Mandanten, Benutzer und Rollen in Azure Lighthouse-Szenarien
Vor dem Onboarding von Kunden für Azure Lighthouse ist es wichtig, die Funktionsweise von Microsoft Entra-Mandanten, -Benutzern und -Rollen sowie deren Verwendung in Azure Lighthouse-Szenarien zu verstehen.
Ein dedizierter und vertrauenswürdiger Mandant von Microsoft Entra ID. Typischerweise repräsentiert jeder Mandant eine einzelne Organisation. Azure Lighthouse ermöglicht eine logische Projektion von Ressourcen von einem Mandanten auf einen anderen Mandanten. Dies ermöglicht es Benutzern im verwaltenden Mandanten (z. B. dem Mandanten eines Dienstanbieters), auf delegierte Ressourcen in einem Kundenmandanten zuzugreifen. Unternehmen mit mehreren Mandanten können auf diese Weise ihre Verwaltungsabläufe zentralisieren.
Um diese logische Projektion zu erreichen, muss für ein Abonnement (oder mindestens eine Ressourcengruppe in einem Abonnement) im Kundenmandanten ein Onboarding für Azure Lighthouse durchgeführt werden. Dieser Onboardingprozess kann entweder über Azure Resource Manager-Vorlagen oder durch das Veröffentlichen eines öffentlichen oder privaten Angebots im Azure Marketplace erfolgen.
Bei beiden Onboarding-Methoden müssen Sie Autorisierungen definieren. Jede Autorisierung enthält eine principalId (einen Microsoft Entra-Benutzer, eine Gruppe oder einen Dienstprinzipal im verwaltenden Mandanten) in Kombination mit einer integrierten Rolle, die die spezifischen Berechtigungen definiert, die für die delegierten Ressourcen gewährt werden.
Hinweis
Wenn nicht explizit angegeben, können sich Verweise auf einen „Benutzer“ in der Azure Lighthouse-Dokumentation auf einen Microsoft Entra-Benutzer, eine Gruppe oder einen Dienstprinzipal in einer Autorisierung beziehen.
Best Practices für das Definieren von Benutzern und Rollen
Beim Erstellen Ihrer Autorisierungen empfehlen wir die Einhaltung der folgenden Best Practices:
- In den meisten Fällen sollten Sie einer Microsoft Entra-Benutzergruppe oder einem Dienstprinzipal Berechtigungen zuzuweisen, anstatt eine Reihe einzelner Benutzerkonten. Auf diese Weise können Sie den Zugriff für einzelne Benutzer über die Microsoft Entra ID Ihres Mandanten hinzufügen oder entfernen, ohne jedes Mal die Delegierung aktualisieren zu müssen, wenn sich Ihre individuellen Zugriffsanforderungen ändern.
- Befolgen Sie das Prinzip der geringsten Rechte. Um die Wahrscheinlichkeit von versehentlichen Fehlern zu verringern, sollten Die Benutzer nur über die erforderlichen Berechtigungen zum Ausführen ihrer spezifischen Aufgabe verfügen. Weitere Informationen finden Sie unter Empfohlene Sicherheitsmaßnahmen.
- Fügen Sie einen Benutzer mit der Rolle Registrierungszuweisung für verwaltete Dienste löschen hinzu, damit Sie später bei Bedarf den Zugriff auf die Delegierung entfernen können. Wenn diese Rolle nicht zugewiesen wird, können delegierte Ressourcen nur durch einen Benutzer im Mandanten des Kunden entfernt werden.
- Stellen Sie sicher, dass allen Benutzern, die die Seite „Meine Kunden“ im Azure-Portal anzeigen müssen, die Rolle Leser (oder eine andere integrierte Rolle mit Lesezugriff) zugewiesen wird.
Wichtig
Der Gruppentyp muss auf Sicherheit festgelegt werden, um Berechtigungen für eine Microsoft Entra-Gruppe hinzuzufügen. Diese Option wird bei der Erstellung der Gruppe ausgewählt. Weitere Informationen dazu finden Sie in Erstellen einer Basisgruppe und Hinzufügen von Mitgliedern mit Microsoft Entra ID.
Rollenunterstützung für Azure Lighthouse
Wenn Sie eine Berechtigung definieren, muss jedem Benutzerkonto eine der integrierten Azure-Rollen zugewiesen werden. Benutzerdefinierte Rollen und klassische Abonnementadministratorrollen werden nicht unterstützt.
Für die Azure Lighthouse werden aktuell alle integrierten Rollen unterstützt. Dabei gelten die folgenden Ausnahmen:
Die Rolle Besitzer wird nicht unterstützt.
Die Rolle Benutzerzugriffsadministrator wird unterstützt, aber nur für den eingeschränkten Zweck der Zuweisung von Rollen zu einer verwalteten Identität im Kundenmandanten. Weitere Berechtigungen, die üblicherweise über diese Rolle gewährt werden, werden nicht angewendet. Wenn Sie einen Benutzer mit dieser Rolle definieren, müssen Sie auch die Rollen angeben, die dieser Benutzer verwalteten Identitäten zuweisen kann.
Alle Rollen mit der Berechtigung
DataActions
werden nicht unterstützt.Rollen, die eine der folgenden Aktionen enthalten, werden nicht unterstützt:
- */write
- */delete
- Microsoft.Authorization/*
- Microsoft.Authorization/*/write
- Microsoft.Authorization/*/delete
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
- Microsoft.Authorization/roleDefinitions/write
- Microsoft.Authorization/roleDefinitions/delete
- Microsoft.Authorization/classicAdministrators/write
- Microsoft.Authorization/classicAdministrators/delete
- Microsoft.Authorization/locks/write
- Microsoft.Authorization/locks/delete
- Microsoft.Authorization/denyAssignments/write
- Microsoft.Authorization/denyAssignments/delete
Wichtig
Überprüfen Sie beim Zuweisen von Rollen unbedingt die für jede Rolle angegebenen Aktionen. Obwohl Rollen mit DataActions
Berechtigungen nicht unterstützt werden, gibt es Fälle, in denen Aktionen, die in einer unterstützten Rolle enthalten sind, den Zugriff auf Daten ermöglichen können. Dies geschieht in der Regel, wenn Daten über Zugriffstasten verfügbar gemacht werden und nicht über die Identität des Benutzers zugegriffen wird. Beispielsweise umfasst die Rolle Mitwirkender virtueller Computer die Aktion Microsoft.Storage/storageAccounts/listKeys/action
, die Zugriffsschlüssel des Speicherkontos zurückgibt, die zum Abrufen bestimmter Kundendaten verwendet werden können.
In einigen Fällen steht eine Rolle, die zuvor mit Azure Lighthouse unterstützt wurde, möglicherweise nicht mehr zur Verfügung. Wenn die Berechtigung DataActions
beispielsweise einer Rolle hinzugefügt wird, die zuvor nicht über diese Berechtigung verfügt hat, kann diese Rolle nicht mehr für das Onboarding neuer Delegierungen verwendet werden. Benutzer, denen die Rolle bereits zugewiesen wurde, können weiterhin an zuvor delegierten Ressourcen arbeiten, können aber keine Aufgaben ausführen, die die Berechtigung DataActions
verwenden.
Sobald Azure eine passende neue integrierte Rolle hinzugefügt wurde, kann sie beim Onboarding eines Kunden mithilfe von Azure Resource Manager-Vorlagen zugewiesen werden. Es kann zu einer Verzögerung kommen, bevor die neu hinzugefügte Rolle beim Veröffentlichen eines verwalteten Dienstangebots im Partner Center verfügbar wird. Ähnlich wird, wenn eine Rolle nicht mehr verfügbar ist, diese möglicherweise noch eine Weile im Partner Center angezeigt. Sie können jedoch keine neuen Angebote unter Verwendung solcher Rollen veröffentlichen.
Übertragen delegierter Abonnements zwischen Microsoft Entra-Mandanten
Wenn ein Abonnement zu einem anderen Microsoft Entra-Mandantenkonto übertragen wird, bleiben die beim Azure Lighthouse-Onboarding-Prozess erstellte Registrierungsdefinition und erstellten Registrierungszuordnungsressourcen erhalten. Das bedeutet, dass der durch Azure Lighthouse gewährte Zugang zur Mandantenverwaltung für dieses Abonnement (oder für delegierte Ressourcengruppen innerhalb dieses Abonnements) gültig bleibt.
Die einzige Ausnahme ist, wenn das Abonnement an einen Microsoft Entra-Mandanten übertragen wird, dem es bereits delegiert wurde. In diesem Fall werden die Delegationsressourcen für diesen Mandanten entfernt und der durch Azure Lighthouse gewährte Zugang gilt nicht mehr, da das Abonnement jetzt direkt zu diesem Mandanten gehört (und ihm nicht mehr durch Azure Lighthouse delegiert wird). Wenn dieses Abonnement jedoch auch an andere verwaltende Mandanten delegiert wurde, behalten diese anderen verwaltenden Mandanten denselben Zugang zum Abonnement.
Nächste Schritte
- Weitere Informationen zu Empfohlene Sicherheitsmaßnahmen für Azure Lighthouse.
- Onboarding Ihrer Kunden in Azure Lighthouse, entweder unter Verwendung von Azure Resource Manager-Vorlagen oder mittels Veröffentlichung eines privaten oder öffentlichen Angebots für verwaltete Dienste im Azure Marketplace.