kullanıcı grubu | <principalId> | VM Katkıda Bulunanı | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| Otomasyon | Hizmet asıl adı (SPN) | <principalId> | Katılımcı | b24988ac-6180-42a0-ab88-20f7382dd24c |
Bu grupları oluşturduktan sonra, kullanıcıları gereken şekilde atabilirsiniz. Yalnızca gerçekten erişimi olan kullanıcıları ekleyin. Grup üyeliğini düzenli olarak gözden geçirmeyi ve artık dahil etmek için uygun veya gerekli olan tüm kullanıcıları kaldırabilirsiniz.
Müşterileri bir genel yönetilen hizmet teklifi aracılığıyla dahil ederken, dahil edersiniz herhangi bir grup (veya kullanıcı veya hizmet sorumlusu) planı satın alan her müşteri için aynı izinlere sahip olur. Her müşteriyle çalışmak için farklı gruplar atamak için her müşteriye özel ayrı bir özel plan yayımlamanız veya farklı şablonlar kullanarak müşterileri tek tek Azure Resource Manager gerekir. Örneğin, çok sınırlı erişimi olan bir genel plan yayımlayın, ardından gerektiğinde ek erişim izni vermek üzere özelleştirilmiş bir Azure Kaynak Şablonu kullanarak kaynaklarını ek erişim için eklemesi için müşteriyle doğrudan çalışabilirsiniz.
İpucu
Ayrıca, yönetim kiracısı kullanıcılarınıza rollerini geçici olarak yükseltme iznini olan uygun yetkilendirmeler de oluşturabilirsiniz. Uygun yetkilendirmeleri kullanarak, kiracınız kullanıcıları tarafından ayrıcalıklı erişimle ilgili güvenlik risklerinin azaltılmasına yardımcı olmak için kullanıcıların ayrıcalıklı rollere kalıcı atama sayısını en aza abilirsiniz. Bu özellik şu anda genel önizlemededir ve belirli lisans gereksinimlerine sahiptir. Daha fazla bilgi için bkz. Uygun yetkilendirmeler oluşturma.
Sonraki adımlar
- Azure Güvenlik Karşılaştırması kılavuzunda yer alan kılavuzun güvenlik temeli bilgilerini gözden geçirebilirsiniz Azure Lighthouse.
- Azure AD Multi-Factor Authentication dağıtın.
- Kiracılar arası yönetim deneyimleri hakkında bilgi edinin.