Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Wanneer u Azure Lighthouse gebruikt, is het belangrijk om beveiliging en toegangsbeheer te overwegen. Via Azure Lighthouse hebben gebruikers in uw tenant directe toegang tot klantabonnementen en resourcegroepen, dus neem stappen om de beveiliging van uw tenant te waarborgen. We raden u ook aan om alleen de minimale toegang in te schakelen die nodig is om de resources van uw klanten effectief te beheren.
Dit artikel bevat aanbevelingen om u te helpen deze beveiligingsprocedures te implementeren.
Aanbeveling
Deze aanbevelingen zijn ook van toepassing op ondernemingen die meerdere tenants beheren met Azure Lighthouse.
Meervoudige verificatie van Microsoft Entra vereisen
Meervoudige verificatie van Microsoft Entra (ook wel verificatie in twee stappen genoemd) helpt voorkomen dat aanvallers toegang krijgen tot een account door meerdere verificatiestappen te vereisen. U moet Meervoudige Verificatie van Microsoft Entra vereisen voor alle gebruikers in uw beheertenant, inclusief gebruikers die toegang hebben tot gedelegeerde klantresources.
Vraag uw klanten ook om Meervoudige Verificatie van Microsoft Entra in hun tenants te implementeren.
Belangrijk
Beleid voor voorwaardelijke toegang voor tenants van klanten is niet van toepassing op gebruikers die toegang hebben tot de resources van de klant via Azure Lighthouse. Alleen beleidsregels die zijn ingesteld voor de beherende tenant, zijn van toepassing op deze gebruikers. We raden u ten zeerste aan om meervoudige verificatie van Microsoft Entra te vereisen voor zowel de beheerde tenant als de beheerde (klant)-tenant.
Machtigingen toewijzen aan groepen met behulp van het principe van minimale bevoegdheden
Gebruik Microsoft Entra-groepen voor elke rol die is vereist voor het beheren van de resources van uw klanten om het beheer eenvoudiger te maken. Met deze methode kunt u indien nodig afzonderlijke gebruikers aan de groep toevoegen of verwijderen, in plaats van machtigingen rechtstreeks aan elke gebruiker toe te wijzen.
Belangrijk
Als u machtigingen wilt toevoegen voor een Microsoft Entra-groep, moet het groepstypeBeveiliging zijn. Selecteer deze optie wanneer u de groep maakt. Zie Groepstypen voor meer informatie.
Wanneer u uw machtigingsstructuur maakt, volgt u het principe van minimale bevoegdheden , zodat gebruikers alleen beschikken over de machtigingen die nodig zijn om hun taak te voltooien. Het beperken van machtigingen voor gebruikers helpt de kans op onbedoelde fouten te verminderen.
U kunt bijvoorbeeld een structuur als volgt gebruiken:
| Groepsnaam | Typologie | principaalId | Roldefinitie | Roldefinitie-ID |
|---|---|---|---|---|
| Architecten | Gebruikersgroep | <principalId> | Inzender | b24988ac-6180-42a0-ab88-20f7382dd24c |
| Beoordeling | Gebruikersgroep | <principalId> | Lezer | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| VM-specialisten | Gebruikersgroep | <principalId> | VM-bijdrager | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| Automatisering | Naam van service-principal (SPN) | <principalId> | Inzender | b24988ac-6180-42a0-ab88-20f7382dd24c |
Nadat u deze groepen hebt gemaakt, wijst u indien nodig gebruikers toe. Voeg alleen gebruikers toe die echt de toegang nodig hebben die door die groep is verleend.
Controleer regelmatig het groepslidmaatschap en verwijder alle gebruikers die niet meer nodig zijn.
Houd er rekening mee dat wanneer u klanten onboardt via een openbare beheerde serviceaanbieding, elke groep (of gebruiker of service-principal) die u opneemt, dezelfde machtigingen heeft voor elke klant die het abonnement koopt. Als u verschillende groepen wilt toewijzen om met verschillende klanten te werken, moet u een afzonderlijk privéabonnement publiceren dat exclusief is voor elke klant of klanten afzonderlijk onboarden met behulp van Azure Resource Manager-sjablonen. U kunt bijvoorbeeld een openbaar plan met zeer beperkte toegang publiceren en vervolgens met elke klant samenwerken om hun resources te onboarden met behulp van een aangepaste ARM-sjabloon die zo nodig extra toegang verleent.
Aanbeveling
U kunt ook in aanmerking komende autorisaties maken waarmee gebruikers in uw beheertenant hun rol tijdelijk kunnen uitbreiden. Met behulp van in aanmerking komende autorisaties kunt u het aantal permanente toewijzingen van gebruikers tot bevoorrechte rollen minimaliseren, waardoor beveiligingsrisico's met betrekking tot bevoegde toegang door gebruikers in uw tenant worden verminderd. Deze functie heeft specifieke licentievereisten. Zie In aanmerking komende autorisaties maken voor meer informatie.
Volgende stappen
- Bekijk de informatie over de beveiligingsbasislijn om te begrijpen hoe richtlijnen van de Microsoft-cloudbeveiligingsbenchmark van toepassing zijn op Azure Lighthouse.
- Implementeer Meervoudige Verificatie van Microsoft Entra.
- Meer informatie over beheerervaring in meerdere tenants.