Megosztás a következőn keresztül:

Erőforrás-elkülönítés több bérlővel

  • Cikk

Vannak olyan helyzetek, amikor a felügyelet egyetlen bérlői határvonalon történő delegálása nem felel meg az igényeinek. Ebben a szakaszban vannak olyan követelmények, amelyek miatt több-bérlős architektúrát hozhat létre. A több-bérlős szervezetek két vagy több Microsoft Entra-bérlőre is kiterjedhetnek. Ez egyedi bérlőközi együttműködési és felügyeleti követelményeket eredményezhet. A több-bérlős architektúrák növelik a felügyeleti többletterhelést és az összetettségüket, ezért körültekintően kell használni. Azt javasoljuk, hogy egyetlen bérlőt használjon, ha az igényei kielégíthetők ezzel az architektúrával. További információ: Több-bérlős felhasználókezelés.

Egy különálló bérlő létrehoz egy új határt, és így leválasztja a Microsoft Entra címtárszerepkörök, címtárobjektumok, feltételes hozzáférési szabályzatok, Azure-erőforráscsoportok, Azure felügyeleti csoportok és egyéb vezérlők kezelését az előző szakaszokban leírtak szerint.

A szervezet informatikai részlege számára hasznos egy külön bérlő, amely ellenőrzi a bérlői szintű változásokat Microsoft-szolgáltatások, például az Intune-ban, a Microsoft Entra Connectben vagy egy hibrid hitelesítési konfigurációban, miközben védi a szervezet felhasználóit és erőforrásait. Ez magában foglalja azokat a tesztelési szolgáltatáskonfigurációkat, amelyek bérlőszintű hatással lehetnek, és nem alkalmazhatók az éles bérlő felhasználóinak egy részhalmazára.

Egy nem éles környezet külön bérlőben való üzembe helyezése szükséges lehet az olyan egyéni alkalmazások fejlesztése során, amelyek az MS Graph vagy hasonló API-k használatával módosíthatják az éles felhasználói objektumok adatait (például a Directory.ReadWrite.All vagy hasonló széles hatókörű alkalmazások).

Feljegyzés

A Microsoft Entra Connect szinkronizálása több bérlővel, ami akkor lehet hasznos, ha egy nem éles környezetet helyez üzembe egy külön bérlőben. További információ: Microsoft Entra Connect: Támogatott topológiák.

Eredmények

A korábban ismertetett egyetlen bérlői architektúrával elért eredmények mellett a szervezetek teljes mértékben leválaszthatják az erőforrás- és bérlői interakciókat:

Erőforrás-elkülönítés

  • Láthatóság – A különálló bérlők erőforrásait más bérlők felhasználói és rendszergazdái nem tudják felderíteni vagy számba venni. Hasonlóképpen, a használati jelentések és az auditnaplók az új bérlői határokon belül találhatók. A láthatóság elkülönítése lehetővé teszi a szervezetek számára a bizalmas projektekhez szükséges erőforrások kezelését.

  • Objektumigény – A Microsoft Entra ID-ra és/vagy más Microsoft Online-szolgáltatásokra a Microsoft Graphon vagy más felügyeleti felületeken keresztül író alkalmazások külön objektumtérben működhetnek. Ez lehetővé teszi a fejlesztői csapatok számára, hogy teszteket végezzenek a szoftverfejlesztési életciklus során anélkül, hogy más bérlőket érintenének.

  • Kvóták – A bérlői szintű Azure-kvóták és -korlátok felhasználása elkülönül a többi bérlőétől.

Konfigurációk elkülönítése

Az új bérlők a bérlői szintű beállítások külön készletét biztosítják, amelyek a bérlő szintjén különböző konfigurációkat igénylő követelményekkel rendelkező erőforrásokat és megbízható alkalmazásokat képesek befogadni. Emellett egy új bérlő új Microsoft Online-szolgáltatásokat is biztosít, például az Office 365-öt.

Felügyeleti elkülönítés

Az új bérlői határok a Microsoft Entra címtárszerepkörök egy külön készletét foglalják magukban, amely lehetővé teszi a különböző rendszergazdák konfigurálását.

Gyakori használat

Az alábbi ábra az erőforrás-elkülönítés gyakori használatát mutatja be több bérlő esetében: egy éles üzem előtti vagy egy "tesztkörnyezeti" környezetet, amely több elkülönítést igényel, mint az egyetlen bérlő delegált felügyeletével elérhető.

A gyakori használati forgatókönyvet bemutató diagram.

A Contoso egy olyan szervezet, amely kibővítette a vállalati bérlői architektúrát egy ContosoSandbox.com nevű, éles üzem előtti bérlővel. A tesztkörnyezet-bérlő a Microsoft Entra ID-be és a Microsoft 365-be a Microsoft Graph használatával írt vállalati megoldások folyamatos fejlesztésének támogatására szolgál. Ezek a megoldások a vállalati bérlőben vannak üzembe helyezve.

A tesztkörnyezet-bérlő online állapotba kerül, hogy megakadályozza, hogy a fejlesztés alatt álló alkalmazások közvetlenül vagy közvetve, bérlői erőforrások felhasználásával és a kvóták befolyásolásával vagy szabályozással befolyásolják az éles rendszereket.

A fejlesztőknek a fejlesztési életciklus során hozzáférésre van szükségük a tesztkörnyezeti bérlőhöz, ideális esetben önkiszolgáló hozzáféréssel, amely az éles környezetben korlátozott további engedélyeket igényel. Ilyen további engedélyek lehetnek például a felhasználói fiókok létrehozása, törlése és frissítése, az alkalmazások regisztrálása, az Azure-erőforrások kiépítése és megszüntetése, valamint a szabályzatok módosítása vagy a környezet általános konfigurációja.

Ebben a példában a Contoso a Microsoft Entra B2B-együttműködés használatával épít ki felhasználókat a vállalati bérlőből, hogy lehetővé tegye azokat a felhasználókat, amelyek több hitelesítő adat kezelése nélkül kezelhetik és érhetik el a tesztkörnyezetbeli alkalmazások erőforrásait. Ez a képesség elsősorban a szervezetközi együttműködési forgatókönyvekre irányul. A több bérlővel, például a Contoso-val rendelkező vállalatok azonban ezzel a képességgel elkerülhetik a hitelesítő adatok életciklusának további felügyeletét és a felhasználói élmény összetettségét.

A külső identitások bérlők közötti hozzáférési beállításaival kezelheti, hogyan működik együtt más Microsoft Entra-szervezetekkel b2B-együttműködéssel. Ezek a beállítások határozzák meg, hogy a külső Microsoft Entra-szervezetek bejövő hozzáférési felhasználóinak milyen szintű hozzáféréssel kell rendelkezniük az erőforrásokhoz, és hogy a felhasználók milyen szintű kimenő hozzáféréssel rendelkeznek a külső szervezetekhez. Emellett lehetővé teszik a többtényezős hitelesítés (MFA) és az eszközjogcímek (megfelelő jogcímek és a Microsoft Entra hibrid csatlakoztatott jogcímek) megbízhatóságát más Microsoft Entra-szervezetektől. További részletekért és tervezési szempontokért lásd a bérlők közötti hozzáférést a Microsoft Entra Külső ID.

Egy másik módszer lehetett volna a Microsoft Entra Connect képességeinek kihasználása ugyanazon helyszíni Microsoft Entra-hitelesítő adatok több bérlővel való szinkronizálására, ugyanazzal a jelszóval, de a felhasználói UPN-tartomány megkülönböztetésével.

Több-bérlős erőforrás-elkülönítés

Új bérlő esetén külön rendszergazdai csoporttal rendelkezik. A szervezetek dönthetnek úgy, hogy a Microsoft Entra B2B együttműködésével használják a vállalati identitásokat. Hasonlóképpen, a szervezetek implementálhatják az Azure Lighthouse-t az Azure-erőforrások bérlők közötti felügyeletéhez, hogy a nem éles Azure-előfizetéseket az éles megfelelő identitások felügyelik. Az Azure Lighthouse nem használható az Azure-on kívüli szolgáltatások, például a Microsoft Intune kezelésére. A felügyelt szolgáltatók (MSP-k) számára a Microsoft 365 Lighthouse egy felügyeleti portál, amely segít a Microsoft 365 Vállalati prémium verzió, a Microsoft 365 E3 vagy a Windows 365 Vállalati verziót használó kis- és középvállalati (SMB-) ügyfelek számára nagy léptékű eszközök, adatok és felhasználók biztonságossá tételében és kezelésében.

Ez lehetővé teszi a felhasználók számára, hogy továbbra is használják a vállalati hitelesítő adataikat, miközben kihasználják a különválás előnyeit.

A Microsoft Entra B2B-együttműködést úgy kell konfigurálni a tesztkörnyezet-bérlőkben, hogy csak a vállalati környezetből származó identitásokat lehessen előkészíteni az Azure B2B engedélyezési/megtagadási listáival. Azoknak a bérlőknek, amelyeket engedélyezni szeretne a B2B számára, fontolja meg a külső identitások bérlők közötti hozzáférési beállításainak használatát a bérlők közötti többtényezős hitelesítéshez\Eszközmegbízhatósághoz.

Fontos

A külső identitáshozzáféréssel rendelkező több-bérlős architektúrák csak erőforrás-elkülönítést biztosítanak, de nem engedélyezik az identitáselkülönítést. A Microsoft Entra B2B együttműködés és az Azure Lighthouse használatával végzett erőforrás-elkülönítés nem csökkenti az identitásokkal kapcsolatos kockázatokat.

Ha a tesztkörnyezet identitásokat oszt meg a vállalati környezettel, a következő forgatókönyvek alkalmazhatók a tesztkörnyezet bérlőjére:

  • A vállalati bérlő felhasználóját, eszközét vagy hibrid infrastruktúráját veszélyeztető és a tesztkörnyezet-bérlőbe meghívott rosszindulatú szereplők hozzáférhetnek a tesztkörnyezet-bérlő alkalmazásaihoz és erőforrásaihoz.

  • A vállalati bérlő működési hibája (például felhasználói fiókok törlése vagy hitelesítő adatok visszavonása) befolyásolhatja a meghívott felhasználó hozzáférését a tesztkörnyezet-bérlőhöz.

A kockázatelemzést kell elvégeznie, és figyelembe kell vennie az identitáselkülönítést több bérlőn keresztül olyan üzleti szempontból kritikus erőforrások esetében, amelyek magas szintű védelmi megközelítést igényelnek. Az Azure Privileged Identity Management segíthet csökkenteni a kockázatok egy részét azáltal, hogy extra biztonságot nyújt az üzletileg kritikus bérlőkhöz és erőforrásokhoz való hozzáféréshez.

Címtárobjektumok

Az erőforrások elkülönítésére használt bérlő ugyanazokat az objektumtípusokat, Azure-erőforrásokat és megbízható alkalmazásokat tartalmazhat, mint az elsődleges bérlő. Előfordulhat, hogy a következő objektumtípusokat kell kiépítenie:

Felhasználók és csoportok: A megoldásmérnöki csapatok által igényelt identitások, például:

  • Tesztkörnyezeti rendszergazdák.

  • Az alkalmazások műszaki tulajdonosai.

  • Üzletági alkalmazásfejlesztők.

  • Végfelhasználói fiókok tesztelése.

Ezek az identitások a következőkhöz lehetnek kiépítve:

  • Azok az alkalmazottak, akik a Microsoft Entra B2B együttműködésen keresztül kapják meg a vállalati fiókjukat.

  • Azoknak az alkalmazottaknak, akiknek helyi fiókra van szükségük adminisztrációhoz, sürgős rendszergazdai hozzáféréshez vagy egyéb technikai okokból.

Azok az ügyfelek is szinkronizálhatják helyszíni identitásaikat a tesztkörnyezeti bérlővel, akik nem éles Active Directoryt használnak vagy igényelnek, ha az alapul szolgáló erőforrások és alkalmazások igénylik.

Eszközök: A nem éles bérlő csökkentett számú eszközt tartalmaz a megoldástervezési ciklusban szükséges mértékben:

  • Felügyeleti munkaállomások

  • Fejlesztéshez, teszteléshez és dokumentációhoz szükséges nem éles számítógépek és mobileszközök

Alkalmazások

Microsoft Entra integrált alkalmazások: Alkalmazásobjektumok és szolgáltatásnevek a következőhöz:

  • Tesztelje az éles környezetben üzembe helyezett alkalmazások példányait (például a Microsoft Entra ID-ra és a Microsoft online szolgáltatások-ra író alkalmazásokat).

  • A nem éles bérlő kezelésére és karbantartására szolgáló infrastruktúra-szolgáltatások, amelyek a vállalati bérlőben elérhető megoldások egy részét is jelenthetik.

Microsoft Online Services:

  • A Microsoft Online Services éles környezetben történő tulajdonosa általában annak a csapatnak kell lennie, amely ezeknek a szolgáltatásoknak a nem éles példányával rendelkezik.

  • A nem éles tesztkörnyezetek rendszergazdái csak akkor építhetik ki a Microsoft Online Services szolgáltatást, ha kifejezetten tesztelik ezeket a szolgáltatásokat. Így elkerülhető a Microsoft-szolgáltatások helytelen használata, például éles SharePoint-webhelyek beállítása tesztkörnyezetben.

  • Hasonlóképpen, a végfelhasználók által kezdeményezhető Microsoft Online-szolgáltatások (más néven alkalmi előfizetések) kiépítését is le kell zárni. További információ: Mi az önkiszolgáló regisztráció a Microsoft Entra ID-hoz?

  • Általában minden nem alapvető licencfunkciót le kell tiltani a bérlő számára csoportalapú licencelés használatával. Ezt ugyanannak a csapatnak kell elvégeznie, amely az éles bérlőben lévő licenceket kezeli, hogy elkerülje a licenccel rendelkező funkciók engedélyezésének hatását nem ismerő fejlesztők helytelen konfigurációját.

Azure-erőforrások

A megbízható alkalmazásokhoz szükséges Azure-erőforrások is üzembe helyezhetők. Például adatbázisok, virtuális gépek, tárolók, Azure-függvények stb. A tesztkörnyezet esetében mérlegelnie kell, hogy a kevésbé elérhető biztonsági funkciókkal rendelkező termékek és szolgáltatások olcsóbb termékváltozatokat használnak-e.

A hozzáférés-vezérlés RBAC-modelljét továbbra is nem éles környezetben kell alkalmazni abban az esetben, ha a módosítások a tesztek befejeződése után replikálódnak az éles környezetbe. Ennek elmulasztása lehetővé teszi a nem éles környezet biztonsági hibáinak propagálását az éles bérlőre.

Erőforrás- és identitáselkülönítés több bérlővel

Elkülönítési eredmények

Vannak korlátozott helyzetek, amikor az erőforrások elkülönítése nem felel meg a követelményeknek. A több-bérlős architektúrában elkülönítheti az erőforrásokat és az identitásokat is, ha letiltja az összes bérlőközi együttműködési képességet, és hatékonyan épít ki egy külön identitáshatárt. Ez a megközelítés védelmet nyújt a vállalati bérlők üzemeltetési hibáival és a felhasználói identitások, eszközök vagy hibrid infrastruktúra feltörése ellen.

Gyakori használat elkülönítése

Az üzletileg kritikus fontosságú alkalmazásokhoz és erőforrásokhoz, például az ügyféloldali szolgáltatásokhoz általában külön identitáshatárt használnak. Ebben a forgatókönyvben a Fabrikam úgy döntött, hogy egy külön bérlőt hoz létre az ügyféloldali SaaS-termékhez, hogy elkerülje az alkalmazottak identitásának az SaaS-ügyfeleket érintő veszélyeztetésének kockázatát. Az alábbi ábra ezt az architektúrát szemlélteti:

A FabrikamSaS-bérlő a Fabrikam üzleti modelljének részeként az ügyfeleknek kínált alkalmazásokhoz használt környezeteket tartalmazza.

Címtárobjektumok elkülönítése

A FabrikamSaas címtárobjektumai a következők:

Felhasználók és csoportok: A megoldási informatikai csapatok, az ügyfélszolgálati munkatársak vagy más szükséges személyzet által igényelt identitások az SaaS-bérlőn belül jönnek létre. Az elkülönítés megőrzése érdekében csak helyi fiókokat használ, és a Microsoft Entra B2B együttműködés nincs engedélyezve.

Azure AD B2C címtárobjektumok: Ha a bérlői környezeteket az ügyfelek érik el, előfordulhat, hogy egy Azure AD B2C-bérlőt és annak társított identitásobjektumait tartalmazzák. Az ezeket a címtárakat tartalmazó előfizetések jó jelöltek egy elszigetelt, fogyasztói környezethez.

Eszközök: Ez a bérlő kevesebb eszközt tartalmaz; csak azokat, amelyek az ügyféloldali megoldások futtatásához szükségesek:

  • Biztonságos felügyeleti munkaállomások.

  • A személyzet munkaállomásainak támogatása (ez magában foglalhatja azokat a mérnököket is, akik a fent leírtak szerint "ügyeletet" kapnak).

Alkalmazások elkülönítése

Microsoft Entra integrált alkalmazások: Alkalmazásobjektumok és szolgáltatásnevek a következőhöz:

  • Éles alkalmazások (például több-bérlős alkalmazásdefiníciók).

  • Infrastruktúra-szolgáltatások az ügyféloldali környezet kezeléséhez és karbantartásához.

Azure-erőforrások: Az ügyféloldali éles példányok IaaS-, PaaS- és SaaS-erőforrásait üzemelteti.

Következő lépések