Pratiques de sécurité recommandées
Lorsque vous utilisez Azure Lighthouse, il est important de prendre en compte la sécurité et le contrôle d’accès. Les utilisateurs de votre locataire auront un accès direct aux abonnements et aux groupes de ressources du client : il est donc important de prendre des mesures pour maintenir la sécurité de votre locataire. Nous vous recommandons également de permettre seulement l’accès minimal nécessaire pour gérer efficacement les ressources de vos clients. Cette rubrique fournit des recommandations pour vous aider à implémenter ces pratiques de sécurité.
Conseil
Ces recommandations s’appliquent également aux entreprises qui gèrent plusieurs locataires avec Azure Lighthouse.
Exiger l’authentification multifacteur Microsoft Entra
L’authentification multifacteur Microsoft Entra (également appelée vérification en deux étapes) permet d’empêcher les attaquants d’accéder à un compte en exigeant plusieurs étapes d’authentification. Vous devez exiger l’authentification multifacteur Microsoft Entra auprès de tous les utilisateurs de votre locataire gérant, notamment les utilisateurs qui auront accès aux ressources déléguées du client.
Nous vous recommandons de demander à vos clients d’implémenter également l’authentification multifacteur Microsoft Entra dans leurs locataires.
Important
Les stratégies d’accès conditionnel définies sur le locataire d’un client ne s’appliquent pas aux utilisateurs qui accèdent aux ressources de ce client via Azure Lighthouse. Seules les stratégies définies sur le locataire de gestion s’appliquent à ces utilisateurs. Nous vous recommandons vivement d’exiger l’authentification multifacteur Microsoft Entra pour le locataire de gestion et le locataire géré (client).
Affecter des autorisations à des groupes selon le principe de privilège minimum
Pour faciliter la gestion, utilisez des groupes Microsoft Entra pour chaque rôle requis pour gérer les ressources de vos clients. Cela vous permet d’ajouter ou de supprimer des utilisateurs dans un groupe en fonction des besoins, plutôt que d’attribuer directement des autorisations à chaque utilisateur.
Important
Pour que vous puissiez ajouter des autorisations pour un groupe Microsoft Entra, le Type de groupe doit être défini sur Sécurité. Cette option est sélectionnée lors de la création du groupe. Pour plus d’informations, consultez Types de groupes.
Quand vous créez votre structure d’autorisations, veillez à suivre le principe du privilège minimum afin que les utilisateurs disposent seulement des autorisations nécessaires pour accomplir leur travail. La limitation des autorisations pour les utilisateurs peut contribuer à réduire les risques d’erreurs accidentelles.
Par exemple, vous pouvez utiliser une structure telle que celle-ci :
| Nom du groupe | Type | principalId | Définition de rôle | ID de définition de rôle |
|---|---|---|---|---|
| Architectes | Groupe d'utilisateurs | <principalId> | Contributeur | b24988ac-6180-42a0-ab88-20f7382dd24c |
| Évaluation | Groupe d'utilisateurs | <principalId> | Lecteur | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| Spécialistes des machines virtuelles | Groupe d'utilisateurs | <principalId> | Contributeur de machine virtuelle | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| Automatisation | Nom du principal du service (SPN) | <principalId> | Contributeur | b24988ac-6180-42a0-ab88-20f7382dd24c |
Une fois que vous avez créé ces groupes, vous pouvez leur affecter des utilisateurs en fonction des besoins. Ajoutez seulement les utilisateurs qui ont vraiment besoin d’avoir l’accès accordé par ce groupe.
Veillez à vérifier régulièrement l’appartenance aux groupes et à supprimer tous les utilisateurs qu’il n’est plus nécessaire d’inclure.
N’oubliez pas que, lorsque vous intégrez des clients via une offre de service managé public, tout groupe (ou utilisateur ou principal de service) que vous incluez aura les mêmes autorisations pour chaque client achetant le plan. Pour pouvoir affecter différents groupes afin de collaborer avec différents clients, vous devez publier un plan privé distinct exclusif pour chaque client ou bien intégrer les clients individuellement en utilisant des modèles Azure Resource Manager. Par exemple, vous pouvez publier un plan public avec un accès très limité, puis travailler directement avec chaque client pour intégrer ses ressources en utilisant un modèle de ressource Azure personnalisé qui accorde un accès supplémentaire en fonction des besoins.
Conseil
Vous pouvez également créer des autorisations éligibles qui permettent aux utilisateurs de votre locataire de gestion d’élever temporairement leur rôle. Les autorisations éligibles vous permettent de réduire le nombre d’attributions permanentes de rôles privilégiés à des utilisateurs, ce qui contribue à réduire les risques de sécurité liés aux accès privilégiés attribués aux utilisateurs de votre locataire. Cette fonctionnalité a des exigences spécifiques en matière de licences. Pour plus d’informations, consultez Créer des autorisations éligibles.
Étapes suivantes
- Passez en revue les informations de la base de référence de la sécurité pour comprendre comment les conseils issus du point de référence de la sécurité du cloud Microsoft s’appliquent à Azure Lighthouse.
- Déployer l’authentification multifacteur Microsoft Entra.
- Découvrez les Expériences de gestion inter-locataire.