Azure 開發/測試訂用帳戶內的安全性
資源的安全要由雲端提供者、Azure 及您自己共同協力保護。 Azure 開發/測試訂用帳戶及適用於雲端的 Microsoft Defender 提供您必要的工具,強化網路、保護服務安全,並確保您能掌握安全性態勢。
Azure 開發/測試訂用帳戶內的重要工具可協助您建立對資源的安全存取:
- Azure 管理群組
- Azure Lighthouse
- 點數監視
- Microsoft Entra ID
Azure 管理群組
當您啟用和設定 Azure 開發/測試訂用帳戶時,Azure 會部署預設資源階層來管理單一 Microsoft Entra 網域中的身分識別和資源的存取權。 資源階層可讓您的組織為資源和使用者設定強式安全界限。
您的資源、資源群組、訂用帳戶、管理群組和租用戶共同組成您的資源階層。 在 Azure 自訂角色或 Azure 原則指派中更新和變更這些設定,可能會影響資源階層中的每一個資源。 請務必保護資源階層,避免受到可能對所有資源造成負面影響的變更。
Azure 管理群組是在單一租用戶中管理存取和保護資源的一個重要層面。 Azure 管理群組可讓您將配額、Azure 原則和安全性設定為不同類型的訂用帳戶。 這些群組是為組織的開發/測試訂用帳戶制定開發安全性的重要元件。
如您所見,使用管理群組會變更預設階層,並新增管理群組的層級。 如果您未遵循適當的流程來保護資源階層,此行為可能會造成未預期的情況和安全性漏洞
為什麼 Azure 管理群組很實用?
為組織的開發/測試訂用帳戶制定開發安全性原則時,可以選擇針對每個組織單位或企業營運擁有多個開發/測試訂用帳戶。 您可以在下圖中看到該管理群組的視覺效果。
您也可以選擇讓所有不同單位都有一個開發/測試訂用帳戶。
您的 Azure 管理群組和開發/測試訂用帳戶會作為組織結構內的安全性屏障。
此安全性屏障有兩個元件:
- 身分識別與存取:您可能需要分割特定資源的存取權
- 資料:存取個人資訊之資源的不同訂用帳戶
使用 Microsoft Entra 租用戶
租用戶是組織或應用程式開發人員在與 Microsoft 建立關係 (例如註冊 Azure、Microsoft Intune 或 Microsoft 365) 時收到的 Microsoft Entra ID 專屬執行個體。
每個 Microsoft Entra 租用戶都不同,並獨立於其他 Microsoft Entra 租用戶。 每個 Microsoft Entra 租用戶都有自己的公司和學校身分識別、取用者身分識別 (如果這是 Azure AD B2C 租用戶) 和應用程式註冊表示法。 您租用戶內的應用程式註冊可以只允許來自您租用戶內帳戶的驗證,或允許來自所有租用戶帳戶的驗證。
如果您需要將組織的身分識別基礎結構進一步區隔到單一租用戶內的管理群組之外,您也可以使用自己的資源階層建立另一個租用戶。
區隔資源和使用者的一種簡單方式是建立新的 Microsoft Entra 租用戶。
建立一個新的 Microsoft Entra 租用戶
如果您沒有 Microsoft Entra 租用戶,或是想要針對開發目的建立一個新的租用戶,請參閱 快速入門指南,或遵循目錄建立體驗的指示操作。 您必須提供下列資訊才能建立新的租用戶:
- 組織名稱
- 初始網域 - 是 /*.onmicrosoft.com 的一部分。 您可以稍後自訂網域。
- 國家或區域
深入了解如何建立和設定 Microsoft Entra 租用戶
使用 Azure Lighthouse 管理多個租用戶
Azure Lighthouse 支援跨租用戶和多租用戶管理,允許更高的自動化、可擴縮性以及跨資源和租用戶的增強治理。 服務提供者可以使用內建於 Azure 平台、完整且強大的管理工具來傳遞受控服務。 客戶可以控制存取其租用戶的對象、他們存取哪些資源,以及可以採取哪些動作。
Azure Lighthouse 最常見的案例是管理其客戶的 Microsoft Entra 租用戶中的資源。 然而,Azure Lighthouse 的功能也能用於在使用多個 Microsoft Entra 租用戶的企業中簡化跨租用戶管理。
對於大部分的組織而言,管理單一 Microsoft Entra 租用戶比較輕鬆。 讓一個租用戶內的所有資源,都可由指定的使用者、使用者群組,或該租用戶內的服務主體集中進行管理工作。
需要使用多租用戶結構時,Azure Lighthouse 可協助集中和簡化管理作業。 藉由使用 Azure 委派資源管理,在管理租用戶中的使用者便能以可調整的集中式方法執行跨租用戶管理功能。