推奨セキュリティ プラクティス
Azure Lighthouse を使用する場合、セキュリティとアクセス制御を考慮することが重要です。 テナント内のユーザーは、顧客のサブスクリプションとリソース グループに直接アクセスできるようになるため、テナントのセキュリティを確保するための手順を実行する必要があります。 また許可の対象も、顧客のリソースを効果的に管理するうえで必要なアクセス権に限定することが必要です。 このトピックでは、そのために役立つ推奨事項を紹介しています。
ヒント
これらの推奨事項は、Azure Lighthouse を使用して複数のテナントを管理するエンタープライズにも適用されます。
Microsoft Entra 多要素認証を要求する
Microsoft Entra 多要素認証 (2 段階認証とも呼ばれます) には、複数の認証ステップを要求することで、攻撃者によるアカウントへのアクセスを阻止する効果があります。 委任された顧客のリソースにアクセスできるユーザーを含め、管理テナント内のすべてのユーザー に対して、Microsoft Entra 多要素認証 を必要求する必要があります。
顧客にもテナントに Microsoft Entra 多要素認証 の導入を依頼することをお勧めします。
重要
顧客のテナントに設定されている条件付きアクセス ポリシーは、Azure Lighthouse を介してその顧客のリソースにアクセスするユーザーには適用されません。 管理テナントに設定されているポリシーのみが、それらのユーザーに適用されます。 管理テナントとマネージド (顧客) テナントの両方に Microsoft Entra 多要素認証を要求することを強くお勧めします。
最小限の特権の原則を使用してグループにアクセス許可を割り当てる
管理を容易にするために、顧客のリソースを管理するうえで必要なロールごとに Microsoft Entra グループを使用します。 そうすることで、各ユーザーに直接アクセス許可を割り当てずに、必要に応じて個々のユーザーをグループに追加したり、グループから削除したりすることができます。
重要
Microsoft Entra グループのアクセス許可を追加するには、[グループの種類] を [セキュリティ] に設定する必要があります。 このオプションは、グループの作成時に選択します。 詳細については、「基本的なグループを作成してメンバーを追加する」を参照してください。
アクセス許可の体系を作成する際は、ユーザーがジョブの完了に必要なアクセス許可のみを持ち、不注意によるエラーの可能性が低くなるように、必ず最小限の特権の原則に従ってください。
たとえば、次のような体系を使用することが考えられます。
| グループ名 | Type | principalId | ロール定義 | ロール定義 ID |
|---|---|---|---|---|
| Architects | ユーザー グループ | <principalId> | Contributor | b24988ac-6180-42a0-ab88-20f7382dd24c |
| 評価 | ユーザー グループ | <principalId> | Reader | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| VM Specialists | ユーザー グループ | <principalId> | VM 共同作成者 | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| オートメーション | サービス プリンシパル名 (SPN) | <principalId> | Contributor | b24988ac-6180-42a0-ab88-20f7382dd24c |
これらのグループを作成したら、必要に応じてユーザーを割り当てることができます。 追加するのは、本当にアクセスを必要とするユーザーに限定します。 グループ メンバーシップを定期的に見直し、メンバーに含めることへの妥当性や必要性を失ったユーザーがいれば削除してください。
パブリック マネージド サービス オファーを通じて顧客をオンボードすると、追加したすべてのグループ (またはユーザーあるいはサービス プリンシパル) は、そのプランを購入したすべての顧客に対して同じアクセス許可を持つことに注意してください。 顧客ごとに異なる担当グループを割り当てるには、各顧客に限定された個別のプライベート プランを公開するか、Azure Resource Manager テンプレートを使用して顧客を個別にオンボードする必要があります。 たとえば、アクセスがごく限られたパブリック プランを公開しておき、追加のアクセス権については、顧客と直接連携しながら、カスタマイズされた Azure リソーステンプレートを使用して、そのリソースをオンボードし、必要に応じて別途アクセス権を付与していくことが考えられます。
ヒント
適格認可を作成して、管理中のテナントのユーザーが一時的にロールを昇格できるようにすることもできます。 適格認可を使用することで、特権ロールへのユーザーの永続的な割り当ての数を最小限に抑え、テナント内のユーザーによる特権アクセスに関連するセキュリティ リスクを軽減するのに役立ちます。 この機能には、特定のライセンス要件があります。 詳細については、「適格認可を作成する」を参照してください。
次のステップ
- セキュリティ ベースライン情報を確認して、Microsoft クラウド セキュリティ ベンチマークのガイダンスが Azure Lighthouse にどう適用されるかを理解します。
- Microsoft Entra 多要素認証をデプロイします。
- テナント間の管理エクスペリエンスについて学習します。