建議的安全性作法
使用 Azure Lighthouse 時,請務必考慮安全性和存取控制。 您租用戶中的使用者將能直接存取客戶訂用帳戶與資源群組,因此您應該採取步驟以維護租用戶的安全性。 您也應該確保您只會允許有效管理客戶資源所需的必要存取權。 此主題會提供可協助您這樣做的建議。
提示
這些建議也適用於使用 Azure Lighthouse 來管理多個租用戶的企業。
需要 Microsoft Entra 多重要素驗證
Microsoft Entra 多重要素驗證 (也稱為雙步驟驗證) 可透過要求執行多個驗證步驟,來協助防止攻擊者取得帳戶存取權。 您應該針對管理租用戶中的所有使用者要求使用 Microsoft Entra 多重要素驗證,包括可存取委派客戶資源的使用者。
建議您要求客戶也在其租用戶中實作 Microsoft Entra 多重要素驗證。
重要
在客戶租用戶上設定的條件式存取原則不適用於透過 Azure Lighthouse 存取該客戶資源的使用者。 只有管理租用戶上設定的原則會套用至這些使用者。 強烈建議針對管理租用戶和受控 (客戶) 租用戶要求使用 Microsoft Entra 多重要素驗證。
使用最低權限原則將權限指派給群組
若要使管理變得更加容易,請針對管理客戶資源所需的每個角色使用 Microsoft Entra 群組。 這能讓您視需要將個別使用者新增至群組,是或從該群組中移除使用者,而不是直接將權限指派給每個使用者。
重要
若要為 Microsoft Entra 群組新增權限,[群組類型] 必須設為 [安全性]。 建立群組時,會選取此選項。 如需詳細資訊,請參閱建立基本的群組及新增成員。
建立權限結構時,請務必遵循最低權限原則來讓使用者只具備完成其工作所需的權限,以協助減少發生意外錯誤的機會。
例如,您應該使用像這樣的結構:
群組名稱 | 類型 | principalId | 角色定義 | 角色定義識別碼 |
---|---|---|---|---|
結構設計師 | 使用者群組 | <principalId> | 參與者 | b24988ac-6180-42a0-ab88-20f7382dd24c |
評量 | 使用者群組 | <principalId> | 讀取者 | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
VM 專家 | 使用者群組 | <principalId> | VM 參與者 | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
自動化 | 服務主體名稱 (SPN) | <principalId> | 參與者 | b24988ac-6180-42a0-ab88-20f7382dd24c |
在您建立這些群組之後,可以視需要指派使用者。 請僅加入真正需要存取權的使用者。 請務必定期檢閱群組成員,並移除已不再適合或需要包含在該群組內的任何使用者。
請注意,當您透過公用受控服務供應項目將客戶上線時,您包含的任何群組 (或使用者或服務主體) 都將具有與購買該方案的每個客戶相同的權限。 若要指派不同的群組以與每個客戶合作,您需要發佈每個客戶專屬的個別私人方案,或是使用 Azure Resource Manager 範本將客戶個別上線。 例如,您可以發佈存取非常有限的公用方案,然後使用自訂的 Azure Resource 範本來視需要授與額外的存取權,並直接與客戶合作以將其資源上線來取得額外的存取權。
提示
您也可以建立合格的授權,讓您管理租用戶中的使用者可暫時提高其角色權限。 使用合格授權,即可將永久指派給使用者的特殊權限角色數目降到最低,有助於降低與租用戶中使用者特殊權限存取相關的安全性風險。 此功能具有特定的授權需求。 如需詳細資訊,請參閱建立合格的授權。
下一步
- 請檢閱安全性基準線資訊,以了解 Microsoft 雲端安全性基準中的指導如何應用於 Azure Lighthouse。
- 部署 Microsoft Entra 多重要素驗證。
- 了解跨租用戶管理體驗。