Delen via


Isolatie van resources beveiligen in één tenant in Microsoft Entra-id

Veel scheidingsscenario's kunnen worden bereikt in één tenant. Indien mogelijk raden we u aan beheer te delegeren om omgevingen in één tenant te scheiden voor de beste productiviteits- en samenwerkingservaring.

Resultaten

Resourcescheiding : als u de toegang tot resources tot gebruikers, groepen en service-principals wilt beperken, gebruikt u Directory-rollen van Microsoft Entra, beveiligingsgroepen, beleid voor voorwaardelijke toegang, Azure-resourcegroepen, Azure-beheergroepen, beheereenheden (RU's) en andere besturingselementen. Schakel afzonderlijke beheerders in om resources te beheren. Gebruik afzonderlijke gebruikers, machtigingen en toegangsvereisten.

Gebruik isolatie in meerdere tenants als dit het volgende is:

  • Resourcesets waarvoor instellingen voor de hele tenant zijn vereist
  • Minimale risicotolerantie voor onbevoegde toegang door tenantleden
  • Configuratiewijzigingen veroorzaken ongewenste effecten

Configuratiescheiding : in sommige gevallen hebben resources zoals toepassingen afhankelijkheden van configuraties voor de hele tenant, zoals verificatiemethoden of benoemde locaties. Overweeg afhankelijkheden bij het isoleren van resources. Globale beheerders kunnen de resource-instellingen en tenantbrede instellingen configureren die van invloed zijn op resources.

Als een set resources unieke tenantbrede instellingen vereist of een andere entiteit tenantinstellingen beheert, gebruikt u isolatie met meerdere tenants.

Beheerscheiding : met gedelegeerde microsoft-entra-id kunt u resourcebeheer scheiden, zoals toepassingen en API's, gebruikers en groepen, resourcegroepen en beleid voor voorwaardelijke toegang.

Globale beheerders kunnen toegang tot vertrouwensbronnen detecteren en verkrijgen. Stel controle en waarschuwingen in voor geverifieerde beheerderswijzigingen in een resource.

Gebruik beheereenheden (RU's) in Microsoft Entra ID voor administratieve scheiding. AUs beperken machtigingen in een rol tot een deel van uw organisatie dat u definieert. Gebruik AUS om de rol helpdeskbeheerder te delegeren aan regionale ondersteuningsspecialisten. Vervolgens kunnen ze gebruikers beheren in de regio die ze ondersteunen.

Diagram van beheereenheden.

Gebruik AUS om gebruikers, groepen en apparaatobjecten te scheiden. Eenheden toewijzen met regels voor dynamische lidmaatschapsgroepen.

Met Privileged Identity Management (PIM) selecteert u een persoon om aanvragen voor rollen met hoge bevoegdheden goed te keuren. Kies bijvoorbeeld beheerders waarvoor verificatiebeheerdertoegang is vereist om wijzigingen in de gebruikersverificatiemethode aan te brengen.

Notitie

Voor het gebruik van PIM is een P2-licentie voor Microsoft Entra ID P2 per persoon vereist.

Als u wilt controleren of verificatiebeheerders geen resource kunnen beheren, moet u de resource in een afzonderlijke tenant isoleren met afzonderlijke verificatiebeheerders. Gebruik deze methode voor back-ups. Zie de richtlijnen voor autorisatie voor meerdere gebruikers voor voorbeelden.

Veelvoorkomend gebruik

Een veelvoorkomend gebruik voor meerdere omgevingen in één tenant is scheiding van productie van niet-productiebronnen. In een tenant maken ontwikkelteams en toepassingseigenaren een afzonderlijke omgeving met test-apps, testgebruikers en groepen en testbeleid voor deze objecten. Op dezelfde manier maken teams niet-productie-exemplaren van Azure-resources en vertrouwde apps.

Gebruik niet-productie azure-resources en niet-productie-exemplaren van geïntegreerde Microsoft Entra-toepassingen met gelijkwaardige niet-productiemapobjecten. De niet-productiebronnen in de map zijn bedoeld om te testen.

Notitie

Vermijd meer dan één Microsoft 365-omgeving in een Microsoft Entra-tenant. U kunt echter meerdere Dynamics 365 omgevingen hebben in een Microsoft Entra-tenant.

Een ander scenario voor isolatie in één tenant is een scheiding tussen locaties, dochteronderneming of gelaagd beheer. Zie het enterprise-toegangsmodel.

Azure RBAC-toewijzingen (op rollen gebaseerd toegangsbeheer) gebruiken voor het bereikbeheer van Azure-resources. Schakel op dezelfde manier Microsoft Entra ID-beheer in van Microsoft Entra ID die toepassingen vertrouwt via meerdere mogelijkheden. Voorbeelden hiervan zijn voorwaardelijke toegang, filteren van gebruikers en groepen, toewijzingen van beheereenheden en toepassingstoewijzingen.

Als u wilt zorgen voor isolatie van Microsoft 365-services, inclusief fasering van configuratie op organisatieniveau, selecteert u een isolatie van meerdere tenants.

Beheer volgens bereiken voor Azure-resources

Gebruik Azure RBAC om een beheermodel te ontwerpen met gedetailleerde bereiken en oppervlakte. Bekijk de beheerhiërarchie in het volgende voorbeeld:

Notitie

U kunt de beheerhiërarchie definiëren op basis van organisatievereisten, beperkingen en doelstellingen. Zie de richtlijnen voor Cloud Adoption Framework voor meer informatie, het organiseren van Azure-resources.

Diagram van resource-isolatie in een tenant.

  • Beheergroep : wijs rollen toe aan beheergroepen, zodat ze geen invloed hebben op andere beheergroepen. In het vorige scenario definieert het HR-team een Azure-beleid om regio's te controleren waarin resources worden geïmplementeerd in HR-abonnementen.
  • Abonnement : wijs rollen toe aan een abonnement om te voorkomen dat dit van invloed is op andere resourcegroepen. In het vorige scenario wijst het HR-team de rol Lezer toe voor het abonnement Voordelen, zonder andere HR-abonnementen of een abonnement van een ander team te lezen.
  • Resourcegroep : wijs rollen toe aan resourcegroepen, zodat ze geen invloed hebben op andere resourcegroepen. Een technisch team van Benefits wijst de rol Inzender toe aan iemand om de testdatabase en de testweb-app te beheren of om meer resources toe te voegen.
  • Afzonderlijke resources : wijs rollen toe aan resources, zodat ze geen invloed hebben op andere resources. Het technische team van Benefits wijst een gegevensanalist de rol Cosmos DB-accountlezer toe voor het testexemplaren van de Azure Cosmos DB-database. Dit werk heeft geen invloed op de testweb-app of productieresource.

Zie ingebouwde Azure-rollen en wat is Azure RBAC?voor meer informatie.

De structuur is hiërarchisch. Daarom, hoe hoger in de hiërarchie, hoe breder het bereik, de zichtbaarheid en het effect op lagere niveaus. Bereiken op het hoogste niveau zijn van invloed op Azure-resources in de grens van de Microsoft Entra-tenant. U kunt machtigingen toepassen op meerdere niveaus. Deze actie introduceert risico's. Het toewijzen van rollen hoger in de hiërarchie kan meer toegang bieden tot een lager bereik dan u van plan bent. Microsoft Entra biedt zichtbaarheid en herstel om het risico te verminderen.

  • De hoofdbeheergroep definieert Azure-beleid en RBAC-roltoewijzingen die worden toegepast op abonnementen en resources
  • Globale beheerders kunnen de toegang tot abonnementen en beheergroepen uitbreiden

Bewaak uw bereiken op het hoogste niveau. Het is belangrijk om andere dimensies van resource-isolatie te plannen, zoals netwerken. Zie de best practices van Azure voor netwerkbeveiliging voor hulp bij Azure-netwerken. IaaS-workloads (Infrastructure as a Service) hebben scenario's waarbij identiteits- en resourceisolatie deel moeten uitmaken van het ontwerp en de strategie.

Overweeg om gevoelige of testbronnen te isoleren op basis van de conceptuele architectuur met Azure-landingszones. Wijs bijvoorbeeld identiteitsabonnementen toe aan gescheiden beheergroepen. Afzonderlijke abonnementen voor ontwikkeling in sandbox-beheergroepen. Meer informatie vindt u in de documentatie op ondernemingsniveau. Scheiding voor testen in een tenant wordt overwogen in de hiërarchie van de beheergroep van de referentiearchitectuur.

Scoped management voor Microsoft Entra ID vertrouwende toepassingen

In de volgende sectie ziet u het patroon voor het bereikbeheer van Microsoft Entra-id's die toepassingen vertrouwen.

Microsoft Entra ID ondersteunt het configureren van meerdere exemplaren van aangepaste en SaaS-apps, maar niet de meeste Microsoft-services, tegen dezelfde map met onafhankelijke gebruikerstoewijzingen. Het vorige voorbeeld heeft een productie- en testversie van de reis-app. Als u app-specifieke configuratie en beleidsscheiding wilt bereiken, implementeert u preproductieversies op basis van de bedrijfstenant. Met deze actie kunnen eigenaren van werkbelastingen tests uitvoeren met hun bedrijfsreferenties. Niet-productiemapobjecten, zoals testgebruikers en testgroepen, zijn gekoppeld aan de niet-productietoepassing met afzonderlijk eigendom van deze objecten.

Er zijn tenantbrede aspecten die van invloed zijn op het vertrouwen van toepassingen in de grens van de Microsoft Entra-tenant:

  • Globale beheerders beheren alle tenantbrede instellingen
  • Andere directoryrollen , zoals gebruikersbeheerder, toepassingsbeheerder en beheerders voor voorwaardelijke toegang, beheren tenantbrede configuratie in het bereik van de rol.

Configuratie-instellingen zoals verificatiemethoden, hybride configuraties, B2B-samenwerking toestaan van domeinen en benoemde locaties zijn tenantbreed.

Notitie

Microsoft Graph API-machtigingen en toestemmingsmachtigingen kunnen niet worden beperkt tot een groep of AU-leden. Deze machtigingen worden toegewezen op mapniveau. Alleen resourcespecifieke toestemming staat het bereik toe op resourceniveau, momenteel beperkt tot Microsoft Teams Chat-machtigingen.

Belangrijk

De levenscyclus van Microsoft SaaS-services, zoals Office 365, Microsoft Dynamics en Microsoft Exchange, is gebonden aan de Microsoft Entra-tenant. Als gevolg hiervan hebben meerdere exemplaren van deze services meerdere Microsoft Entra-tenants nodig.