Pratiques de sécurité recommandées
Lorsque vous utilisez Azure Lighthouse, il est important de prendre en compte la sécurité et le contrôle d’accès. Les utilisateurs de votre locataire ayant un accès direct aux abonnements et aux groupes de ressources du client, il est souhaitable de prendre des mesures pour maintenir la sécurité de votre locataire. Vous devez également vous assurer que vous autorisez uniquement l’accès nécessaire pour gérer efficacement les ressources de vos clients. Cette rubrique fournit des recommandations pour vous y aider.
Conseil
Ces recommandations s’appliquent également aux entreprises qui gèrent plusieurs locataires avec Azure Lighthouse.
Exiger l’authentification multifacteur Microsoft Entra
L’authentification multifacteur Microsoft Entra (également appelée vérification en deux étapes) permet d’empêcher les attaquants d’accéder à un compte en exigeant plusieurs étapes d’authentification. Vous devez exiger l’authentification multifacteur Microsoft Entra auprès de tous les utilisateurs de votre locataire gérant, notamment les utilisateurs qui auront accès aux ressources déléguées du client.
Nous vous recommandons de demander à vos clients d’implémenter également l’authentification multifacteur Microsoft Entra dans leurs locataires.
Important
Les stratégies d’accès conditionnel définies sur le locataire d’un client ne s’appliquent pas aux utilisateurs qui accèdent aux ressources de ce client via Azure Lighthouse. Seules les stratégies définies sur le locataire de gestion s’appliquent à ces utilisateurs. Nous vous recommandons vivement d’exiger l’authentification multifacteur Microsoft Entra pour le locataire de gestion et le locataire géré (client).
Affecter des autorisations à des groupes selon le principe de privilège minimum
Pour faciliter la gestion, utilisez des groupes Microsoft Entra pour chaque rôle requis afin de gérer les ressources de vos clients. Cela vous permet d’ajouter ou de supprimer des utilisateurs dans un groupe en fonction des besoins, plutôt que d’attribuer directement des autorisations à chaque utilisateur.
Important
Pour que vous puissiez ajouter des autorisations pour un groupe Microsoft Entra, le Type de groupe doit être défini sur Sécurité. Cette option est sélectionnée lors de la création du groupe. Pour plus d’informations, consultez Créer un groupe de base et ajouter des membres.
Lors de la création de votre structure d’autorisation, veillez à suivre le principe du privilège minimum afin que les utilisateurs disposent uniquement des autorisations nécessaires pour accomplir leur travail, ce qui contribue à réduire le risque d’erreurs accidentelles.
Par exemple, vous pouvez utiliser une structure telle que celle-ci :
Nom du groupe | Type | principalId | Définition de rôle | ID de définition de rôle |
---|---|---|---|---|
Architectes | Groupe d'utilisateurs | <principalId> | Contributeur | b24988ac-6180-42a0-ab88-20f7382dd24c |
Évaluation | Groupe d'utilisateurs | <principalId> | Lecteur | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
Spécialistes des machines virtuelles | Groupe d'utilisateurs | <principalId> | Contributeur de machine virtuelle | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
Automatisation | Nom du principal du service (SPN) | <principalId> | Contributeur | b24988ac-6180-42a0-ab88-20f7382dd24c |
Une fois que vous avez créé ces groupes, vous pouvez affecter des utilisateurs en fonction des besoins. Ajoutez uniquement les utilisateurs qui ont vraiment besoin d’un accès. Veillez à vérifier régulièrement l’appartenance aux groupes et à supprimer tous les utilisateurs dont l’inclusion n’est plus appropriée ou nécessaire.
N’oubliez pas que, lorsque vous intégrez des clients via une offre de service managé public, tout groupe (ou utilisateur ou principal de service) que vous incluez aura les mêmes autorisations pour chaque client achetant le plan. Pour affecter différents groupes afin de collaborer avec chaque client, vous devez publier un plan privé distinct exclusif pour chaque client, ou intégrer des clients individuellement à l’aide de modèles Azure Resource Manager. Par exemple, vous pouvez publier un plan public disposant d’un accès très limité, puis travailler directement avec le client pour intégrer ses ressources afin d’obtenir un accès supplémentaire à l’aide d’un modèle de ressource Azure personnalisé qui accorde un accès supplémentaire en fonction des besoins.
Conseil
Vous pouvez également créer des autorisations éligibles qui permettent aux utilisateurs de votre locataire de gestion d’élever temporairement leur rôle. Les autorisations éligibles vous permettent de réduire le nombre d’attributions permanentes de rôles privilégiés à des utilisateurs, ce qui contribue à réduire les risques de sécurité liés aux accès privilégiés attribués aux utilisateurs de votre locataire. Cette fonctionnalité a des exigences spécifiques en matière de licences. Pour plus d’informations, consultez Créer des autorisations éligibles.
Étapes suivantes
- Passez en revue les informations de la base de référence de la sécurité pour comprendre comment les conseils issus du point de référence de la sécurité du cloud Microsoft s’appliquent à Azure Lighthouse.
- Déployer l’authentification multifacteur Microsoft Entra.
- Découvrez les Expériences de gestion inter-locataire.