你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
建议的安全做法
使用 Azure Lighthouse 时,请务必考虑安全性和访问控制。 你的租户中的用户将具有直接访问客户订阅和资源组的权限,因此务必要采取有助于维护租户的安全性的措施。 同时建议仅启用有效管理客户资源所必要的最低访问权限。 本主题提供有助于实施这些安全做法的建议。
提示
这些建议也适用于使用 Azure Lighthouse 管理多个租户的企业。
需要 Microsoft Entra 多重身份验证
Microsoft Entra 多重身份验证(也称为双重验证)通过要求进行多重身份验证步骤,以防止攻击者获取帐户的访问权限。 你应要求管理租户中的所有用户(包括任何将有权访问委托的客户资源的用户)都进行 Microsoft Entra 多重身份验证。
建议要求客户对其租户也实施 Microsoft Entra 多重身份验证。
重要
在客户的租户上设置的条件访问策略不适用于通过 Azure Lighthouse 访问该客户资源的用户。 仅管理租户上设置的策略适用于这些用户。 强烈建议对管理租户和托管(客户)租户都要求使用 Microsoft Entra 多重身份验证。
使用最低权限原则向组分配权限
若要更轻松地进行管理,建议为每个管理客户资源所需的角色都使用 Microsoft Entra 组。 这样,你就可以根据需要向组添加或删除单个用户,而不是直接向每个用户分配权限。
重要
若要为 Microsoft Entra 组添加权限,“组类型”必须设置为“安全”。 此选项是在创建组时选择的。 有关详细信息,请参阅组类型。
创建权限结构时,请务必遵循最小特权原则,使用户只具有完成其工作所需的权限。 限制用户的权限有助于减少意外错误的可能性。
例如,建议使用如下结构:
| 组名称 | 类型 | principalId | 角色定义 | 角色定义 ID |
|---|---|---|---|---|
| 架构师 | 用户组 | <principalId> | 参与者 | b24988ac-6180-42a0-ab88-20f7382dd24c |
| 评估 | 用户组 | <principalId> | 读者 | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| VM 专家 | 用户组 | <principalId> | VM 参与者 | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| 自动化 | 服务主体名称 (SPN) | <principalId> | 参与者 | b24988ac-6180-42a0-ab88-20f7382dd24c |
创建这些组后,可根据需要分配用户。 仅添加真正需要拥有该组授予的访问权限的用户。
请确保定期查看组成员身份,并删除不再需要包含的任何用户。
请记住,通过公共托管服务产品加入客户时,包含的任何组(或用户或服务主体)都将具有与每位购买计划的客户的相同权限。 若要分配不同的组以与不同的客户合作,必须发布专属于每位客户的单独专用计划,或使用 Azure 资源管理器单独加入客户。 例如,可发布访问权限非常有限的公用计划,然后直接与每位客户合作,使用自定义 Azure 资源模板(根据需要授予额外的访问权限)加入其资源。
提示
还可以创建合格授权,使管理租户中的用户能够临时提升其角色。 使用合格的授权可以最大程度地减少永久将用户分配到特权角色的次数,帮助降低租户中的用户运用访问特权所带来的安全风险。 该功能具有特定的许可要求。 有关详细信息,请参阅创建合格授权。
后续步骤
- 查看安全基线信息,了解 Microsoft 云安全基准中的指导如何应用于 Azure Lighthouse。
- 部署 Microsoft Entra 多重身份验证。
- 了解跨租户管理体验。