Aanbevolen beveiligingsprocedures
Wanneer u Azure Lighthouse gebruikt, is het belangrijk om beveiliging en toegangsbeheer te overwegen. Gebruikers in uw tenant hebben directe toegang tot klantabonnementen en resourcegroepen, dus u moet stappen ondernemen om de beveiliging van uw tenant te behouden. U wilt er ook voor zorgen dat u alleen de toegang toestaat die nodig is om de resources van uw klanten effectief te beheren. Dit onderwerp bevat aanbevelingen om u te helpen dit te doen.
Tip
Deze aanbevelingen zijn ook van toepassing op ondernemingen die meerdere tenants beheren met Azure Lighthouse.
Meervoudige verificatie van Microsoft Entra vereisen
Meervoudige verificatie van Microsoft Entra (ook wel verificatie in twee stappen genoemd) helpt voorkomen dat aanvallers toegang krijgen tot een account door meerdere verificatiestappen te vereisen. U moet Meervoudige Verificatie van Microsoft Entra vereisen voor alle gebruikers in uw beheertenant, inclusief gebruikers die toegang hebben tot gedelegeerde klantresources.
U wordt aangeraden uw klanten ook te vragen om meervoudige verificatie van Microsoft Entra in hun tenants te implementeren.
Belangrijk
Beleidsregels voor voorwaardelijke toegang die zijn ingesteld op de tenant van een klant, zijn niet van toepassing op gebruikers die toegang hebben tot de resources van die klant via Azure Lighthouse. Alleen beleidsregels die zijn ingesteld voor de beherende tenant, zijn van toepassing op deze gebruikers. We raden u ten zeerste aan om meervoudige verificatie van Microsoft Entra te vereisen voor zowel de beheerde tenant als de beheerde (klant)-tenant.
Machtigingen toewijzen aan groepen met behulp van het principe van minimale bevoegdheden
Gebruik Microsoft Entra-groepen voor elke rol die is vereist voor het beheren van de resources van uw klanten om het beheer eenvoudiger te maken. Hiermee kunt u indien nodig afzonderlijke gebruikers aan de groep toevoegen of verwijderen, in plaats van machtigingen rechtstreeks aan elke gebruiker toe te wijzen.
Belangrijk
Als u machtigingen voor een Microsoft Entra-groep wilt toevoegen, moet het groepstype worden ingesteld op Beveiliging. Deze optie wordt geselecteerd wanneer de groep wordt gemaakt. Zie Een basisgroep maken en leden toevoegen voor meer informatie.
Wanneer u uw machtigingsstructuur maakt, moet u het principe van minimale bevoegdheden volgen, zodat gebruikers alleen de machtigingen hebben die nodig zijn om hun taak te voltooien, waardoor de kans op onbedoelde fouten wordt verminderd.
U kunt bijvoorbeeld een structuur als volgt gebruiken:
Groepsnaam | Type | principalId | Roldefinitie | Roldefinitie-id |
---|---|---|---|---|
Architecten | Gebruikersgroep | <principalId> | Inzender | b24988ac-6180-42a0-ab88-20f7382dd24c |
Beoordeling | Gebruikersgroep | <principalId> | Lezer | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
VM-specialisten | Gebruikersgroep | <principalId> | Vm-inzender | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
Automation | Naam van service-principal (SPN) | <principalId> | Inzender | b24988ac-6180-42a0-ab88-20f7382dd24c |
Zodra u deze groepen hebt gemaakt, kunt u indien nodig gebruikers toewijzen. Voeg alleen de gebruikers toe die echt toegang nodig hebben. Controleer regelmatig het groepslidmaatschap en verwijder alle gebruikers die niet meer geschikt of noodzakelijk zijn om op te nemen.
Houd er rekening mee dat wanneer u klanten onboardt via een openbare beheerde serviceaanbieding, elke groep (of gebruiker of service-principal) die u opneemt, dezelfde machtigingen heeft voor elke klant die het abonnement koopt. Als u verschillende groepen wilt toewijzen om met elke klant te werken, moet u een afzonderlijk privéabonnement publiceren dat exclusief is voor elke klant of klanten afzonderlijk onboarden met behulp van Azure Resource Manager-sjablonen. U kunt bijvoorbeeld een openbaar plan met zeer beperkte toegang publiceren en vervolgens rechtstreeks met de klant samenwerken om hun resources voor extra toegang te onboarden met behulp van een aangepaste Azure-resourcesjabloon die zo nodig extra toegang verleent.
Tip
U kunt ook in aanmerking komende autorisaties maken waarmee gebruikers in uw beheertenant hun rol tijdelijk kunnen uitbreiden. Met behulp van in aanmerking komende autorisaties kunt u het aantal permanente toewijzingen van gebruikers tot bevoorrechte rollen minimaliseren, waardoor beveiligingsrisico's met betrekking tot bevoegde toegang door gebruikers in uw tenant worden verminderd. Deze functie heeft specifieke licentievereisten. Zie In aanmerking komende autorisaties maken voor meer informatie.
Volgende stappen
- Bekijk de informatie over de beveiligingsbasislijn om te begrijpen hoe richtlijnen van de Microsoft-cloudbeveiligingsbenchmark van toepassing zijn op Azure Lighthouse.
- Implementeer Meervoudige Verificatie van Microsoft Entra.
- Meer informatie over beheerervaring in meerdere tenants.