Önerilen güvenlik uygulamaları

Azure Lighthouse kullanırken güvenlik ve erişim denetimini göz önünde bulundurmanız önemlidir. Kiracınızdaki kullanıcıların müşteri aboneliklerine ve kaynak gruplarına doğrudan erişimi olur, bu nedenle kiracınızın güvenliğini korumak için adımlar atmak istersiniz. Ayrıca yalnızca müşterilerinizin kaynaklarını etkili bir şekilde yönetmek için gereken erişime izin vermek isteyeceksiniz. Bu konu başlığında, bunu yapmanıza yardımcı olacak öneriler sağlanır.

İpucu

Bu öneriler, Azure Lighthouse ile birden çok kiracıyı yöneten kuruluşlar için de geçerlidir.

Microsoft Entra çok faktörlü kimlik doğrulamasını gerektir

Microsoft Entra çok faktörlü kimlik doğrulaması (iki aşamalı doğrulama olarak da bilinir), birden çok kimlik doğrulaması adımı gerektirerek saldırganların bir hesaba erişim kazanmasını önlemeye yardımcı olur. Yönetici kiracınızdaki, temsilci müşteri kaynaklarına erişimi olacak kullanıcılar da dahil olmak üzere tüm kullanıcılar için Microsoft Entra çok faktörlü kimlik doğrulamasına ihtiyacınız olmalıdır.

Müşterilerinizden kiracılarında da Microsoft Entra çok faktörlü kimlik doğrulamasını uygulamalarını istemenizi öneririz.

Önemli

Müşterinin kiracısı üzerinde ayarlanan koşullu erişim ilkeleri, Azure Lighthouse aracılığıyla müşterinin kaynaklarına erişen kullanıcılar için geçerli değildir. Yalnızca yönetim kiracısı üzerinde ayarlanan ilkeler bu kullanıcılar için geçerlidir. Hem yönetim kiracısı hem de yönetilen (müşteri) kiracısı için Microsoft Entra çok faktörlü kimlik doğrulaması gerektirmenizi kesinlikle öneririz.

En düşük ayrıcalık ilkesini kullanarak gruplara izin atama

Yönetimi kolaylaştırmak için, müşterilerinizin kaynaklarını yönetmek için gereken her rol için Microsoft Entra gruplarını kullanın. Bu, her kullanıcıya doğrudan izin atamak yerine gerektiğinde gruba tek tek kullanıcılar eklemenize veya kaldırmanıza olanak tanır.

Önemli

Bir Microsoft Entra grubuna izin eklemek için Grup türü Güvenlik olarak ayarlanmalıdır. Grup oluşturulduğunda bu seçenek belirlenir. Daha fazla bilgi için bkz . Temel grup oluşturma ve üye ekleme.

İzin yapınızı oluştururken, kullanıcıların yalnızca işlerini tamamlamak için gereken izinlere sahip olması ve yanlışlıkla hata olasılığını azaltmaya yardımcı olması için en az ayrıcalık ilkesini izlediğinizden emin olun.

Örneğin, aşağıdaki gibi bir yapı kullanmak isteyebilirsiniz:

Grup adı Tür principalId Rol tanımı Rol tanımı kimliği
Mimarlar Kullanıcı grubu <principalId> Katılımcı b24988ac-6180-42a0-ab88-20f7382dd24c
Değerlendirme Kullanıcı grubu <principalId> Okuyucu acdd72a7-3385-48ef-bd42-f606fba81ae7
VM Uzmanları Kullanıcı grubu <principalId> VM Katkıda Bulunanı 9980e02c-c2be-4d73-94e8-173b1dc7cf3c
Otomasyon Hizmet asıl adı (SPN) <principalId> Katılımcı b24988ac-6180-42a0-ab88-20f7382dd24c

Bu grupları oluşturduktan sonra, gerektiğinde kullanıcıları atayabilirsiniz. Yalnızca gerçekten erişmesi gereken kullanıcıları ekleyin. Grup üyeliğini düzenli olarak gözden geçirmeyi ve artık uygun olmayan veya dahil edilmesi gereken kullanıcıları kaldırdığınızdan emin olun.

Müşterileri genel olarak yönetilen bir hizmet teklifi aracılığıyla eklediğinizde, eklediğiniz tüm grupların (veya kullanıcı veya hizmet sorumlusunun) planı satın alan her müşteri için aynı izinlere sahip olacağını unutmayın. Her müşteriyle çalışmak üzere farklı gruplar atamak için, her müşteriye özel ayrı bir özel plan yayımlamanız veya Azure Resource Manager şablonlarını kullanarak müşterileri tek tek eklemeniz gerekir. Örneğin, çok sınırlı erişime sahip bir genel plan yayımlayabilir, ardından gerektiğinde ek erişim sağlayan özelleştirilmiş bir Azure Kaynak Şablonu kullanarak ek erişim için doğrudan müşteriyle birlikte çalışarak kaynaklarını ekleyebilirsiniz.

İpucu

Ayrıca, yönetici kiracınızdaki kullanıcıların rollerini geçici olarak yükseltmesine olanak sağlayan uygun yetkilendirmeler de oluşturabilirsiniz. Uygun yetkilendirmeleri kullanarak, kullanıcıların ayrıcalıklı rollere kalıcı atama sayısını en aza indirerek kiracınızdaki kullanıcıların ayrıcalıklı erişimiyle ilgili güvenlik risklerini azaltmaya yardımcı olabilirsiniz. Bu özelliğin belirli lisans gereksinimleri vardır. Daha fazla bilgi için bkz . Uygun yetkilendirmeler oluşturma.

Sonraki adımlar