Doporučené postupy zabezpečení
Při používání Služby Azure Lighthouse je důležité zvážit zabezpečení a řízení přístupu. Uživatelé ve vašem tenantovi budou mít přímý přístup k zákaznickým předplatným a skupinám prostředků, takže je důležité provést kroky, které pomáhají udržovat zabezpečení vašeho tenanta. Také doporučujeme povolit minimální přístup potřebný k efektivní správě prostředků vašich zákazníků. Toto téma obsahuje doporučení, která vám pomůžou tyto postupy zabezpečení implementovat.
Tip
Tato doporučení platí také pro podniky, které spravují více tenantů pomocí Služby Azure Lighthouse.
Vyžadování vícefaktorového ověřování Microsoft Entra
Vícefaktorové ověřování Microsoft Entra (označované také jako dvoustupňové ověřování) pomáhá útočníkům zabránit v získání přístupu k účtu tím, že vyžaduje více kroků ověřování. Pro všechny uživatele ve vašem spravovaném tenantovi byste měli vyžadovat vícefaktorové ověřování Microsoft Entra, včetně uživatelů, kteří budou mít přístup k delegovaným zákaznickým prostředkům.
Doporučujeme zákazníkům, aby ve svých tenantech implementovali vícefaktorové ověřování Microsoft Entra.
Důležité
Zásady podmíněného přístupu nastavené v tenantovi zákazníka se nevztahují na uživatele, kteří přistupují k prostředkům daného zákazníka prostřednictvím služby Azure Lighthouse. Na tyto uživatele se vztahují jenom zásady nastavené na spravovaného tenanta. Důrazně doporučujeme vyžadovat vícefaktorové ověřování Microsoft Entra pro správu tenanta i spravovaného tenanta (zákazníka).
Přiřazení oprávnění ke skupinám pomocí principu nejnižšího oprávnění
Pro usnadnění správy používejte skupiny Microsoft Entra pro každou roli potřebnou ke správě prostředků vašich zákazníků. To vám umožní podle potřeby přidávat nebo odebírat jednotlivé uživatele do skupiny, a ne přiřazovat oprávnění přímo každému uživateli.
Důležité
Chcete-li přidat oprávnění pro skupinu Microsoft Entra, musí být typ skupiny nastaven na zabezpečení. Tato možnost je vybrána při vytvoření skupiny. Další informace najdete v tématu Typy skupin.
Při vytváření struktury oprávnění nezapomeňte dodržovat zásadu nejnižších oprávnění , aby uživatelé měli oprávnění potřebná pouze k dokončení své úlohy. Omezení oprávnění pro uživatele může pomoct snížit riziko neúmyslných chyb.
Můžete například chtít použít strukturu, která vypadá takto:
| Název skupiny | Typ | principalId | Definice role | ID definice role |
|---|---|---|---|---|
| Architekti | Skupina uživatelů | <principalId> | Přispěvatel | b24988ac-6180-42a0-ab88-20f7382dd24c |
| Posouzení | Skupina uživatelů | <principalId> | Čtenář | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| Specialisté na virtuální počítače | Skupina uživatelů | <principalId> | Přispěvatel virtuálních počítačů | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| Automation | Hlavní název služby (SPN) | <principalId> | Přispěvatel | b24988ac-6180-42a0-ab88-20f7382dd24c |
Po vytvoření těchto skupin můžete podle potřeby přiřadit uživatele. Přidejte jenom uživatele, kteří skutečně potřebují mít přístup udělený danou skupinou.
Nezapomeňte pravidelně kontrolovat členství ve skupinách a odebírat všechny uživatele, které už nejsou potřeba zahrnout.
Mějte na paměti, že když připojíte zákazníky prostřednictvím veřejné nabídky spravovaných služeb, bude mít každá skupina (nebo uživatel nebo instanční objekt) stejná oprávnění pro každého zákazníka, který plán zakoupí. Pokud chcete přiřadit různé skupiny pro práci s různými zákazníky, musíte publikovat samostatný soukromý plán, který je výhradní pro každého zákazníka, nebo nasadit zákazníky jednotlivě pomocí šablon Azure Resource Manageru. Můžete například publikovat veřejný plán, který má velmi omezený přístup, a pak s každým zákazníkem pracovat přímo na onboardingu svých prostředků pomocí přizpůsobené šablony prostředků Azure, která podle potřeby uděluje další přístup.
Tip
Můžete také vytvořit oprávněná autorizace , která uživatelům ve vašem spravovaném tenantovi umožní dočasně zvýšit jejich roli. Pomocí oprávněných autorizací můžete minimalizovat počet trvalých přiřazení uživatelů k privilegovaným rolím, což pomáhá snížit rizika zabezpečení související s privilegovaným přístupem uživatelů ve vašem tenantovi. Tato funkce má specifické licenční požadavky. Další informace najdete v tématu Vytváření oprávněných autorizací.
Další kroky
- Projděte si základní informace o zabezpečení a zjistěte, jak se pokyny z srovnávacího testu zabezpečení cloudu Microsoftu vztahují na Azure Lighthouse.
- Nasaďte vícefaktorové ověřování Microsoft Entra.
- Seznamte se s prostředími pro správu napříč tenanty.