Aanbevolen beveiligingsprocedures
Wanneer u Azure Lighthouse gebruikt, is het belangrijk om beveiliging en toegangsbeheer te overwegen. Gebruikers in uw tenant hebben directe toegang tot klantabonnementen en resourcegroepen, dus het is belangrijk om stappen uit te voeren waarmee de beveiliging van uw tenant wordt gehandhaafd. We raden u ook aan om alleen de minimale toegang in te schakelen die nodig is om de resources van uw klanten effectief te beheren. Dit onderwerp bevat aanbevelingen om u te helpen deze beveiligingsprocedures te implementeren.
Tip
Deze aanbevelingen zijn ook van toepassing op ondernemingen die meerdere tenants beheren met Azure Lighthouse.
Meervoudige verificatie van Microsoft Entra vereisen
Meervoudige verificatie van Microsoft Entra (ook wel verificatie in twee stappen genoemd) helpt voorkomen dat aanvallers toegang krijgen tot een account door meerdere verificatiestappen te vereisen. U moet Meervoudige Verificatie van Microsoft Entra vereisen voor alle gebruikers in uw beheertenant, inclusief gebruikers die toegang hebben tot gedelegeerde klantresources.
We raden u aan uw klanten te vragen om ook meervoudige verificatie van Microsoft Entra in hun tenants te implementeren.
Belangrijk
Beleidsregels voor voorwaardelijke toegang die zijn ingesteld op de tenant van een klant, zijn niet van toepassing op gebruikers die toegang hebben tot de resources van die klant via Azure Lighthouse. Alleen beleidsregels die zijn ingesteld voor de beherende tenant, zijn van toepassing op deze gebruikers. We raden u ten zeerste aan om meervoudige verificatie van Microsoft Entra te vereisen voor zowel de beheerde tenant als de beheerde (klant)-tenant.
Machtigingen toewijzen aan groepen met behulp van het principe van minimale bevoegdheden
Gebruik Microsoft Entra-groepen voor elke rol die is vereist voor het beheren van de resources van uw klanten om het beheer eenvoudiger te maken. Hiermee kunt u indien nodig afzonderlijke gebruikers aan de groep toevoegen of verwijderen, in plaats van machtigingen rechtstreeks aan elke gebruiker toe te wijzen.
Belangrijk
Als u machtigingen voor een Microsoft Entra-groep wilt toevoegen, moet het groepstype worden ingesteld op Beveiliging. Deze optie wordt geselecteerd wanneer de groep wordt gemaakt. Zie Groepstypen voor meer informatie.
Wanneer u uw machtigingsstructuur maakt, moet u het principe van minimale bevoegdheden volgen, zodat gebruikers alleen beschikken over de machtigingen die nodig zijn om hun taak te voltooien. Het beperken van machtigingen voor gebruikers kan helpen om de kans op onbedoelde fouten te verminderen.
U kunt bijvoorbeeld een structuur als volgt gebruiken:
| Groepsnaam | Type | principalId | Roldefinitie | Roldefinitie-id |
|---|---|---|---|---|
| Architecten | Gebruikersgroep | <principalId> | Inzender | b24988ac-6180-42a0-ab88-20f7382dd24c |
| Beoordeling | Gebruikersgroep | <principalId> | Lezer | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| VM-specialisten | Gebruikersgroep | <principalId> | Vm-inzender | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| Automation | Naam van service-principal (SPN) | <principalId> | Inzender | b24988ac-6180-42a0-ab88-20f7382dd24c |
Nadat u deze groepen hebt gemaakt, kunt u indien nodig gebruikers toewijzen. Voeg alleen gebruikers toe die echt toegang nodig hebben door die groep.
Controleer regelmatig het groepslidmaatschap en verwijder alle gebruikers die niet meer nodig zijn om op te nemen.
Houd er rekening mee dat wanneer u klanten onboardt via een openbare beheerde serviceaanbieding, elke groep (of gebruiker of service-principal) die u opneemt, dezelfde machtigingen heeft voor elke klant die het abonnement koopt. Als u verschillende groepen wilt toewijzen om met verschillende klanten te werken, moet u een afzonderlijk privéabonnement publiceren dat exclusief is voor elke klant of klanten afzonderlijk onboarden met behulp van Azure Resource Manager-sjablonen. U kunt bijvoorbeeld een openbaar plan met zeer beperkte toegang publiceren en vervolgens met elke klant rechtstreeks samenwerken om hun resources te onboarden met behulp van een aangepaste Azure-resourcesjabloon die zo nodig extra toegang verleent.
Tip
U kunt ook in aanmerking komende autorisaties maken waarmee gebruikers in uw beheertenant hun rol tijdelijk kunnen uitbreiden. Met behulp van in aanmerking komende autorisaties kunt u het aantal permanente toewijzingen van gebruikers tot bevoorrechte rollen minimaliseren, waardoor beveiligingsrisico's met betrekking tot bevoegde toegang door gebruikers in uw tenant worden verminderd. Deze functie heeft specifieke licentievereisten. Zie In aanmerking komende autorisaties maken voor meer informatie.
Volgende stappen
- Bekijk de informatie over de beveiligingsbasislijn om te begrijpen hoe richtlijnen van de Microsoft-cloudbeveiligingsbenchmark van toepassing zijn op Azure Lighthouse.
- Implementeer Meervoudige Verificatie van Microsoft Entra.
- Meer informatie over beheerervaring in meerdere tenants.