Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Безопасность ресурсов — это совместная работа между поставщиком облачных служб, Azure и вами. Подписки на разработку и тестирование Azure и Microsoft Defender для облака предоставляют средства, необходимые для защиты сети, защиты служб и обеспечения безопасности.
Важные средства в подписках Azure Dev/Test помогают создавать безопасный доступ к ресурсам:
- Группы управления Azure
- Azure Lighthouse (маяк Azure)
- Мониторинг кредитов
- Microsoft Entra ID
Группы управления Azure
При включении и настройке подписок Azure Dev/Test Azure azure развертывает иерархию ресурсов по умолчанию для управления удостоверениями и доступом к ресурсам в одном домене Microsoft Entra. Иерархия ресурсов позволяет вашей организации настраивать надежные периметры безопасности для ресурсов и пользователей.
В иерархию ресурсов входят сами ресурсы, группы ресурсов, подписки, группы управления и клиент. Обновление и изменение этих параметров в пользовательских ролях Azure или назначениях политик Azure может повлиять на каждый ресурс в иерархии ресурсов. Важно защитить иерархию ресурсов от изменений, которые могут негативно повлиять на все ресурсы.
Группы управления Azure являются важным аспектом управления доступом и защитой ресурсов в одном клиенте. Группы управления Azure позволяют задавать квоты, политики Azure и безопасность для разных типов подписок. Эти группы являются жизненно важным компонентом разработки и тестирования подписок вашей организации.
Как видно, использование групп управления изменяет иерархию по умолчанию и добавляет уровень для групп управления. Это поведение может потенциально создать непредвиденные обстоятельства и пробелы в безопасности, если вы не следуйте соответствующему процессу для защиты иерархии ресурсов
Почему группы управления Azure полезны?
При разработке политик безопасности для подписок разработки и тестирования организации может потребоваться несколько подписок разработки и тестирования на единицу организации или бизнес-область. Визуальный элемент этой группировки управления можно увидеть на следующей схеме.
Вы также можете выбрать одну подписку разработки и тестирования для всех разных единиц.
Группы управления Azure и подписки разработки и тестирования служат барьером безопасности в структуре организации.
Этот барьер безопасности имеет два компонента:
- Удостоверение и доступ: может потребоваться сегментировать доступ к определенным ресурсам
- Данные: разные подписки для ресурсов, обращаюющихся к персональным данным
Использование клиентов Microsoft Entra
Клиент — это выделенный экземпляр идентификатора Microsoft Entra, который получает разработчик организации или приложения, когда организация или разработчик приложений создает связь с Корпорацией Майкрософт, например регистрация в Azure, Microsoft Intune или Microsoft 365.
Каждый клиент Microsoft Entra отделен от других клиентов Microsoft Entra. Каждый клиент Microsoft Entra имеет собственное представление рабочих и учебных удостоверений, удостоверений потребителей (если это внешний клиент) и регистрации приложений. Регистрация приложения в клиенте позволяет выполнять проверку подлинности из учетных записей только в вашем клиенте или во всех клиентах.
Если необходимо дополнительно разделить инфраструктуру удостоверений организации за пределами групп управления в одном клиенте, можно также создать другие клиенты с собственной иерархией ресурсов.
Простой способ сделать отдельные ресурсы и пользователей — создать новый клиент Microsoft Entra.
Создание нового клиента Microsoft Entra
Если у вас нет клиента Microsoft Entra или вы хотите создать новую для разработки, ознакомьтесь с кратким руководством по созданию каталога или следуйте инструкциям по созданию каталога. Чтобы создать новый клиент, необходимо указать следующие сведения:
- Название организации
- Исходный домен — это часть /*.onmicrosoft.com. Вы сможете настроить домен позже.
- Страна или регион
Дополнительные сведения о создании и настройке клиентов Microsoft Entra
Использование Azure Lighthouse для управления несколькими клиентами
Azure Lighthouse обеспечивает кросс-и мультитенантное управление, что позволяет повысить автоматизацию, масштабируемость и расширенное управление ресурсами и клиентами. Поставщики услуг могут предоставлять управляемые службы с помощью комплексных и надежных средств управления, встроенных в платформу Azure. Клиенты поддерживают контроль над тем, кто обращается к своему клиенту, какие ресурсы они получают доступ и какие действия можно предпринять.
Распространенный сценарий для Azure Lighthouse — управление ресурсами в клиентах Microsoft Entra. Однако возможности Azure Lighthouse также можно использовать для упрощения межтенантного управления в пределах предприятия, использующего несколько клиентов Microsoft Entra.
Для большинства организаций управление проще с одним клиентом Microsoft Entra. Собрав все ресурсы в одном клиенте, можно организовать централизацию задач управления для определенных пользователей, групп пользователей или субъектов-служб в пределах клиента.
Где требуется мультитенантная архитектура, Azure Lighthouse помогает центризировать и оптимизировать операции управления. С помощью делегированного управления ресурсами Azure пользователи в одном управляющем клиенте могут централизованно выполнять функции управления между клиентами с поддержкой масштабирования.