Empfohlene Sicherheitsmaßnahmen
Beim Verwenden von Azure Lighthouse müssen Sicherheit und Zugriffssteuerung berücksichtigt werden. Benutzende in Ihrem Mandanten haben direkten Zugriff auf Kundenabonnements und Ressourcengruppen, weshalb es wichtig ist, Maßnahmen zu ergreifen, um die Sicherheit Ihres Mandanten aufrechtzuerhalten. Außerdem wird empfohlen, nur den minimalen Zugriff zu aktivieren, der erforderlich ist, um die Ressourcen Ihrer Kunden effektiv zu verwalten. Dieses Thema enthält Empfehlungen zur Implementierung dieser Sicherheitspraktiken.
Tipp
Diese Empfehlungen gelten auch für Unternehmen, die mehrere Mandanten mit Azure Lighthouse verwalten.
Erfordern der Microsoft Entra-Multi-Faktor-Authentifizierung
Microsoft Entra-Multi-Faktor-Authentifizierung (auch als zweistufige Überprüfung bezeichnet) trägt dazu bei, Angreifer daran zu hindern, Zugriff auf ein Konto zu erlangen, indem mehrere Authentifizierungsschritte erforderlich sind. Sie sollten Microsoft Entra-Multi-Faktor-Authentifizierung für alle Benutzer in Ihrem Verwaltungsmandanten anfordern, einschließlich Benutzer, die Zugriff auf delegierte Kundenressourcen haben werden.
Es wird empfohlen, dass Sie Ihre Kunden auffordern, die Multi-Faktor-Authentifizierung über Microsoft Entra auch in ihren Mandanten zu implementieren.
Wichtig
Richtlinien für bedingten Zugriff, die für den Mandanten eines Kunden bzw. einer Kundin festgelegt sind, gelten nicht für Benutzer*innen, die über Azure Lighthouse auf die Ressourcen dieses Kunden bzw. dieser Kundin zugreifen. Nur Richtlinien, die für den verwaltenden Mandanten festgelegt sind, gelten für diese Benutzer*innen. Es wird dringend empfohlen, die Multi-Faktor-Authentifizierung von Microsoft Entra sowohl für den verwaltenden Mandanten als auch für den verwalteten Mandanten (Kundenmandanten) zu verlangen.
Zuweisen von Berechtigungen an Gruppen unter Verwendung des Prinzips der geringsten Rechte
Um die Verwaltung zu vereinfachen, verwenden Sie Microsoft Entra-Gruppen für jede Rolle, die zum Verwalten der Ressourcen Ihrer Kunden erforderlich ist. Auf diese Weise können Sie der Gruppe einzelne Benutzer nach Bedarf hinzufügen oder diese daraus entfernen, anstatt jedem Benutzer Berechtigungen direkt zuzuweisen.
Wichtig
Der Gruppentyp muss auf Sicherheit festgelegt werden, um Berechtigungen für eine Microsoft Entra-Gruppe hinzuzufügen. Diese Option wird bei der Erstellung der Gruppe ausgewählt. Weitere Informationen finden Sie unter Gruppentypen.
Befolgen Sie beim Erstellen der Berechtigungsstruktur das Prinzip der geringsten Rechte, damit Benutzende nur über die Berechtigungen verfügen, die zum Durchführen ihrer Aufgaben erforderlich sind. Das Einschränken von Benutzerberechtigungen trägt zur Verringerung versehentlicher Fehler bei.
Beispielsweise könnten Sie eine Struktur wie die folgende verwenden:
| Gruppenname | type | principalId | Rollendefinition | Rollendefinitions-ID |
|---|---|---|---|---|
| Architekten | Benutzergruppe | <principalId> | Mitwirkender | b24988ac-6180-42a0-ab88-20f7382dd24c |
| Bewertung | Benutzergruppe | <principalId> | Leser | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| VM-Spezialisten | Benutzergruppe | <principalId> | VM-Mitwirkender | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| Automation | Dienstprinzipalname (SPN) | <principalId> | Mitwirkender | b24988ac-6180-42a0-ab88-20f7382dd24c |
Nachdem Sie diese Gruppen erstellt haben, können Sie Benutzende nach Bedarf zuweisen. Fügen Sie nur Benutzende hinzu, die wirklich den von dieser Gruppe gewährten Zugriff benötigen.
Überprüfen Sie die Gruppenmitgliedschaft regelmäßig, und entfernen Sie alle Benutzenden, die nicht mehr erforderlich sind.
Bedenken Sie, dass jede Gruppe (bzw. jeder Benutzer oder Dienstprinzipal), wenn Sie das Onboarding von Kunden über ein öffentliches verwaltetes Dienstangebot durchführen, die Sie einschließen, über dieselben Berechtigungen für jeden Kunden verfügt, der den Plan kauft. Um verschiedene Gruppen für die Arbeit mit verschiedenen Kunden zuzuweisen, müssen Sie einen gesonderten privaten Plan veröffentlichen, der exklusiv für jeden Kunden ist, oder Sie müssen Kunden einzeln aufnehmen, indem Sie Azure Resource Manager-Vorlagen verwenden. Beispielsweise könnten Sie einen öffentlichen Plan veröffentlichen, der nur über sehr eingeschränkten Zugriff verfügt, und dann mit den einzelnen Kunden direkt zusammenarbeiten, um deren Ressourcen zu integrieren, indem Sie eine benutzerdefinierte Azure Resource Manager-Vorlage verwenden, die nach Bedarf zusätzlichen Zugriff gewährt.
Tipp
Sie können auch berechtigte Autorisierungen erstellen, mit denen Benutzer in Ihrem verwaltungsfähigen Mandanten vorübergehend ihre Rolle erhöhen können. Durch Verwenden von berechtigten Autorisierungen können Sie die Anzahl von permanenten Benutzerzuweisungen zu privilegierten Rollen verringern. Dadurch werden Sicherheitsrisiken im Zusammenhang mit privilegiertem Zugriff durch Benutzer in Ihrem Mandanten minimiert. Für dieses Feature gelten spezifische Lizenzierungsanforderungen. Weitere Informationen finden Sie unter Erstellen von berechtigten Autorisierungen.
Nächste Schritte
- Lesen Sie die Informationen zur Sicherheitsbaseline, um mehr darüber zu erfahren, inwiefern Anweisungen aus dem Microsoft-Benchmark für Cloudsicherheit auf Azure Lighthouse anwendbar sind.
- Bereitstellen der Microsoft Entra-Multi-Faktor-Authentifizierung.
- Erfahren Sie über Mandantenübergreifende Verwaltungsmöglichkeiten.