Doporučené postupy zabezpečení
Při používání Služby Azure Lighthouse je důležité zvážit zabezpečení a řízení přístupu. Uživatelé ve vašem tenantovi budou mít přímý přístup k zákaznickým předplatným a skupinám prostředků, takže budete chtít podniknout kroky pro zajištění zabezpečení vašeho tenanta. Také budete chtít zajistit, abyste povolili přístup, který je potřeba k efektivní správě prostředků vašich zákazníků. Toto téma obsahuje doporučení, která vám s tím pomůžou.
Tip
Tato doporučení platí také pro podniky, které spravují více tenantů pomocí Služby Azure Lighthouse.
Vyžadování vícefaktorového ověřování Microsoft Entra
Vícefaktorové ověřování Microsoft Entra (označované také jako dvoustupňové ověřování) pomáhá útočníkům zabránit v získání přístupu k účtu tím, že vyžaduje více kroků ověřování. Pro všechny uživatele ve vašem spravovaném tenantovi byste měli vyžadovat vícefaktorové ověřování Microsoft Entra, včetně uživatelů, kteří budou mít přístup k delegovaným zákaznickým prostředkům.
Doporučujeme, abyste zákazníky požádali, aby ve svých tenantech implementovali vícefaktorové ověřování Microsoft Entra.
Důležité
Zásady podmíněného přístupu nastavené v tenantovi zákazníka se nevztahují na uživatele, kteří přistupují k prostředkům daného zákazníka prostřednictvím služby Azure Lighthouse. Na tyto uživatele se vztahují jenom zásady nastavené na spravovaného tenanta. Důrazně doporučujeme vyžadovat vícefaktorové ověřování Microsoft Entra pro správu tenanta i spravovaného tenanta (zákazníka).
Přiřazení oprávnění ke skupinám pomocí principu nejnižšího oprávnění
Pro usnadnění správy používejte skupiny Microsoft Entra pro každou roli potřebnou ke správě prostředků vašich zákazníků. To vám umožní podle potřeby přidávat nebo odebírat jednotlivé uživatele do skupiny, a ne přiřazovat oprávnění přímo každému uživateli.
Důležité
Chcete-li přidat oprávnění pro skupinu Microsoft Entra, musí být typ skupiny nastaven na zabezpečení. Tato možnost je vybrána při vytvoření skupiny. Další informace najdete v tématu Vytvoření základní skupiny a přidání členů.
Při vytváření struktury oprávnění nezapomeňte dodržovat zásadu nejnižších oprávnění, aby uživatelé měli oprávnění potřebná pouze k dokončení své úlohy, což pomáhá snížit pravděpodobnost neúmyslných chyb.
Můžete například chtít použít strukturu, která vypadá takto:
| Název skupiny | Typ | principalId | Definice role | ID definice role |
|---|---|---|---|---|
| Architekti | Skupina uživatelů | <principalId> | Přispěvatel | b24988ac-6180-42a0-ab88-20f7382dd24c |
| Posouzení | Skupina uživatelů | <principalId> | Čtenář | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| Specialisté na virtuální počítače | Skupina uživatelů | <principalId> | Přispěvatel virtuálních počítačů | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| Automatizace | Hlavní název služby (SPN) | <principalId> | Přispěvatel | b24988ac-6180-42a0-ab88-20f7382dd24c |
Po vytvoření těchto skupin můžete podle potřeby přiřadit uživatele. Přidejte jenom uživatele, kteří potřebují mít přístup. Nezapomeňte pravidelně kontrolovat členství ve skupinách a odebírat všechny uživatele, které už nejsou vhodné nebo nezbytné k zahrnutí.
Mějte na paměti, že když připojíte zákazníky prostřednictvím veřejné nabídky spravovaných služeb, bude mít každá skupina (nebo uživatel nebo instanční objekt) stejná oprávnění pro každého zákazníka, který plán zakoupí. Pokud chcete přiřadit různé skupiny pro práci s jednotlivými zákazníky, budete muset publikovat samostatný soukromý plán, který je výhradní pro každého zákazníka, nebo nasadit zákazníky jednotlivě pomocí šablon Azure Resource Manageru. Můžete například publikovat veřejný plán, který má velmi omezený přístup, a pak s zákazníkem pracovat přímo na onboardingu svých prostředků pro další přístup pomocí přizpůsobené šablony prostředků Azure, která podle potřeby uděluje další přístup.
Tip
Můžete také vytvořit oprávněná autorizace , která uživatelům ve vašem spravovaném tenantovi umožní dočasně zvýšit jejich roli. Pomocí oprávněných autorizací můžete minimalizovat počet trvalých přiřazení uživatelů k privilegovaným rolím, což pomáhá snížit rizika zabezpečení související s privilegovaným přístupem uživatelů ve vašem tenantovi. Tato funkce má specifické licenční požadavky. Další informace najdete v tématu Vytváření oprávněných autorizací.
Další kroky
- Projděte si základní informace o zabezpečení a zjistěte, jak se pokyny z srovnávacího testu zabezpečení cloudu Microsoftu vztahují na Azure Lighthouse.
- Nasaďte vícefaktorové ověřování Microsoft Entra.
- Seznamte se s prostředími pro správu napříč tenanty.