Práticas de segurança recomendadas
Ao usar o Azure Lighthouse, é importante considerar a segurança e o controle de acesso. Os utilizadores do seu inquilino terão acesso direto a subscrições de clientes e grupos de recursos, pelo que é importante tomar medidas que ajudem a manter a segurança do seu inquilino. Também recomendamos que você habilite apenas o acesso mínimo necessário para gerenciar efetivamente os recursos de seus clientes. Este tópico fornece recomendações para ajudá-lo a implementar essas práticas de segurança.
Gorjeta
Essas recomendações também se aplicam a empresas que gerenciam vários locatários com o Azure Lighthouse.
Exigir autenticação multifator do Microsoft Entra
A autenticação multifator do Microsoft Entra (também conhecida como verificação em duas etapas) ajuda a impedir que invasores obtenham acesso a uma conta exigindo várias etapas de autenticação. Você deve exigir a autenticação multifator do Microsoft Entra para todos os usuários em seu locatário de gerenciamento, incluindo os usuários que terão acesso aos recursos delegados do cliente.
Recomendamos pedir aos seus clientes que implementem a autenticação multifator Microsoft Entra também nos seus inquilinos.
Importante
As políticas de acesso condicional definidas no locatário de um cliente não se aplicam aos usuários que acessam os recursos desse cliente por meio do Azure Lighthouse. Somente as políticas definidas no locatário de gerenciamento se aplicam a esses usuários. É altamente recomendável exigir a autenticação multifator do Microsoft Entra para o locatário gerenciador e o locatário gerenciado (cliente).
Atribuir permissões a grupos, usando o princípio de menor privilégio
Para facilitar o gerenciamento, use os grupos do Microsoft Entra para cada função necessária para gerenciar os recursos de seus clientes. Isso permite adicionar ou remover usuários individuais ao grupo, conforme necessário, em vez de atribuir permissões diretamente a cada usuário.
Importante
Para adicionar permissões para um grupo do Microsoft Entra, o tipo de grupo deve ser definido como Segurança. Esta opção é selecionada quando o grupo é criado. Para obter mais informações, consulte Tipos de grupo.
Ao criar sua estrutura de permissões, certifique-se de seguir o princípio de menor privilégio para que os usuários tenham apenas as permissões necessárias para concluir seu trabalho. Limitar as permissões para os usuários pode ajudar a reduzir a chance de erros inadvertidos.
Por exemplo, você pode querer usar uma estrutura como esta:
| Group name | Type | principalId | Definição da função | ID de definição de função |
|---|---|---|---|---|
| Arquitetos | Grupo de utilizadores | <principalId> | Contribuinte | b24988ac-6180-42a0-ab88-20f7382dd24c |
| Avaliação | Grupo de utilizadores | <principalId> | Leitor | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| Especialistas VM | Grupo de utilizadores | <principalId> | Colaborador VM | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| Automatização | Nome da entidade de serviço (SPN) | <principalId> | Contribuinte | b24988ac-6180-42a0-ab88-20f7382dd24c |
Depois de criar esses grupos, você pode atribuir usuários conforme necessário. Adicione apenas usuários que realmente precisam ter o acesso concedido por esse grupo.
Certifique-se de revisar a associação ao grupo regularmente e remover todos os usuários que não são mais necessários para incluir.
Lembre-se de que, ao integrar clientes por meio de uma oferta de serviço gerenciado público, qualquer grupo (ou usuário ou entidade de serviço) incluído terá as mesmas permissões para todos os clientes que comprarem o plano. Para atribuir grupos diferentes para trabalhar com clientes diferentes, você deve publicar um plano privado separado que seja exclusivo para cada cliente ou integrar clientes individualmente usando modelos do Azure Resource Manager. Por exemplo, você pode publicar um plano público que tenha acesso muito limitado e, em seguida, trabalhar com cada cliente diretamente para integrar seus recursos usando um Modelo de Recursos do Azure personalizado concedendo acesso adicional conforme necessário.
Gorjeta
Você também pode criar autorizações qualificadas que permitem que os usuários em seu locatário de gerenciamento elevem temporariamente sua função. Usando autorizações qualificadas, você pode minimizar o número de atribuições permanentes de usuários para funções privilegiadas, ajudando a reduzir os riscos de segurança relacionados ao acesso privilegiado por usuários em seu locatário. Este recurso tem requisitos de licenciamento específicos. Para obter mais informações, consulte Criar autorizações qualificadas.
Próximos passos
- Analise as informações da linha de base de segurança para entender como as orientações do benchmark de segurança na nuvem da Microsoft se aplicam ao Azure Lighthouse.
- Implante a autenticação multifator do Microsoft Entra.
- Saiba mais sobre as experiências de gerenciamento entre locatários.