Partager via

Sécurité au sein d’un abonnement Dev/Test Azure

  • Article

La protection de vos ressources dépend d’un effort conjoint entre votre fournisseur de cloud, Azure et vous, le client. Les abonnements Dev/Test Azure et Microsoft Defender pour le cloud vous offrent les outils nécessaires pour renforcer votre réseau, sécuriser vos services et garantir l’optimisation de votre posture de sécurité.

Les outils importants compris dans les abonnements Dev/Test Azure vous aident à créer un accès sécurisé à vos ressources :

  • Groupes d'administration Azure
  • Azure Lighthouse
  • Surveillance des crédits
  • Microsoft Entra ID

Groupes d'administration Azure

Lorsque vous activez et configurez vos abonnements Azure Dev/Test, Azure déploie une hiérarchie de ressources par défaut pour gérer les identités et accéder aux ressources dans un seul domaine Microsoft Entra. La hiérarchie des ressources permet à votre organisation de configurer de puissants périmètres de sécurité pour vos ressources et vos utilisateurs.

A screenshot of the Azure Management Groups

Votre hiérarchie de ressources est un ensemble constitué de vos ressources, groupes de ressources, abonnements, groupes d’administration et autre locataire. La mise à jour et la modification de ces paramètres dans les rôles personnalisés Azure ou les affectations de stratégie Azure peuvent affecter chaque ressource de votre hiérarchie de ressources. Il est important de protéger la hiérarchie des ressources contre les modifications susceptibles d’affecter négativement toutes les ressources.

Les groupes d’administration Azure représentent un aspect important de l’administration de l’accès et de la protection de vos ressources dans un seul locataire. Les groupes d’administration Azure vous permettent de définir des quotas, des stratégies Azure et des stratégies de sécurité sur différents types d’abonnements. Ces groupes sont un composant essentiel du développement de la sécurité pour les abonnements de développement et de test de votre organisation.

A screenshot of Azure org and governance groupings

Comme vous pouvez le voir, l’utilisation de groupes d’administration modifie la hiérarchie par défaut et ajoute un niveau pour les groupes d’administration. Ce comportement peut potentiellement créer des conditions et des failles imprévues dans la sécurité si vous ne suivez pas le processus approprié pour protéger votre hiérarchie de ressources

En quoi les groupes d’administration Azure sont-ils utiles ?

Lorsque vous développez des stratégies de sécurité pour les abonnements de développement/test de votre organisation, vous pouvez choisir d’avoir plusieurs abonnements de développement/test par unité organisationnelle ou métier. Vous pouvez voir un visuel de ce regroupement d’administration dans le diagramme suivant.

A diagram of subscription management groupings for multiple subscriptions within an organization.

Vous pouvez également choisir d’avoir un abonnement dev/test pour toutes vos différentes unités.

Vos groupes d’administration et abonnements Dev/Test Azure jouent un rôle de barrière de sécurité au sein de la structure de votre organisation.

Cette barrière de sécurité comporte deux composants :

  • Identité et accès : vous devrez peut-être segmenter l’accès à des ressources spécifiques
  • Données : différents abonnements pour les ressources qui accèdent aux informations personnelles

Utilisation des locataires Microsoft Entra

Un locataire est une instance dédiée de Microsoft Entra ID qu’une organisation ou un développeur d’applications reçoit lorsque l’organisation ou le développeur d’applications crée une relation avec Microsoft, comme s’inscrire à Azure, Microsoft Intune ou Microsoft 365.

Chaque locataire Microsoft Entra est distinct des autres locataires Microsoft Entra. Chaque locataire Microsoft Entra dispose de sa propre représentation des identités professionnelles et scolaires, des identités des consommateurs (dans le cas d’un locataire Azure AD B2C) et des inscriptions d’applications. Dans votre locataire, une inscription d’application peut autoriser des authentifications à partir de comptes seulement au sein de votre locataire ou de tous les locataires.

Si vous avez besoin de séparer l’infrastructure d’identité de votre organisation au-delà des groupes d’administration au sein d’un seul locataire, vous pouvez également créer d’autres locataires avec leur propre hiérarchie de ressources.

Un moyen simple d’effectuer des ressources distinctes et des utilisateurs consiste à créer un locataire Microsoft Entra.

Créer un nouveau client Microsoft Entra

Si vous n’avez pas de locataire Microsoft Entra ou si vous souhaitez en créer un nouveau pour le développement, consultez le guide de démarrage rapide ou suivez l’expérience de création d’annuaire. Vous devez fournir les informations suivantes pour créer votre nouveau locataire :

  • Nom de l’organisation
  • Domaine initial : fait partie de /*.onmicrosoft.com. Vous pourrez personnaliser le domaine ultérieurement.
  • Pays ou région

En savoir plus sur la création et la configuration des locataires Microsoft Entra

Utilisation d’Azure Lighthouse pour gérer plusieurs locataires

Azure Lighthouse permet une gestion multilocataire et interlocataire, ce qui permet une automatisation, une scalabilité et une gouvernance améliorée entre les ressources et les locataires. Les fournisseurs de services peuvent proposer des services managés à l’aide des outils de gestion complets et robustes intégrés dans la plateforme Azure. Les clients conservent le contrôle des personnes autorisées à accéder à leur locataire, des ressources auxquelles elles peuvent accéder et des actions qu’elles peuvent entreprendre.

Un scénario courant pour Azure Lighthouse gère les ressources dans les locataires Microsoft Entra de ses clients. Toutefois, les fonctionnalités d’Azure Lighthouse peuvent également être utilisées pour simplifier la gestion interlocataire au sein d’une entreprise qui utilise plusieurs locataires Microsoft Entra.

Pour la plupart des organisations, la gestion est plus facile avec un seul locataire Microsoft Entra. Le fait de disposer de toutes les ressources dans un seul et même locataire permet de centraliser les tâches de gestion par des utilisateurs désignés, des groupes d’utilisateurs ou des principaux de service au sein de ce locataire.

Lorsqu’une architecture multilocataire est requise, Azure Lighthouse permet de centraliser et de simplifier les opérations de gestion. En utilisant la gestion des ressources déléguées Azure, les utilisateurs d’un locataire gestionnaire peuvent effectuer des fonctions de gestion inter-locataires de manière centralisée et évolutive.

Plus de ressources de sécurité