Sdílet prostřednictvím


Doporučené postupy zabezpečení

Při používání Služby Azure Lighthouse je důležité zvážit zabezpečení a řízení přístupu. Uživatelé ve vašem tenantovi budou mít přímý přístup k zákaznickým předplatným a skupinám prostředků, takže budete chtít podniknout kroky pro zajištění zabezpečení vašeho tenanta. Také budete chtít zajistit, abyste povolili přístup, který je potřeba k efektivní správě prostředků vašich zákazníků. Toto téma obsahuje doporučení, která vám s tím pomůžou.

Tip

Tato doporučení platí také pro podniky, které spravují více tenantů pomocí Služby Azure Lighthouse.

Vyžadování vícefaktorového ověřování Microsoft Entra

Vícefaktorové ověřování Microsoft Entra (označované také jako dvoustupňové ověřování) pomáhá útočníkům zabránit v získání přístupu k účtu tím, že vyžaduje více kroků ověřování. Pro všechny uživatele ve vašem spravovaném tenantovi byste měli vyžadovat vícefaktorové ověřování Microsoft Entra, včetně uživatelů, kteří budou mít přístup k delegovaným zákaznickým prostředkům.

Doporučujeme, abyste zákazníky požádali, aby ve svých tenantech implementovali vícefaktorové ověřování Microsoft Entra.

Důležité

Zásady podmíněného přístupu nastavené v tenantovi zákazníka se nevztahují na uživatele, kteří přistupují k prostředkům daného zákazníka prostřednictvím služby Azure Lighthouse. Na tyto uživatele se vztahují jenom zásady nastavené na spravovaného tenanta. Důrazně doporučujeme vyžadovat vícefaktorové ověřování Microsoft Entra pro správu tenanta i spravovaného tenanta (zákazníka).

Přiřazení oprávnění ke skupinám pomocí principu nejnižšího oprávnění

Pro usnadnění správy používejte skupiny Microsoft Entra pro každou roli potřebnou ke správě prostředků vašich zákazníků. To vám umožní podle potřeby přidávat nebo odebírat jednotlivé uživatele do skupiny, a ne přiřazovat oprávnění přímo každému uživateli.

Důležité

Chcete-li přidat oprávnění pro skupinu Microsoft Entra, musí být typ skupiny nastaven na zabezpečení. Tato možnost je vybrána při vytvoření skupiny. Další informace najdete v tématu Vytvoření základní skupiny a přidání členů.

Při vytváření struktury oprávnění nezapomeňte dodržovat zásadu nejnižších oprávnění, aby uživatelé měli oprávnění potřebná pouze k dokončení své úlohy, což pomáhá snížit pravděpodobnost neúmyslných chyb.

Můžete například chtít použít strukturu, která vypadá takto:

Název skupiny Typ principalId Definice role ID definice role
Architekti Skupina uživatelů <principalId> Přispěvatel b24988ac-6180-42a0-ab88-20f7382dd24c
Posouzení Skupina uživatelů <principalId> Čtenář acdd72a7-3385-48ef-bd42-f606fba81ae7
Specialisté na virtuální počítače Skupina uživatelů <principalId> Přispěvatel virtuálních počítačů 9980e02c-c2be-4d73-94e8-173b1dc7cf3c
Automation Hlavní název služby (SPN) <principalId> Přispěvatel b24988ac-6180-42a0-ab88-20f7382dd24c

Po vytvoření těchto skupin můžete podle potřeby přiřadit uživatele. Přidejte jenom uživatele, kteří potřebují mít přístup. Nezapomeňte pravidelně kontrolovat členství ve skupinách a odebírat všechny uživatele, které už nejsou vhodné nebo nezbytné k zahrnutí.

Mějte na paměti, že když připojíte zákazníky prostřednictvím veřejné nabídky spravovaných služeb, bude mít každá skupina (nebo uživatel nebo instanční objekt) stejná oprávnění pro každého zákazníka, který plán zakoupí. Pokud chcete přiřadit různé skupiny pro práci s jednotlivými zákazníky, budete muset publikovat samostatný soukromý plán, který je výhradní pro každého zákazníka, nebo nasadit zákazníky jednotlivě pomocí šablon Azure Resource Manageru. Můžete například publikovat veřejný plán, který má velmi omezený přístup, a pak s zákazníkem pracovat přímo na onboardingu svých prostředků pro další přístup pomocí přizpůsobené šablony prostředků Azure, která podle potřeby uděluje další přístup.

Tip

Můžete také vytvořit oprávněná autorizace , která uživatelům ve vašem spravovaném tenantovi umožní dočasně zvýšit jejich roli. Pomocí oprávněných autorizací můžete minimalizovat počet trvalých přiřazení uživatelů k privilegovaným rolím, což pomáhá snížit rizika zabezpečení související s privilegovaným přístupem uživatelů ve vašem tenantovi. Tato funkce má specifické licenční požadavky. Další informace najdete v tématu Vytváření oprávněných autorizací.

Další kroky