你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
保护资源安全需要你的云提供商 Azure 与你共同的努力。 Azure 开发/测试订阅和 Microsoft Defender for Cloud 为你提供了所需的工具,以便强化网络、保护服务,并确保你的安全态势始终保持最高水平。
Azure 开发/测试订阅中的重要工具有助于创造对资源的安全访问:
- Azure 管理组
- Azure Lighthouse (Azure 灯塔)
- 额度监视
- Microsoft Entra 身份识别系统
Azure 管理组
在启用和设置 Azure 开发/测试订阅时,Azure 会部署默认资源层次结构来管理标识以及对单个 Microsoft Entra 域中的资源的访问权限。 借助资源层次结构,你的组织可以为资源和用户设置强大的安全边界。
资源、资源组、订阅、管理组和租户共同构成了资源层次结构。 在 Azure 自定义角色或 Azure 策略分配中更新和更改这些设置可能会影响资源层次结构中的每个资源。 保护资源层次结构以免发生可能会负面影响所有资源的更改,这一点很重要。
Azure 管理组是在单个租户中治理访问权限和保护资源的重要方面。 借助 Azure 管理组,可以为不同类型的订阅设置配额、Azure 策略和安全性。 这些组是为组织的开发/测试订阅制定安全性的关键组成部分。
如你所见,使用管理组会更改默认层次结构,并为管理组增加一个级别。 如果不遵循适当的流程来保护资源层次结构,此行为可能会造成不可预见的情况和安全漏洞
为什么 Azure 管理组很有用处?
为组织的开发/测试订阅制定安全策略时,你可能会选择为每个组织单位或业务线安排多个开发/测试订阅。 可以在下图看到该管理分组的直观表示。
你还可能选择为所有不同单元创建一个开发/测试订阅。
Azure 管理组和开发/测试订阅充当组织结构中的安全屏障。
这一安全屏障有两个组件:
- 标识和访问权限:可能需要对特定资源的访问权限进行细分
- 数据:针对访问个人信息的资源,采用不同订阅
使用 Microsoft Entra 租户
租户是 Microsoft Entra ID 专用实例,组织或应用开发人员与 Microsoft 建立关系时(例如注册 Azure、Microsoft Intune 或 Microsoft 365)会收到该实例。
每个 Microsoft Entra 租户都与其他 Microsoft Entra 租户分开。 每个 Microsoft Entra 租户都使用自己的工作和学校标识、使用者标识(如果是外部租户)和应用注册进行表示。 租户内部的应用注册只允许从租户或所有租户的帐户中进行身份验证。
如果需要在单个租户内将组织的标识基础结构进一步分离到管理组之外,则还可以再创建一个具有自己的资源层次结构的租户。
隔离资源和用户的一种简单方法便是创建新的 Microsoft Entra 租户。
创建新的 Microsoft Entra 租户
如果还没有 Microsoft Entra 租户或想要创建用于开发的新租户,请参阅快速入门指南,或者只需按照目录创建体验进行操作。 必须提供以下信息才能创建新租户:
- 组织名称
- 初始域 - 是 *.onmicrosoft.com 的一部分。 稍后可对该域进行自定义。
- 国家或地区
详细了解如何创建和设置 Microsoft Entra 租户
使用 Azure Lighthouse 管理多个租户
Azure Lighthouse 允许跨租户和多租户管理,允许跨资源和租户提升自动化程度、可伸缩性并增强管理。 服务提供商可以使用 Azure 平台内置的全面而强大的管理工具来提供托管服务。 客户对可访问其租户的人员、可以访问的资源以及可执行的操作保持控制。
Azure Lighthouse 的常见应用场景是使用 Azure Lighthouse 来管理其客户的 Microsoft Entra 租户中的资源。 但是,Azure Lighthouse 的功能还可以简化使用多个 Microsoft Entra 租户的企业中的跨租户管理。
对于大多数组织而言,单个 Microsoft Entra 租户的管理比较轻松。 将所有资源部署在一个租户中可按该租户中的指定用户、用户组或服务主体来集中处理管理任务。
如果需要多租户体系结构,Azure Lighthouse 可帮助集中处理和简化管理操作。 通过使用 Azure 委托的资源管理,一个管理租户中的用户可以采用集中、可缩放的方式执行跨租户管理功能。