Skydda resursisolering i en enskild klientorganisation i Microsoft Entra-ID

Många separationsscenarier kan uppnås i en enda klientorganisation. Om möjligt rekommenderar vi att du delegerar administration till separata miljöer i en enda klientorganisation för bästa möjliga produktivitet och samarbetsupplevelse.

Resultat

Resursavgränsning – Om du vill begränsa resursåtkomsten till användare, grupper och tjänsthuvudnamn använder du Microsoft Entra-katalogroller, säkerhetsgrupper, principer för villkorsstyrd åtkomst, Azure-resursgrupper, Azure-hanteringsgrupper, administrativa enheter (AUs) och andra kontroller. Aktivera separata administratörer för att hantera resurser. Använd separata användare, behörigheter och åtkomstkrav.

Använd isolering i flera klienter om det finns:

• Resursuppsättningar som kräver inställningar för hela klientorganisationen
• Minimal risktolerans för obehörig åtkomst av klientmedlemmar
• Konfigurationsändringar orsakar oönskade effekter

Konfigurationsavgränsning – I vissa fall har resurser som program beroenden för klientomfattande konfigurationer som autentiseringsmetoder eller namngivna platser. Överväg beroenden när du isolerar resurser. Globala administratörer kan konfigurera de resursinställningar och inställningar för hela klientorganisationen som påverkar resurser.

Om en uppsättning resurser kräver unika inställningar för hela klientorganisationen, eller om en annan entitet administrerar klientinställningar, använder du isolering med flera klienter.

Administrativ separation – Med delegerad administration av Microsoft Entra-ID kan du separera resursadministration som program och API:er, användare och grupper, resursgrupper och principer för villkorsstyrd åtkomst.

Globala administratörer kan identifiera och få åtkomst till betrodda resurser. Konfigurera granskning och aviseringar för autentiserade administratörsändringar till en resurs.

Använd administrativa enheter (AUs) i Microsoft Entra-ID för administrativ separation. AUs begränsar behörigheter i en roll till en del av din organisation som du definierar. Använd AUs för att delegera rollen Supportadministratör till regionala supportspecialister. Sedan kan de hantera användare i den region som de stöder.

Använd AUs för att separera användare, grupper och enhetsobjekt. Tilldela enheter med regler för dynamiska medlemskapsgrupper.

Med Privileged Identity Management (PIM) väljer du en person för att godkänna begäranden om mycket privilegierade roller. Välj till exempel administratörer som kräver autentiseringsadministratörsåtkomst för att göra ändringar i användarautentiseringsmetoden.

Kommentar

Användning av PIM kräver och Microsoft Entra ID P2-licens per människa.

Om du vill bekräfta att autentiseringsadministratörer inte kan hantera en resurs isolerar du resursen i en separat klientorganisation med separata autentiseringsadministratörer. Använd den här metoden för säkerhetskopior. Exempel finns i auktoriseringsvägledning för flera användare.

Vanlig användning

En vanlig användning för flera miljöer i en enda klientorganisation är uppdelning av produktion från icke-produktionsresurser. I en klientorganisation skapar och hanterar utvecklingsteam och programägare en separat miljö med testappar, testanvändare och grupper samt testprinciper för dessa objekt. På samma sätt skapar team icke-produktionsinstanser av Azure-resurser och betrodda appar.

Använd Icke-produktionsbaserade Azure-resurser och icke-produktionsinstanser av Microsoft Entra-integrerade program med motsvarande icke-produktionskatalogobjekt. Icke-produktionsresurserna i katalogen är till för testning.

Kommentar

Undvik mer än en Microsoft 365-miljö i en Microsoft Entra-klientorganisation. Du kan dock ha flera Dynamics 365 miljöer i en Microsoft Entra-klientorganisation.

Ett annat scenario för isolering i en enda klientorganisation är en separation mellan platser, dotterbolag eller nivåindelad administration. Se företagsåtkomstmodellen.

Använd rollbaserade Azure-åtkomstkontrolltilldelningar (Azure RBAC) för begränsad administration av Azure-resurser. På samma sätt kan du aktivera Microsoft Entra ID-hantering av Microsoft Entra-ID som litar på program via flera funktioner. Exempel är villkorsstyrd åtkomst, filtrering av användare och grupper, administrativa enhetstilldelningar och programtilldelningar.

Om du vill säkerställa isolering av Microsoft 365-tjänster, inklusive mellanlagring av konfiguration på organisationsnivå, väljer du en isolering av flera klientorganisationer.

Begränsad hantering för Azure-resurser

Använd Azure RBAC för att utforma en administrationsmodell med detaljerade omfång och yta. Överväg hanteringshierarkin i följande exempel:

Kommentar

Du kan definiera hanteringshierarkin baserat på organisationens krav, begränsningar och mål. Mer information finns i Vägledning för Cloud Adoption Framework och organisera Azure-resurser.

• Hanteringsgrupp – Tilldela roller till hanteringsgrupper så att de inte påverkar andra hanteringsgrupper. I föregående scenario definierar HR-teamet en Azure-princip för att granska regioner där resurser distribueras mellan HR-prenumerationer.
• Prenumeration – Tilldela roller till en prenumeration för att förhindra att den påverkar andra resursgrupper. I föregående scenario tilldelar HR-teamet rollen Läsare för förmånsprenumerationen, utan att läsa andra HR-prenumerationer eller en prenumeration från ett annat team.
• Resursgrupp – Tilldela roller till resursgrupper så att de inte påverkar andra resursgrupper. Ett utvecklingsteam för fördelar tilldelar rollen Deltagare till någon för att hantera testdatabasen och testwebbappen, eller för att lägga till fler resurser.
• Enskilda resurser – Tilldela roller till resurser så att de inte påverkar andra resurser. Utvecklingsteamet fördelar tilldelar en dataanalytiker rollen Cosmos DB-kontoläsare för testinstansen av Azure Cosmos DB-databasen. Det här arbetet stör inte testwebbappen eller produktionsresursen.

Mer information finns i Inbyggda Roller i Azure och Vad är Azure RBAC?.

Strukturen är hierarkisk. Ju högre upp i hierarkin, desto bredare omfång, synlighet och effekt på lägre nivåer. Omfång på toppnivå påverkar Azure-resurser i Microsoft Entra-klientgränsen. Du kan använda behörigheter på flera nivåer. Den här åtgärden medför risker. Om du tilldelar roller högre upp i hierarkin kan du få mer åtkomst längre ned i omfånget än du har tänkt dig. Microsoft Entra ger synlighet och reparation för att minska risken.

• Rothanteringsgruppen definierar Azure-principer och RBAC-rolltilldelningar som tillämpas på prenumerationer och resurser
• Globala administratörer kan öka åtkomsten till prenumerationer och hanteringsgrupper

Övervaka dina toppnivåomfattningar. Det är viktigt att planera för andra dimensioner av resursisolering, till exempel nätverk. Vägledning om Azure-nätverk finns i Metodtips för Azure för nätverkssäkerhet. IaaS-arbetsbelastningar (Infrastruktur som en tjänst) har scenarier där identitets- och resursisolering måste ingå i design och strategi.

Överväg att isolera känsliga resurser eller testresurser enligt konceptuell arkitektur för Azure-landningszoner. Du kan till exempel tilldela identitetsprenumerationer till avgränsade hanteringsgrupper. Separata prenumerationer för utveckling i sandbox-hanteringsgrupper. Hitta information i dokumentationen i företagsskala. Separation för testning i en klientorganisation beaktas i referensarkitekturens hanteringsgruppshierarki.

Begränsad hantering för Program som litar på Microsoft Entra-ID

I följande avsnitt visas mönstret för omfångshantering av Microsoft Entra-ID som litar på program.

Microsoft Entra ID stöder konfiguration av flera instanser av anpassade appar och SaaS-appar, men inte de flesta Microsoft-tjänster, mot samma katalog med oberoende användartilldelningar. I föregående exempel finns en produktions- och testversion av reseappen. Distribuera förproduktionsversioner mot företagets klientorganisation för att uppnå appspecifik konfiguration och principavgränsning. Den här åtgärden gör det möjligt för arbetsbelastningsägare att utföra testning med sina företagsautentiseringsuppgifter. Icke-produktionskatalogobjekt, till exempel testanvändare och testgrupper, är associerade med det icke-produktionsbaserade programmet med separat ägarskap för dessa objekt.

Det finns klientomfattande aspekter som påverkar betrodda program i Microsoft Entra-klientgränsen:

• Globala administratörer hanterar alla inställningar för hela klientorganisationen
• Andra katalogroller som användaradministratör, programadministratör och administratörer för villkorsstyrd åtkomst hanterar klientomfattande konfiguration i rollens omfång.

Konfigurationsinställningar som autentiseringsmetoder, hybridkonfigurationer, tillåtna listor över domäner för B2B-samarbete och namngivna platser är klientorganisationsomfattande.

Kommentar

Microsoft Graph API-behörigheter och medgivandebehörigheter kan inte begränsas till en grupp eller AU-medlemmar. Dessa behörigheter tilldelas på katalognivå. Endast resursspecifikt medgivande tillåter omfång på resursnivå, för närvarande begränsat till Microsoft Teams Chat-behörigheter.

Viktigt!

Livscykeln för Microsoft SaaS-tjänster som Office 365, Microsoft Dynamics och Microsoft Exchange är bundna till Microsoft Entra-klientorganisationen. Därför kräver flera instanser av dessa tjänster flera Microsoft Entra-klienter.

Relaterat innehåll

• Introduktion till delegerad administration och isolerade miljöer
• Grunderna i Microsoft Entra
• Grunderna för Azure-resurshantering
• Resursisolering med flera klienter
• Bästa praxis