推奨セキュリティ プラクティス
Azure Lighthouse を使用する場合、セキュリティとアクセス制御を考慮することが重要です。 テナント内のユーザーは、顧客のサブスクリプションとリソース グループに直接アクセスできるようになるため、テナントのセキュリティを確保するための手順を実行することが重要です。 また、顧客のリソースを効果的に管理するために必要な最小限のアクセスのみを有効にすることをお勧めします。 このトピックでは、これらのセキュリティ プラクティスの実装に役立つ推奨事項について説明します。
ヒント
これらの推奨事項は、Azure Lighthouse を使用して複数のテナントを管理するエンタープライズにも適用されます。
Microsoft Entra 多要素認証を要求する
Microsoft Entra 多要素認証 (2 段階認証とも呼ばれます) には、複数の認証ステップを要求することで、攻撃者によるアカウントへのアクセスを阻止する効果があります。 委任された顧客のリソースにアクセスできるユーザーを含め、管理テナント内のすべてのユーザー に対して、Microsoft Entra 多要素認証 を必要求する必要があります。
顧客にも、そのテナントに Microsoft Entra 多要素認証の導入を求めることをお勧めします。
重要
顧客のテナントに設定されている条件付きアクセス ポリシーは、Azure Lighthouse を介してその顧客のリソースにアクセスするユーザーには適用されません。 管理テナントに設定されているポリシーのみが、それらのユーザーに適用されます。 管理テナントとマネージド (顧客) テナントの両方に Microsoft Entra 多要素認証を要求することを強くお勧めします。
最小限の特権の原則を使用してグループにアクセス許可を割り当てる
管理を容易にするために、顧客のリソースを管理するうえで必要なロールごとに Microsoft Entra グループを使用します。 そうすることで、各ユーザーに直接アクセス許可を割り当てずに、必要に応じて個々のユーザーをグループに追加したり、グループから削除したりすることができます。
重要
Microsoft Entra グループのアクセス許可を追加するには、[グループの種類] を [セキュリティ] に設定する必要があります。 このオプションは、グループの作成時に選択します。 詳細については、「グループの種類」を参照してください。
アクセス許可構造を作成する場合は、ユーザーがジョブの完了に必要なアクセス許可のみを持つように、必ず最小限の特権の原則に従ってください。 ユーザーのアクセス許可を制限すると、不注意によるエラーの可能性を低くすることができます。
たとえば、次のような体系を使用することが考えられます。
| グループ名 | Type | principalId | ロール定義 | ロール定義 ID |
|---|---|---|---|---|
| Architects | ユーザー グループ | <principalId> | Contributor | b24988ac-6180-42a0-ab88-20f7382dd24c |
| 評価 | ユーザー グループ | <principalId> | Reader | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| VM Specialists | ユーザー グループ | <principalId> | VM 共同作成者 | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| オートメーション | サービス プリンシパル名 (SPN) | <principalId> | Contributor | b24988ac-6180-42a0-ab88-20f7382dd24c |
これらのグループを作成した後、必要に応じてユーザーを割り当てることができます。 そのグループによってアクセス権を付与する必要があるユーザーのみを追加します。
グループ メンバーシップを定期的に見直し、メンバーに含める必要がなくなったユーザーがいれば削除してください。
パブリック マネージド サービス オファーを通じて顧客をオンボードすると、追加したすべてのグループ (またはユーザーあるいはサービス プリンシパル) は、そのプランを購入したすべての顧客に対して同じアクセス許可を持つことに注意してください。 顧客ごとに異なる担当グループを割り当てるには、各顧客に限定された個別のプライベート プランを発行するか、Azure Resource Manager テンプレートを使用して顧客を個別にオンボードする必要があります。 たとえば、アクセスがごく限られたパブリック プランを発行しておき、各顧客と直接連携しながら、カスタマイズされた Azure リソース テンプレートを使用して、そのリソースをオンボードし、必要に応じて別途アクセス権を付与していくことが考えられます。
ヒント
適格認可を作成して、管理中のテナントのユーザーが一時的にロールを昇格できるようにすることもできます。 適格認可を使用することで、特権ロールへのユーザーの永続的な割り当ての数を最小限に抑え、テナント内のユーザーによる特権アクセスに関連するセキュリティ リスクを軽減するのに役立ちます。 この機能には、特定のライセンス要件があります。 詳細については、「適格認可を作成する」を参照してください。
次のステップ
- セキュリティ ベースライン情報を確認して、Microsoft クラウド セキュリティ ベンチマークのガイダンスが Azure Lighthouse にどう適用されるかを理解します。
- Microsoft Entra 多要素認証をデプロイします。
- テナント間の管理エクスペリエンスについて学習します。