建議的安全性作法
使用 Azure Lighthouse 時,請務必考慮安全性和存取控制。 租使用者中的使用者將可直接存取客戶訂用帳戶和資源群組,因此請務必採取有助於維護租使用者安全性的步驟。 我們也建議您只啟用有效管理客戶資源所需的最低存取權。 本主題提供可協助您實作這些安全性做法的建議。
提示
這些建議也適用於使用 Azure Lighthouse 來管理多個租用戶的企業。
需要 Microsoft Entra 多重要素驗證
Microsoft Entra 多重要素驗證 (也稱為雙步驟驗證) 可透過要求執行多個驗證步驟,來協助防止攻擊者取得帳戶存取權。 您應該針對管理租用戶中的所有使用者要求使用 Microsoft Entra 多重要素驗證,包括可存取委派客戶資源的使用者。
建議您要求您的客戶在其租用戶中實作Microsoft Entra 多重要素驗證。
重要
在客戶租用戶上設定的條件式存取原則不適用於透過 Azure Lighthouse 存取該客戶資源的使用者。 只有管理租用戶上設定的原則會套用至這些使用者。 強烈建議針對管理租用戶和受控 (客戶) 租用戶要求使用 Microsoft Entra 多重要素驗證。
使用最低權限原則將權限指派給群組
若要簡化管理,請針對管理客戶資源所需的每個角色使用 Microsoft Entra 群組 。 這能讓您視需要將個別使用者新增至群組,是或從該群組中移除使用者,而不是直接將權限指派給每個使用者。
重要
若要為 Microsoft Entra 群組新增權限,[群組類型] 必須設為 [安全性]。 建立群組時,會選取此選項。 如需詳細資訊,請參閱 群組類型。
建立許可權結構時,請務必遵循 最低許可權 原則,讓使用者只有完成其工作所需的許可權。 限制使用者的許可權有助於減少意外錯誤的機會。
例如,您應該使用像這樣的結構:
| 群組名稱 | 類型 | principalId | 角色定義 | 角色定義識別碼 |
|---|---|---|---|---|
| 結構設計師 | 使用者群組 | <principalId> | 參與者 | b24988ac-6180-42a0-ab88-20f7382dd24c |
| 評量 | 使用者群組 | <principalId> | 讀取者 | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| VM 專家 | 使用者群組 | <principalId> | VM 參與者 | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| 自動化 | 服務主體名稱 (SPN) | <principalId> | 參與者 | b24988ac-6180-42a0-ab88-20f7382dd24c |
建立這些群組之後,您可以視需要指派使用者。 只新增真正需要擁有該群組所授與存取權的使用者。
請務必定期檢閱群組成員資格,並移除不再需要包含的任何使用者。
請注意,當您透過公用受控服務供應項目將客戶上線時,您包含的任何群組 (或使用者或服務主體) 都將具有與購買該方案的每個客戶相同的權限。 若要指派不同的群組來與不同的客戶合作,您必須發佈專屬於每位客戶的個別私人方案,或使用 Azure Resource Manager 範本個別將客戶上線。 例如,您可以發佈具有非常有限存取權的公用方案,然後直接與每位客戶合作,使用自定義的 Azure 資源範本,視需要授與其他存取權。
提示
您也可以建立合格的授權,讓您管理租用戶中的使用者可暫時提高其角色權限。 使用合格授權,即可將永久指派給使用者的特殊權限角色數目降到最低,有助於降低與租用戶中使用者特殊權限存取相關的安全性風險。 此功能具有特定的授權需求。 如需詳細資訊,請參閱建立合格的授權。
下一步
- 請檢閱安全性基準線資訊,以了解 Microsoft 雲端安全性基準中的指導如何應用於 Azure Lighthouse。
- 部署 Microsoft Entra 多重要素驗證。
- 了解跨租用戶管理體驗。