Práticas de segurança recomendadas
Ao usar o Azure Lighthouse, é importante considerar a segurança e o controle de acesso. Os usuários no seu locatário terão acesso direto às assinaturas de clientes e grupos de recursos, portanto, é importante tomar medidas que ajudem a manter a segurança do locatário. Também recomendamos que você habilite apenas o acesso mínimo necessário para gerenciar efetivamente os recursos dos seus clientes. Esse tópico fornece recomendações para ajudá-lo a implementar essas práticas de segurança.
Dica
Essas recomendações também se aplicam a empresas que gerenciam vários locatários com o Azure Lighthouse.
Exigir a autenticação multifator do Microsoft Entra
A autenticação multifator do Microsoft Entra (também conhecida como verificação em duas etapas), ajuda a impedir que invasores obtenham acesso a uma conta exigindo várias etapas de autenticação. Exija a autenticação multifator do Microsoft Entra para todos os usuários no seu locatário de gerenciamento, incluindo os usuários que terão acesso aos recursos delegados do cliente.
Recomendamos solicitar que seus clientes também implementem a autenticação multifator do Microsoft Entra nos seus locatários.
Importante
As políticas de acesso condicional definidas no locatário de um cliente não se aplicam aos usuários que acessam os recursos desse cliente por meio do Azure Lighthouse. Somente as políticas definidas no locatário de gerenciamento se aplicam a esses usuários. É altamente recomendável exigir a autenticação multifator do Microsoft Entra para o locatário de gerenciamento e o locatário gerenciado (cliente).
Atribuir permissões a grupos usando o princípio de menor privilégio
Para facilitar o gerenciamento, use os Grupos do Microsoft Entra em cada função necessária para gerenciar os recursos dos seus clientes. Isso permite que você adicione ou remova usuários individuais do grupo, conforme necessário, em vez de atribuir permissões diretamente a cada usuário.
Importante
Para adicionar permissões para um grupo do Microsoft Entra, o Tipo de grupo deve ser definido como Segurança. Essa opção é selecionada quando o grupo é criado. Para obter mais informações, consulte Tipos de grupo.
Ao criar sua estrutura de permissões, siga o princípio de privilégio mínimo para que os usuários tenham apenas as permissões necessárias para concluir seus trabalhos. Limitar as permissões para os usuários pode ajudar a reduzir a chance de erros inadvertidos.
Por exemplo, convém usar uma estrutura como esta:
| Nome do grupo | Tipo | principalId | Definição de função | ID de definição de função |
|---|---|---|---|---|
| Arquitetos | Grupo de usuários | <principalId> | Colaborador | b24988ac-6180-42a0-ab88-20f7382dd24c |
| Avaliação | Grupo de usuários | <principalId> | Leitor | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| Especialistas de VM | Grupo de usuários | <principalId> | Colaborador de VM | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| Automação | SPN (nome da entidade de serviço) | <principalId> | Colaborador | b24988ac-6180-42a0-ab88-20f7382dd24c |
Depois de criar esses grupos, você pode atribuir usuários conforme for necessário. Adicione somente usuários que realmente precisam ter o acesso concedido por esse grupo.
Certifique-se de revisar regularmente os membros do grupo e remover todos os usuários cuja inclusão não seja mais necessária.
Tenha em mente que, quando você integrar clientes por meio de uma oferta pública de serviço gerenciado, qualquer grupo (ou entidade de serviço ou usuário) que você incluir terá as mesmas permissões para todo cliente que comprar o plano. Para atribuir grupos diferentes para trabalhar com clientes diferentes, você deve publicar um plano privado separado que seja exclusivo para cada cliente ou integrar clientes individualmente usando modelos do Azure Resource Manager. Por exemplo, você pode publicar um plano público com acesso muito limitado e depois trabalhar diretamente com cada cliente para integrar seus recursos usando um Modelo de Recurso do Azure personalizado, concedendo acesso adicional conforme for necessário.
Dica
Você também pode criar autorizações qualificadas que permitem que os usuários no locatário de gerenciamento elevem temporariamente a função. Ao usar as autorizações qualificadas, você pode minimizar o número de atribuições permanentes de usuários a funções com privilégios, ajudando a reduzir os riscos de segurança relacionados ao acesso privilegiado dos usuários no locatário. Este recurso possui requisitos de licenciamento específicos. Para obter mais informações, confira Criar as autorizações qualificadas.
Próximas etapas
- Examine as informações de linha de base de segurança para reconhecer como as diretrizes do Microsoft Cloud Security Benchmark se aplicam ao Azure Lighthouse.
- Implantar a autenticação multifator do Microsoft Entra.
- Saiba mais sobre as experiências de gerenciamento entre locatários.