Mandanten, Benutzer und Rollen in Azure Lighthouse-Szenarien

  • Artikel

Vor dem Onboarding von Kunden für Azure Lighthouse ist es wichtig, die Funktionsweise von Microsoft Entra-Mandanten, -Benutzern und -Rollen sowie deren Verwendung in Azure Lighthouse-Szenarien zu verstehen.

Ein dedizierter und vertrauenswürdiger Mandant von Microsoft Entra ID. Typischerweise repräsentiert jeder Mandant eine einzelne Organisation. Azure Lighthouse ermöglicht eine logische Projektion von Ressourcen von einem Mandanten auf einen anderen Mandanten. Dies ermöglicht es Benutzern im verwaltenden Mandanten (z. B. dem Mandanten eines Dienstanbieters), auf delegierte Ressourcen in einem Kundenmandanten zuzugreifen. Unternehmen mit mehreren Mandanten können auf diese Weise ihre Verwaltungsabläufe zentralisieren.

Um diese logische Projektion zu erreichen, muss für ein Abonnement (oder mindestens eine Ressourcengruppe in einem Abonnement) im Kundenmandanten ein Onboarding für Azure Lighthouse durchgeführt werden. Dieser Onboardingprozess kann entweder über Azure Resource Manager-Vorlagen oder durch das Veröffentlichen eines öffentlichen oder privaten Angebots im Azure Marketplace erfolgen.

Bei beiden Onboarding-Methoden müssen Sie Autorisierungen definieren. Jede Autorisierung enthält eine principalId (einen Microsoft Entra-Benutzer, eine Gruppe oder einen Dienstprinzipal im verwaltenden Mandanten) in Kombination mit einer integrierten Rolle, die die spezifischen Berechtigungen definiert, die für die delegierten Ressourcen gewährt werden.

Hinweis

Wenn nicht explizit angegeben, können sich Verweise auf einen „Benutzer“ in der Azure Lighthouse-Dokumentation auf einen Microsoft Entra-Benutzer, eine Gruppe oder einen Dienstprinzipal in einer Autorisierung beziehen.

Best Practices für das Definieren von Benutzern und Rollen

Beim Erstellen Ihrer Autorisierungen empfehlen wir die Einhaltung der folgenden Best Practices:

  • In den meisten Fällen sollten Sie einer Microsoft Entra-Benutzergruppe oder einem Dienstprinzipal Berechtigungen zuzuweisen, anstatt eine Reihe einzelner Benutzerkonten. Auf diese Weise können Sie den Zugriff für einzelne Benutzer über die Microsoft Entra ID Ihres Mandanten hinzufügen oder entfernen, anstatt jedes Mal die Delegierung aktualisieren zu müssen, wenn sich Ihre individuellen Zugriffsanforderungen ändern.
  • Folgen Sie dem Prinzip der geringsten Rechte, damit Benutzer nur über die Berechtigungen verfügen, die zum Durchführen Ihrer Aufgaben erforderlich sind, um die Wahrscheinlichkeit von unbeabsichtigten Fehlern zu verringern. Weitere Informationen finden Sie unter Empfohlene Sicherheitsmaßnahmen.
  • Fügen Sie einen Benutzer mit der Rolle „Registrierungszuweisung für verwaltete Dienste löschen“ hinzu, damit Sie später bei Bedarf den Zugriff auf die Delegierung entfernen können. Wenn diese Rolle nicht zugewiesen wird, können delegierte Ressourcen nur durch einen Benutzer im Mandanten des Kunden entfernt werden.
  • Stellen Sie sicher, dass allen Benutzern, die die Seite „Meine Kunden“ im Azure-Portal anzeigen müssen, die Rolle Leser (oder eine andere integrierte Rolle mit Lesezugriff) zugewiesen wird.

Wichtig

Der Gruppentyp muss auf Sicherheit festgelegt werden, um Berechtigungen für eine Microsoft Entra-Gruppe hinzuzufügen. Diese Option wird bei der Erstellung der Gruppe ausgewählt. Weitere Informationen dazu finden Sie in Erstellen einer Basisgruppe und Hinzufügen von Mitgliedern mit Microsoft Entra ID.

Rollenunterstützung für Azure Lighthouse

Wenn Sie eine Berechtigung definieren, muss jedem Benutzerkonto eine der integrierten Azure-Rollen zugewiesen werden. Benutzerdefinierte Rollen und klassische Abonnementadministratorrollen werden nicht unterstützt.

Für die Azure Lighthouse werden aktuell alle integrierten Rollen unterstützt. Dabei gelten die folgenden Ausnahmen:

  • Die Rolle Besitzer wird nicht unterstützt.

  • Die Rolle Benutzerzugriffsadministrator wird unterstützt, aber nur für den eingeschränkten Zweck der Zuweisung von Rollen zu einer verwalteten Identität im Kundenmandanten. Weitere Berechtigungen, die üblicherweise über diese Rolle gewährt werden, werden nicht angewendet. Wenn Sie einen Benutzer mit dieser Rolle definieren, müssen Sie auch die Rollen angeben, die dieser Benutzer verwalteten Identitäten zuweisen kann.

  • Alle Rollen mit der Berechtigung DataActions werden nicht unterstützt.

  • Rollen, die eine der folgenden Aktionen enthalten, werden nicht unterstützt:

    • */write
    • */delete
    • Microsoft.Authorization/*
    • Microsoft.Authorization/*/write
    • Microsoft.Authorization/*/delete
    • Microsoft.Authorization/roleAssignments/write
    • Microsoft.Authorization/roleAssignments/delete
    • Microsoft.Authorization/roleDefinitions/write
    • Microsoft.Authorization/roleDefinitions/delete
    • Microsoft.Authorization/classicAdministrators/write
    • Microsoft.Authorization/classicAdministrators/delete
    • Microsoft.Authorization/locks/write
    • Microsoft.Authorization/locks/delete
    • Microsoft.Authorization/denyAssignments/write
    • Microsoft.Authorization/denyAssignments/delete

Wichtig

Überprüfen Sie beim Zuweisen von Rollen unbedingt die für jede Rolle angegebenen Aktionen. Obwohl Rollen mit DataActions-Berechtigung nicht unterstützt werden, können in einigen Fällen die in einer Rolle enthaltenen Aktionen den Zugriff auf Daten ermöglichen, wobei Daten über Zugriffsschlüssel anstelle der Identität des Benutzers zugänglich gemacht werden. Beispielsweise umfasst die Rolle Mitwirkender virtueller Computer die Aktion Microsoft.Storage/storageAccounts/listKeys/action, die Zugriffsschlüssel des Speicherkontos zurückgibt, die zum Abrufen bestimmter Kundendaten verwendet werden können.

In einigen Fällen steht eine Rolle, die zuvor mit Azure Lighthouse unterstützt wurde, möglicherweise nicht mehr zur Verfügung. Wenn die Berechtigung DataActions beispielsweise einer Rolle hinzugefügt wird, die zuvor nicht über diese Berechtigung verfügt hat, kann diese Rolle nicht mehr für das Onboarding neuer Delegierungen verwendet werden. Benutzer, denen die Rolle bereits zugewiesen wurde, können weiterhin an zuvor delegierten Ressourcen arbeiten, können aber keine Aufgaben ausführen, die die Berechtigung DataActions verwenden.

Sobald Azure eine passende neue integrierte Rolle hinzugefügt wurde, kann sie beim Onboarding eines Kunden mithilfe von Azure Resource Manager-Vorlagen zugewiesen werden. Es kann zu einer Verzögerung kommen, bevor die neu hinzugefügte Rolle beim Veröffentlichen eines verwalteten Dienstangebots im Partner Center verfügbar wird. Ähnlich wird, wenn eine Rolle nicht mehr verfügbar ist, diese möglicherweise noch eine Weile im Partner Center angezeigt. Sie können jedoch keine neuen Angebote unter Verwendung solcher Rollen veröffentlichen.

Übertragen delegierter Abonnements zwischen Microsoft Entra-Mandanten

Wenn ein Abonnement zu einem anderen Microsoft Entra-Mandantenkonto übertragen wird, bleiben die beim Azure Lighthouse-Onboarding-Prozess erstellte Registrierungsdefinition und erstellten Registrierungszuordnungsressourcen erhalten. Das bedeutet, dass der durch Azure Lighthouse gewährte Zugang zur Mandantenverwaltung für dieses Abonnement (oder für delegierte Ressourcengruppen innerhalb dieses Abonnements) gültig bleibt.

Die einzige Ausnahme ist, wenn das Abonnement an einen Microsoft Entra-Mandanten übertragen wird, dem es bereits delegiert wurde. In diesem Fall werden die Delegationsressourcen für diesen Mandanten entfernt und der durch Azure Lighthouse gewährte Zugang gilt nicht mehr, da das Abonnement jetzt direkt zu diesem Mandanten gehört (und ihm nicht mehr durch Azure Lighthouse delegiert wird). Wenn dieses Abonnement jedoch auch an andere verwaltende Mandanten delegiert wurde, behalten diese anderen verwaltenden Mandanten denselben Zugang zum Abonnement.

Nächste Schritte