Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
使用 Azure Lighthouse 时,请务必考虑安全性和访问控制。 通过 Azure Lighthouse,租户中的用户可以直接访问客户订阅和资源组,因此请采取措施来帮助维护租户的安全性。 同时建议仅启用有效管理客户资源所必要的最低访问权限。
本文提供了有助于实施这些安全做法的建议。
小窍门
这些建议也适用于使用 Azure Lighthouse 管理多个租户的企业。
需要 Microsoft Entra 多重身份验证
Microsoft Entra 多重身份验证(也称为双重验证)通过要求进行多重身份验证步骤,以防止攻击者获取帐户的访问权限。 应要求 Microsoft Entra 多重身份验证适用于管理租户中的所有用户,包括那些访问被分配客户资源的用户。
要求客户在其租户中实现 Microsoft Entra 多重身份验证。
重要
客户租户上的条件访问策略不适用于通过 Azure Lighthouse 访问客户资源的用户。 仅管理租户上设置的策略适用于这些用户。 强烈建议对管理租户和托管(客户)租户都要求使用 Microsoft Entra 多重身份验证。
使用最低权限原则向组分配权限
若要更轻松地进行管理,建议为每个管理客户资源所需的角色都使用 Microsoft Entra 组。 此方法允许根据需要向组添加或删除单个用户,而不是直接向每个用户分配权限。
重要
若要为 Microsoft Entra 组添加权限, 组类型 必须是 安全性。 创建组时选择此选项。 有关详细信息,请参阅组类型。
创建权限结构时,请遵循 最低权限原则 ,以便用户仅拥有完成其作业所需的权限。 限制用户的权限有助于减少意外错误的可能性。
例如,可以使用如下所示的结构:
| 组名称 | 类型 | principalId (主体ID) | 角色定义 | 角色定义 ID |
|---|---|---|---|---|
| 建筑师 | 用户组 | <主体标识> | 贡献者 | b24988ac-6180-42a0-ab88-20f7382dd24c |
| 评估 | 用户组 | <主体标识> | 读取者 | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| VM 专家 | 用户组 | <主体标识> | VM 参与者 | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| 自动化 | 服务主体名称 (SPN) | <主体标识> | 贡献者 | b24988ac-6180-42a0-ab88-20f7382dd24c |
创建这些组后,根据需要分配用户。 仅添加真正需要该组授予访问权限的用户。
定期查看组成员身份并删除不再需要的任何用户。
请记住, 当你通过公共托管服务产品/服务加入客户时,你包括的任何组(或用户或服务主体)对于购买该计划的每个客户都具有相同的权限。 若要分配不同的组以处理不同的客户,必须发布一个单独的专用计划,该计划是每个客户的独占计划,或者使用 Azure 资源管理器模板单独载入客户。 例如,可以发布具有非常有限访问权限的公共计划,然后与每位客户一起使用自定义 ARM 模板载入其资源,以便根据需要授予其他访问权限。
后续步骤
- 查看安全基线信息,了解 Microsoft 云安全基准中的指导如何应用于 Azure Lighthouse。
- 部署 Microsoft Entra 多重身份验证。
- 了解跨租户管理体验。