Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
При использовании Azure Lighthouse важно учитывать безопасность и контроль доступа. С помощью Azure Lighthouse пользователи в клиенте имеют прямой доступ к подпискам клиентов и группам ресурсов, поэтому выполните действия по поддержанию безопасности клиента. Мы также рекомендуем включить минимальный доступ, необходимый для эффективного управления ресурсами клиентов.
В этой статье приведены рекомендации, которые помогут вам реализовать эти методики безопасности.
Совет
Эти рекомендации также применяются к предприятиям, управляющим несколькими клиентами с помощью Azure Lighthouse.
Требовать многофакторную аутентификацию в Microsoft Entra
Многофакторная проверка подлинности Microsoft Entra (также известная как двухфакторная проверка подлинности ) помогает запретить злоумышленникам получать доступ к учетной записи, требуя нескольких шагов проверки подлинности. Необходимо требовать многофакторную проверку подлинности Microsoft Entra для всех пользователей в управляемом клиенте, включая пользователей, имеющих доступ к делегированным ресурсам клиентов.
Попросите клиентов также реализовать многофакторную проверку подлинности Microsoft Entra в своих клиентах.
Внимание
Политики условного доступа для клиентов не применяются к пользователям, которые обращаются к ресурсам клиента через Azure Lighthouse. К этим пользователям применяются только политики, заданные управляющим арендатором. Мы настоятельно рекомендуем требовать многофакторную аутентификацию Microsoft Entra как для управляющего клиента, так и для управляемого (клиента).
Назначьте разрешения группам, используя принцип минимальных привилегий
Чтобы упростить управление, используйте группы Microsoft Entra для каждой роли, необходимой для управления ресурсами клиентов. Этот подход позволяет добавлять или удалять отдельных пользователей в группу по мере необходимости, а не назначать разрешения непосредственно каждому пользователю.
Внимание
Чтобы добавить разрешения для группы Microsoft Entra, тип группы должен быть security. Выберите этот параметр при создании группы. Дополнительные сведения см. в разделе "Типы групп".
При создании структуры разрешений следуйте принципу наименьших привилегий , чтобы пользователи имели только разрешения, необходимые для завершения работы. Ограничение разрешений для пользователей помогает снизить вероятность непреднамеренной ошибки.
Например, можно использовать такую структуру:
| Имя группы | Тип | идентификатор принципала | Определение роли | Идентификатор определения роли |
|---|---|---|---|---|
| Архитекторы | Группа пользователей | <principalId> | Участник | b24988ac-6180-42a0-ab88-20f7382d2d2c |
| Оценка | Группа пользователей | <principalId> | Читатель | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| Специалисты по VM | Группа пользователей | <principalId> | Вкладчик VM | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| Автоматизация | Имя главного сервиса (SPN) | <principalId> | Участник | b24988ac-6180-42a0-ab88-20f7382d2d2c |
После создания этих групп назначьте пользователей по мере необходимости. Добавьте только пользователей, которым действительно нужен доступ, предоставленный этой группой.
Регулярно просматривайте членство в группах и удаляйте всех пользователей, которые больше не нужны.
Помните, что при подключении клиентов через общедоступное управляемое предложение сервиса любая группа (или пользователь или сервисный принципал), включенная вами, имеет одинаковые разрешения для каждого клиента, который приобретает план. Чтобы назначить разные группы для работы с разными клиентами, необходимо опубликовать отдельный частный план, который является эксклюзивным для каждого клиента или подключить клиентов по отдельности с помощью шаблонов Azure Resource Manager. Например, можно опубликовать общедоступный план с очень ограниченным доступом, а затем работать с каждым клиентом, чтобы подключить свои ресурсы с помощью настраиваемого шаблона ARM, который предоставляет дополнительный доступ по мере необходимости.
Совет
Кроме того, вы можете создать соответствующие авторизации, чтобы разрешить пользователям в управляющем арендаторе временно повышать свою роль. Использование соответствующих авторизаций позволяет минимизировать число постоянных назначений привилегированных ролей пользователям и тем самым снизить риски безопасности, связанные с привилегированным доступом пользователей в арендаторе. Эта функция имеет определенные требования к лицензированию. Дополнительные сведения см. в статье Создание соответствующих авторизаций.
Следующие шаги
- Ознакомьтесь с базовыми сведениями о безопасности, чтобы понять, как руководство по эталону безопасности Microsoft Cloud Security применяется к Azure Lighthouse.
- Разверните многофакторную аутентификацию Microsoft Entra
- Узнайте больше об интерфейсах управления для различных клиентов.