Rekommenderade säkerhetsmetoder
När du använder Azure Lighthouse är det viktigt att tänka på säkerhets- och åtkomstkontroll. Användare i din klientorganisation har direkt åtkomst till kundprenumerationer och resursgrupper, så du vill vidta åtgärder för att upprätthålla klientorganisationens säkerhet. Du vill också se till att du endast tillåter den åtkomst som behövs för att effektivt hantera dina kunders resurser. Det här avsnittet innehåller rekommendationer som hjälper dig att göra det.
Dricks
De här rekommendationerna gäller även för företag som hanterar flera klienter med Azure Lighthouse.
Kräv Microsoft Entra multifaktorautentisering
Microsoft Entra multifaktorautentisering (kallas även tvåstegsverifiering) hjälper till att förhindra angripare från att få åtkomst till ett konto genom att kräva flera autentiseringssteg. Du bör kräva Microsoft Entra multifaktorautentisering för alla användare i din hanteringsklientorganisation, inklusive användare som har åtkomst till delegerade kundresurser.
Vi rekommenderar att du ber dina kunder att implementera Microsoft Entra multifaktorautentisering även i sina klienter.
Viktigt!
Principer för villkorlig åtkomst som anges i en kunds klientorganisation gäller inte för användare som har åtkomst till kundens resurser via Azure Lighthouse. Endast principer som anges för den hanterande klientorganisationen gäller för dessa användare. Vi rekommenderar starkt att du kräver Microsoft Entra multifaktorautentisering för både den hanterande klientorganisationen och den hanterade klientorganisationen (kunden).
Tilldela behörigheter till grupper med principen om lägsta behörighet
För att underlätta hanteringen använder du Microsoft Entra-grupper för varje roll som krävs för att hantera dina kunders resurser. På så sätt kan du lägga till eller ta bort enskilda användare i gruppen efter behov, i stället för att tilldela behörigheter direkt till varje användare.
Viktigt!
För att kunna lägga till behörigheter för en Microsoft Entra-grupp måste grupptypen anges till Säkerhet. Det här alternativet väljs när gruppen skapas. Mer information finns i Skapa en grundläggande grupp och lägg till medlemmar.
När du skapar din behörighetsstruktur bör du följa principen om minsta behörighet så att användarna bara har de behörigheter som krävs för att slutföra sitt jobb, vilket minskar risken för oavsiktliga fel.
Du kanske till exempel vill använda en struktur som den här:
| Group name | Typ | principalId | Rolldefinition | Rolldefinitions-ID |
|---|---|---|---|---|
| Arkitekter | Användargrupp | <principalId> | Deltagare | b24988ac-6180-42a0-ab88-20f7382dd24c |
| Utvärdering | Användargrupp | <principalId> | Läsare | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| VM-specialister | Användargrupp | <principalId> | VM-deltagare | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| Automatisering | Tjänstens huvudnamn (SPN) | <principalId> | Deltagare | b24988ac-6180-42a0-ab88-20f7382dd24c |
När du har skapat dessa grupper kan du tilldela användare efter behov. Lägg bara till de användare som verkligen behöver ha åtkomst. Se till att granska gruppmedlemskap regelbundet och ta bort alla användare som inte längre är lämpliga eller nödvändiga att inkludera.
Tänk på att när du registrerar kunder via ett erbjudande om offentlig hanterad tjänst har alla grupper (eller användare eller tjänstens huvudnamn) som du inkluderar samma behörigheter för varje kund som köper planen. Om du vill tilldela olika grupper att arbeta med varje kund måste du publicera en separat privat plan som är exklusiv för varje kund eller registrera kunder individuellt med hjälp av Azure Resource Manager-mallar. Du kan till exempel publicera en offentlig plan som har mycket begränsad åtkomst och sedan arbeta med kunden direkt för att registrera sina resurser för ytterligare åtkomst med hjälp av en anpassad Azure-resursmall som ger ytterligare åtkomst efter behov.
Dricks
Du kan också skapa berättigade auktoriseringar som låter användare i din hanteringsklient tillfälligt höja sin roll. Genom att använda berättigade auktoriseringar kan du minimera antalet permanenta tilldelningar av användare till privilegierade roller, vilket bidrar till att minska säkerhetsriskerna som rör privilegierad åtkomst för användare i din klientorganisation. Den här funktionen har specifika licenskrav. Mer information finns i Skapa berättigade auktoriseringar.
Nästa steg
- Granska säkerhetsbaslinjeinformationen för att förstå hur vägledning från Microsofts molnsäkerhetsmått gäller för Azure Lighthouse.
- Distribuera Microsoft Entra multifaktorautentisering.
- Lär dig mer om hanteringsupplevelser mellan klientorganisationer.