Rekommenderade säkerhetsmetoder
När du använder Azure Lighthouse är det viktigt att tänka på säkerhets- och åtkomstkontroll. Användare i din klientorganisation har direkt åtkomst till kundprenumerationer och resursgrupper, så det är viktigt att vidta åtgärder som hjälper till att upprätthålla klientorganisationens säkerhet. Vi rekommenderar också att du endast aktiverar den minsta åtkomst som krävs för att effektivt hantera dina kunders resurser. Det här avsnittet innehåller rekommendationer som hjälper dig att implementera dessa säkerhetsrutiner.
Dricks
De här rekommendationerna gäller även för företag som hanterar flera klienter med Azure Lighthouse.
Kräv Microsoft Entra multifaktorautentisering
Microsoft Entra multifaktorautentisering (kallas även tvåstegsverifiering) hjälper till att förhindra angripare från att få åtkomst till ett konto genom att kräva flera autentiseringssteg. Du bör kräva Microsoft Entra multifaktorautentisering för alla användare i din hanteringsklientorganisation, inklusive användare som har åtkomst till delegerade kundresurser.
Vi rekommenderar att du ber dina kunder att implementera Microsoft Entra multifaktorautentisering även i sina klienter.
Viktigt!
Principer för villkorlig åtkomst som anges i en kunds klientorganisation gäller inte för användare som har åtkomst till kundens resurser via Azure Lighthouse. Endast principer som anges för den hanterande klientorganisationen gäller för dessa användare. Vi rekommenderar starkt att du kräver Microsoft Entra multifaktorautentisering för både den hanterande klientorganisationen och den hanterade klientorganisationen (kunden).
Tilldela behörigheter till grupper med principen om lägsta behörighet
För att underlätta hanteringen använder du Microsoft Entra-grupper för varje roll som krävs för att hantera dina kunders resurser. På så sätt kan du lägga till eller ta bort enskilda användare i gruppen efter behov, i stället för att tilldela behörigheter direkt till varje användare.
Viktigt!
För att kunna lägga till behörigheter för en Microsoft Entra-grupp måste grupptypen anges till Säkerhet. Det här alternativet väljs när gruppen skapas. Mer information finns i Grupptyper.
När du skapar din behörighetsstruktur måste du följa principen om minsta behörighet så att användarna bara har de behörigheter som krävs för att slutföra sitt jobb. Att begränsa behörigheter för användare kan bidra till att minska risken för oavsiktliga fel.
Du kanske till exempel vill använda en struktur som den här:
| Group name | Typ | principalId | Rolldefinition | Rolldefinitions-ID |
|---|---|---|---|---|
| Arkitekter | Användargrupp | <principalId> | Deltagare | b24988ac-6180-42a0-ab88-20f7382dd24c |
| Utvärdering | Användargrupp | <principalId> | Läsare | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| VM-specialister | Användargrupp | <principalId> | VM-deltagare | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| Automation | Tjänstens huvudnamn (SPN) | <principalId> | Deltagare | b24988ac-6180-42a0-ab88-20f7382dd24c |
När du har skapat dessa grupper kan du tilldela användare efter behov. Lägg bara till användare som verkligen behöver ha åtkomsten beviljad av den gruppen.
Se till att granska gruppmedlemskap regelbundet och ta bort alla användare som inte längre behöver inkluderas.
Tänk på att när du registrerar kunder via ett erbjudande om offentlig hanterad tjänst har alla grupper (eller användare eller tjänstens huvudnamn) som du inkluderar samma behörigheter för varje kund som köper planen. För att kunna tilldela olika grupper att arbeta med olika kunder måste du publicera en separat privat plan som är exklusiv för varje kund eller registrera kunder individuellt med hjälp av Azure Resource Manager-mallar. Du kan till exempel publicera en offentlig plan som har mycket begränsad åtkomst och sedan arbeta med varje kund direkt för att registrera sina resurser med hjälp av en anpassad Azure-resursmall som ger ytterligare åtkomst efter behov.
Dricks
Du kan också skapa berättigade auktoriseringar som låter användare i din hanteringsklient tillfälligt höja sin roll. Genom att använda berättigade auktoriseringar kan du minimera antalet permanenta tilldelningar av användare till privilegierade roller, vilket bidrar till att minska säkerhetsriskerna som rör privilegierad åtkomst för användare i din klientorganisation. Den här funktionen har specifika licenskrav. Mer information finns i Skapa berättigade auktoriseringar.
Nästa steg
- Granska säkerhetsbaslinjeinformationen för att förstå hur vägledning från Microsofts molnsäkerhetsmått gäller för Azure Lighthouse.
- Distribuera Microsoft Entra multifaktorautentisering.
- Lär dig mer om hanteringsupplevelser mellan klientorganisationer.