Empfohlene Sicherheitsmaßnahmen
Beim Verwenden von Azure Lighthouse müssen Sicherheit und Zugriffssteuerung berücksichtigt werden. Benutzer in Ihrem Mandanten haben direkten Zugriff auf Kundenabonnements und Ressourcengruppen, weshalb Sie Maßnahmen ergreifen sollten, um die Sicherheit Ihres Mandanten aufrechtzuerhalten. Außerdem sollten Sie sicherstellen, dass Sie nur den Zugriff zulassen, der für die effektive Verwaltung der Ressourcen ihrer Kunden erforderlich ist. Dieses Thema enthält Empfehlungen, die Ihnen dabei helfen sollen.
Tipp
Diese Empfehlungen gelten auch für Unternehmen, die mehrere Mandanten mit Azure Lighthouse verwalten.
Erfordern der Microsoft Entra-Multi-Faktor-Authentifizierung
Microsoft Entra-Multi-Faktor-Authentifizierung (auch als zweistufige Überprüfung bezeichnet) trägt dazu bei, Angreifer daran zu hindern, Zugriff auf ein Konto zu erlangen, indem mehrere Authentifizierungsschritte erforderlich sind. Sie sollten Microsoft Entra-Multi-Faktor-Authentifizierung für alle Benutzer in Ihrem Verwaltungsmandanten anfordern, einschließlich Benutzer, die Zugriff auf delegierte Kundenressourcen haben werden.
Es wird empfohlen, dass Sie Ihre Kunden auffordern, Microsoft Entra-Multi-Faktor-Authentifizierung auch in ihren Mandanten zu implementieren.
Wichtig
Richtlinien für bedingten Zugriff, die für den Mandanten eines Kunden bzw. einer Kundin festgelegt sind, gelten nicht für Benutzer*innen, die über Azure Lighthouse auf die Ressourcen dieses Kunden bzw. dieser Kundin zugreifen. Nur Richtlinien, die für den verwaltenden Mandanten festgelegt sind, gelten für diese Benutzer*innen. Es wird dringend empfohlen, die Multi-Faktor-Authentifizierung von Microsoft Entra sowohl für den verwaltenden Mandanten als auch für den verwalteten Mandanten (Kundenmandanten) zu verlangen.
Zuweisen von Berechtigungen an Gruppen unter Verwendung des Prinzips der geringsten Rechte
Um die Verwaltung zu vereinfachen, verwenden Sie Microsoft Entra-Gruppen (Azure Active Directory) für jede Rolle, die zum Verwalten der Ressourcen Ihrer Kunden erforderlich ist. Auf diese Weise können Sie der Gruppe einzelne Benutzer nach Bedarf hinzufügen oder diese daraus entfernen, anstatt jedem Benutzer Berechtigungen direkt zuzuweisen.
Wichtig
Der Gruppentyp muss auf Sicherheit festgelegt werden, um Berechtigungen für eine Microsoft Entra-Gruppe hinzuzufügen. Diese Option wird bei der Erstellung der Gruppe ausgewählt. Weitere Informationen finden Sie unter Erstellen einer Basisgruppe und Hinzufügen von Mitgliedern.
Beachten Sie beim Erstellen Ihrer Berechtigungsstruktur, dass Sie das Prinzip der geringsten Rechte befolgen, damit Benutzer nur über die Berechtigungen verfügen, die zum Durchführen Ihrer Aufgaben erforderlich sind, um die Wahrscheinlichkeit von unbeabsichtigten Fehlern zu verringern.
Beispielsweise könnten Sie eine Struktur wie die folgende verwenden:
| Gruppenname | type | principalId | Rollendefinition | Rollendefinitions-ID |
|---|---|---|---|---|
| Architekten | Benutzergruppe | <principalId> | Mitwirkender | b24988ac-6180-42a0-ab88-20f7382dd24c |
| Bewertung | Benutzergruppe | <principalId> | Leser | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| VM-Spezialisten | Benutzergruppe | <principalId> | VM-Mitwirkender | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| Automation | Dienstprinzipalname (SPN) | <principalId> | Mitwirkender | b24988ac-6180-42a0-ab88-20f7382dd24c |
Nachdem Sie diese Gruppen erstellt haben, können Sie Benutzer nach Bedarf zuweisen. Fügen Sie nur die Benutzer hinzu, die wirklich Zugriff benötigen. Achten Sie darauf, dass Sie die Gruppenmitgliedschaft regelmäßig überprüfen und alle Benutzer entfernen, die nicht mehr angemessen oder erforderlich sind.
Bedenken Sie, dass jede Gruppe (bzw. jeder Benutzer oder Dienstprinzipal), wenn Sie das Onboarding von Kunden über ein öffentliches verwaltetes Dienstangebot durchführen, die Sie einschließen, über dieselben Berechtigungen für jeden Kunden verfügt, der den Plan kauft. Um verschiedene Gruppen für die Arbeit mit den einzelnen Kunden zuzuweisen, müssen Sie einen gesonderten privaten Plan veröffentlichen, der exklusiv für jeden Kunden ist, oder Sie müssen Kunden einzeln aufnehmen, indem Sie Azure Resource Manager-Vorlagen verwenden. Beispielsweise könnten Sie einen öffentlichen Plan veröffentlichen, der nur über sehr eingeschränkten Zugriff verfügt, und dann mit dem Kunden direkt zusammenarbeiten, um dessen Ressourcen für zusätzlichen Zugriff zu integrieren, indem Sie eine angepasste Azure Resource Manager-Vorlage verwenden, die nach Bedarf zusätzlichen Zugriff gewährt.
Tipp
Sie können auch berechtigte Autorisierungen erstellen, mit denen Benutzer in Ihrem verwaltungsfähigen Mandanten vorübergehend ihre Rolle erhöhen können. Durch Verwenden von berechtigten Autorisierungen können Sie die Anzahl von permanenten Benutzerzuweisungen zu privilegierten Rollen verringern. Dadurch werden Sicherheitsrisiken im Zusammenhang mit privilegiertem Zugriff durch Benutzer in Ihrem Mandanten minimiert. Für dieses Feature gelten spezifische Lizenzierungsanforderungen. Weitere Informationen finden Sie unter Erstellen von berechtigten Autorisierungen.
Nächste Schritte
- Lesen Sie die Informationen zur Sicherheitsbaseline, um mehr darüber zu erfahren, inwiefern Anweisungen aus dem Microsoft-Benchmark für Cloudsicherheit auf Azure Lighthouse anwendbar sind.
- Bereitstellen der Microsoft Entra-Multi-Faktor-Authentifizierung.
- Erfahren Sie über Mandantenübergreifende Verwaltungsmöglichkeiten.