Praktik keamanan yang direkomendasikan

Saat menggunakan Azure Lighthouse, penting untuk mempertimbangkan keamanan dan kontrol akses. Pengguna di penyewa Anda akan memiliki akses langsung ke langganan pelanggan dan grup sumber daya, sehingga Anda harus mengambil langkah-langkah untuk menjaga keamanan penyewa Anda. Anda juga ingin memastikan bahwa Anda hanya mengizinkan akses yang diperlukan untuk mengelola sumber daya pelanggan Anda secara efektif. Topik ini menyediakan rekomendasi untuk membantu Anda melakukannya.

Tip

Rekomendasi ini juga berlaku untuk perusahaan yang mengelola beberapa penyewa dengan Azure Lighthouse.

Mewajibkan Microsoft Azure Active Directory Multi-Factor Authentication

Microsoft Azure Active Directory Multi-Factor Authentication (juga dikenal sebagai verifikasi dua langkah) membantu mencegah penyerang mendapatkan akses ke akun dengan memerlukan beberapa langkah autentikasi. Anda harus mewajibkan Autentikasi Multifaktor Azure Active Directory untuk semua pengguna di penyewa pengelola Anda, termasuk pengguna yang akan memiliki akses ke sumber daya pelanggan yang didelegasikan.

Kami menyarankan agar Anda meminta pelanggan Anda untuk menerapkan Microsoft Azure Active Directory Multi-Factor Authentication di penyewa mereka juga.

Menetapkan izin ke grup, menggunakan prinsip hak istimewa minimal

Untuk mempermudah manajemen, gunakan grup Azure Active Directory (Azure AD) untuk setiap peran yang diperlukan untuk mengelola sumber daya pelanggan Anda. Ini memungkinkan Anda menambahkan atau menghapus pengguna individual ke grup jika diperlukan, daripada menetapkan izin langsung ke setiap pengguna.

Penting

Untuk menambahkan izin untuk grup Microsoft Azure AD, tipe Grup harus diatur ke Keamanan. Opsi ini dipilih ketika grup dibuat. Untuk informasi selengkapnya, lihat Membuat grup dasar dan menambahkan anggota menggunakan Azure Active Directory.

Saat membuat struktur izin Anda, pastikan untuk mengikuti prinsip hak istimewa minimal sehingga pengguna hanya memiliki izin yang diperlukan untuk menyelesaikan pekerjaan mereka, membantu mengurangi kemungkinan kesalahan yang tidak disengaja.

Misalnya, Anda mungkin ingin menggunakan struktur seperti ini:

Nama grup Jenis principalId Definisi peran ID definisi peran
Arsitek Grup pengguna <principalId> Kontributor b24988ac-6180-42a0-ab88-20f7382dd24c
Penilaian Grup pengguna <principalId> Pembaca acdd72a7-3385-48ef-bd42-f606fba81ae7
Spesialis Komputer Virtual Grup pengguna <principalId> Kontributor Komputer Virtual 9980e02c-c2be-4d73-94e8-173b1dc7cf3c
Automation Nama prinsipal layanan (SPN) <principalId> Kontributor b24988ac-6180-42a0-ab88-20f7382dd24c

Setelah membuat grup ini, Anda dapat menetapkan pengguna sesuai kebutuhan. Hanya tambahkan pengguna yang benar-benar perlu memiliki akses. Pastikan untuk meninjau keanggotaan grup secara teratur dan menghapus pengguna yang tidak lagi sesuai atau perlu disertakan.

Perlu diingat bahwa ketika Anda melakukan onboard pelanggan melalui penawaran layanan terkelola publik, grup apa pun (atau pengguna atau perwakilan layanan) yang Anda sertakan akan memiliki izin yang sama untuk setiap pelanggan yang membeli paket. Untuk menetapkan grup yang berbeda untuk bekerja dengan setiap pelanggan, Anda harus menerbitkan paket pribadi terpisah yang eksklusif untuk setiap pelanggan, atau melakukan onboard pelanggan satu per satu dengan menggunakan templat Azure Resource Manager. Misalnya, Anda dapat menerbitkan paket publik yang memiliki akses yang sangat terbatas, lalu bekerja sama dengan pelanggan secara langsung untuk melakukan onboard sumber daya mereka untuk akses tambahan menggunakan Templat Azure Resource yang dikustomisasi guna memberikan akses tambahan sesuai kebutuhan.

Tip

Anda juga dapat membuat autorisasi yang memenuhi syarat yang memungkinkan pengguna dalam penyewa pengelola Anda untuk sementara meningkatkan peran mereka. Menggunakan otorisasi yang memenuhi syarat memungkinkan Anda meminimalkan jumlah penugasan permanen pengguna ke peran istimewa, membantu mengurangi risiko keamanan yang terkait dengan akses istimewa oleh pengguna di penyewa Anda. Fitur ini saat ini berada di pratinjau publik dan memiliki persyaratan lisensi khusus. Untuk informasi selengkapnya, lihat Membuat autorisasi yang memenuhi syarat.

Langkah berikutnya