Önerilen güvenlik uygulamaları
Azure Lighthouse kullanırken güvenlik ve erişim denetimini göz önünde bulundurmanız önemlidir. Kiracınızdaki kullanıcıların müşteri aboneliklerine ve kaynak gruplarına doğrudan erişimi olur, bu nedenle kiracınızın güvenliğini korumak için adımlar atmak istersiniz. Ayrıca yalnızca müşterilerinizin kaynaklarını etkili bir şekilde yönetmek için gereken erişime izin vermek isteyeceksiniz. Bu konu başlığında, bunu yapmanıza yardımcı olacak öneriler sağlanır.
Bahşiş
Bu öneriler, Azure Lighthouse ile birden çok kiracıyı yöneten kuruluşlar için de geçerlidir.
Microsoft Entra çok faktörlü kimlik doğrulamasını gerektir
Microsoft Entra çok faktörlü kimlik doğrulaması (iki aşamalı doğrulama olarak da bilinir), birden çok kimlik doğrulaması adımı gerektirerek saldırganların bir hesaba erişim kazanmasını önlemeye yardımcı olur. Yönetici kiracınızdaki, temsilci müşteri kaynaklarına erişimi olacak kullanıcılar da dahil olmak üzere tüm kullanıcılar için Microsoft Entra çok faktörlü kimlik doğrulamasına ihtiyacınız olmalıdır.
Müşterilerinizden kiracılarında da Microsoft Entra çok faktörlü kimlik doğrulamasını uygulamalarını istemenizi öneririz.
Önemli
Müşterinin kiracısı üzerinde ayarlanan koşullu erişim ilkeleri, Azure Lighthouse aracılığıyla müşterinin kaynaklarına erişen kullanıcılar için geçerli değildir. Yalnızca yönetim kiracısı üzerinde ayarlanan ilkeler bu kullanıcılar için geçerlidir. Hem yönetim kiracısı hem de yönetilen (müşteri) kiracısı için Microsoft Entra çok faktörlü kimlik doğrulaması gerektirmenizi kesinlikle öneririz.
En düşük ayrıcalık ilkesini kullanarak gruplara izin atama
Yönetimi kolaylaştırmak için, müşterilerinizin kaynaklarını yönetmek için gereken her rol için Microsoft Entra gruplarını kullanın. Bu, her kullanıcıya doğrudan izin atamak yerine gerektiğinde gruba tek tek kullanıcılar eklemenize veya kaldırmanıza olanak tanır.
Önemli
Bir Microsoft Entra grubuna izin eklemek için Grup türü Güvenlik olarak ayarlanmalıdır. Grup oluşturulduğunda bu seçenek belirlenir. Daha fazla bilgi için bkz . Temel grup oluşturma ve üye ekleme.
İzin yapınızı oluştururken, kullanıcıların yalnızca işlerini tamamlamak için gereken izinlere sahip olması ve yanlışlıkla hata olasılığını azaltmaya yardımcı olması için en az ayrıcalık ilkesini izlediğinizden emin olun.
Örneğin, aşağıdaki gibi bir yapı kullanmak isteyebilirsiniz:
| Grup adı | Tür | principalId | Rol tanımı | Rol tanımı kimliği |
|---|---|---|---|---|
| Mimarlar | Kullanıcı grubu | <principalId> | Katılımcı | b24988ac-6180-42a0-ab88-20f7382dd24c |
| Değerlendirme | Kullanıcı grubu | <principalId> | Okuyucu | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| VM Uzmanları | Kullanıcı grubu | <principalId> | VM Katkıda Bulunanı | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| Otomasyon | Hizmet asıl adı (SPN) | <principalId> | Katılımcı | b24988ac-6180-42a0-ab88-20f7382dd24c |
Bu grupları oluşturduktan sonra, gerektiğinde kullanıcıları atayabilirsiniz. Yalnızca gerçekten erişmesi gereken kullanıcıları ekleyin. Grup üyeliğini düzenli olarak gözden geçirmeyi ve artık uygun olmayan veya dahil edilmesi gereken kullanıcıları kaldırdığınızdan emin olun.
Müşterileri genel olarak yönetilen bir hizmet teklifi aracılığıyla eklediğinizde, eklediğiniz tüm grupların (veya kullanıcı veya hizmet sorumlusunun) planı satın alan her müşteri için aynı izinlere sahip olacağını unutmayın. Her müşteriyle çalışmak üzere farklı gruplar atamak için, her müşteriye özel ayrı bir özel plan yayımlamanız veya Azure Resource Manager şablonlarını kullanarak müşterileri tek tek eklemeniz gerekir. Örneğin, çok sınırlı erişime sahip bir genel plan yayımlayabilir, ardından gerektiğinde ek erişim sağlayan özelleştirilmiş bir Azure Kaynak Şablonu kullanarak ek erişim için doğrudan müşteriyle birlikte çalışarak kaynaklarını ekleyebilirsiniz.
Bahşiş
Ayrıca, yönetici kiracınızdaki kullanıcıların rollerini geçici olarak yükseltmesine olanak sağlayan uygun yetkilendirmeler de oluşturabilirsiniz. Uygun yetkilendirmeleri kullanarak, kullanıcıların ayrıcalıklı rollere kalıcı atama sayısını en aza indirerek kiracınızdaki kullanıcıların ayrıcalıklı erişimiyle ilgili güvenlik risklerini azaltmaya yardımcı olabilirsiniz. Bu özelliğin belirli lisans gereksinimleri vardır. Daha fazla bilgi için bkz . Uygun yetkilendirmeler oluşturma.
Sonraki adımlar
- Microsoft bulut güvenlik karşılaştırmasının Azure Lighthouse için nasıl uygulandığını anlamak için güvenlik temeli bilgilerini gözden geçirin.
- Microsoft Entra çok faktörlü kimlik doğrulamasını dağıtın.
- Kiracılar arası yönetim deneyimleri hakkında bilgi edinin.