Mandanten, Benutzer und Rollen in Azure Lighthouse-Szenarien

Vor dem Onboarding von Kunden für Azure Lighthouse ist es wichtig, die Funktionsweise von Azure Active Directory-Mandanten, -Benutzern und -Rollen sowie deren Verwendung in Azure Lighthouse-Szenarien zu verstehen.

Ein Mandant ist eine dedizierte und vertrauenswürdige Instanz von Azure Active Directory (Azure AD). Typischerweise repräsentiert jeder Mandant eine einzelne Organisation. Azure Lighthouse ermöglicht eine logische Projektion von Ressourcen von einem Mandanten auf einen anderen Mandanten. Dies ermöglicht es Benutzern im verwaltenden Mandanten (z. B. dem Mandanten eines Dienstanbieters), auf delegierte Ressourcen in einem Kundenmandanten zuzugreifen. Unternehmen mit mehreren Mandanten können auf diese Weise ihre Verwaltungsabläufe zentralisieren.

Um diese logische Projektion zu erreichen, muss für ein Abonnement (oder mindestens eine Ressourcengruppe in einem Abonnement) im Kundenmandanten ein Onboarding für Azure Lighthouse durchgeführt werden. Dieser Onboardingprozess kann entweder über Azure Resource Manager-Vorlagen oder durch das Veröffentlichen eines öffentlichen oder privaten Angebots im Azure Marketplace erfolgen.

Bei beiden Onboarding-Methoden müssen Sie Autorisierungen definieren. Jede Autorisierung enthält eine principalId (einen Azure AD-Benutzer, eine Gruppe oder einen Dienstprinzipal im verwaltenden Mandanten) in Kombination mit einer integrierten Rolle, die die spezifischen Berechtigungen definiert, die für die delegierten Ressourcen gewährt werden.

Hinweis

Wenn nicht explizit angegeben, können sich Verweise auf einen „Benutzer“ in der Azure Lighthouse-Dokumentation auf einen Azure AD-Benutzer, eine Gruppe oder einen Dienstprinzipal in einer Autorisierung beziehen.

Best Practices für das Definieren von Benutzern und Rollen

Beim Erstellen Ihrer Autorisierungen empfehlen wir die Einhaltung der folgenden Best Practices:

• In den meisten Fällen sollten Sie einer Azure AD-Benutzergruppe oder einem Dienstprinzipal Berechtigungen zuzuweisen, anstatt eine Reihe einzelner Benutzerkonten. Auf diese Weise können Sie den Zugriff für einzelne Benutzer über die Azure AD Ihres Mandanten hinzufügen oder entfernen, anstatt jedes Mal die Delegierung aktualisieren zu müssen, wenn sich Ihre individuellen Zugriffsanforderungen ändern.
• Folgen Sie dem Prinzip der geringsten Rechte, damit Benutzer nur über die Berechtigungen verfügen, die zum Durchführen Ihrer Aufgaben erforderlich sind, um die Wahrscheinlichkeit von unbeabsichtigten Fehlern zu verringern. Weitere Informationen finden Sie unter Empfohlene Sicherheitsmaßnahmen.
• Fügen Sie einen Benutzer mit der Rolle „Registrierungszuweisung für verwaltete Dienste löschen“ hinzu, damit Sie später bei Bedarf den Zugriff auf die Delegierung entfernen können. Wenn diese Rolle nicht zugewiesen wird, können delegierte Ressourcen nur durch einen Benutzer im Kundenmandanten entfernt werden.
• Stellen Sie sicher, dass allen Benutzern, die die Seite „Meine Kunden“ im Azure-Portal anzeigen müssen, die Rolle Leser (oder eine andere integrierte Rolle mit Lesezugriff) zugewiesen wird.

Wichtig

Um Berechtigungen für eine Azure AD-Gruppe hinzuzufügen, muss der Gruppentyp auf Sicherheit festgelegt werden. Diese Option wird bei der Erstellung der Gruppe ausgewählt. Weitere Informationen dazu finden Sie in Erstellen einer Basisgruppe und Hinzufügen von Mitgliedern mit Azure Active Directory.

Rollenunterstützung für Azure Lighthouse

Bei der Definition einer Berechtigung muss jedem Benutzerkonto eine der integrierten Azure-Rollen zugewiesen werden. Benutzerdefinierte Rollen und klassische Abonnementadministratorrollen werden nicht unterstützt.

Für die Azure Lighthouse werden aktuell alle integrierten Rollen unterstützt. Dabei gelten die folgenden Ausnahmen:

• Die Rolle Besitzer wird nicht unterstützt.
• Integrierte Rollen mit der Berechtigung DataActions werden nicht unterstützt.
• Die integrierte Rolle Benutzerzugriffsadministrator wird unterstützt, aber nur für den eingeschränkten Zweck der Zuweisung von Rollen zu einer verwalteten Identität im Kundenmandanten. Weitere Berechtigungen, die üblicherweise über diese Rolle gewährt werden, werden nicht angewendet. Wenn Sie einen Benutzer mit dieser Rolle definieren, müssen Sie auch die integrierten Rollen angeben, die dieser Benutzer verwalteten Identitäten zuweisen kann.

In einigen Fällen wird eine Rolle, die zuvor mit Azure Lighthouse unterstützt wurde, möglicherweise nicht mehr verfügbar. Wenn die Berechtigung DataActions beispielsweise einer Rolle hinzugefügt wird, die zuvor nicht über diese Berechtigung verfügt hat, kann diese Rolle nicht mehr für das Onboarding neuer Delegierungen verwendet werden. Benutzer, denen die Rolle bereits zugewiesen wurde, können weiterhin an zuvor delegierten Ressourcen arbeiten, können aber keine Aufgaben ausführen, die die Berechtigung DataActions verwenden.

Wichtig

Überprüfen Sie beim Zuweisen von Rollen unbedingt die für jede Rolle angegebenen Aktionen. Obwohl Rollen mit DataActions-Berechtigung nicht unterstützt werden, können in einigen Fällen die in einer Rolle enthaltenen Aktionen den Zugriff auf Daten ermöglichen, wobei Daten über Zugriffsschlüssel anstelle der Identität des Benutzers zugänglich gemacht werden. Beispielsweise umfasst die Rolle Mitwirkender virtueller Computer die Aktion Microsoft.Storage/storageAccounts/listKeys/action, die Zugriffsschlüssel des Speicherkontos zurückgibt, die zum Abrufen bestimmter Kundendaten verwendet werden können.

Hinweis

Sobald Azure eine passende neue integrierte Rolle hinzugefügt wurde, kann sie beim Onboarding eines Kunden mithilfe von Azure Resource Manager-Vorlagen zugewiesen werden. Es kann zu einer Verzögerung kommen, bevor die neu hinzugefügte Rolle beim Veröffentlichen eines verwalteten Dienstangebots im Partner Center verfügbar wird. Ähnlich wird, wenn eine Rolle nicht mehr verfügbar ist, diese möglicherweise noch eine gewisse Zeit lang im Partner Center angezeigt. Sie können jedoch keine neuen Angebote unter Verwendung solcher Rollen veröffentlichen.

Übertragen von delegierten Abonnements zwischen Azure AD-Mandanten

Wenn ein Abonnement zu einem anderen Azure AD-Mandantenkonto übertragen wird, bleiben die beim Azure Lighthouse Onboardingprozess erstellte Registrierungsdefinition und die Registrierungszuordnungsressourcen erhalten. Das bedeutet, dass der durch Azure Lighthouse gewährte Zugang zur Mandantenverwaltung für dieses Abonnement (oder für delegierte Ressourcengruppen innerhalb dieses Abonnements) gültig bleibt.

Die einzige Ausnahme ist, wenn das Abonnement an einen Azure AD-Mandanten übertragen wird, dem es bereits delegiert wurde. In diesem Fall werden die Delegationsressourcen für diesen Mandanten entfernt und der durch Azure Lighthouse gewährte Zugang gilt nicht mehr, da das Abonnement jetzt direkt zu diesem Mandanten gehört (und ihm nicht mehr durch Azure Lighthouse delegiert wird). Wenn dieses Abonnement jedoch auch anderen verwaltenden Mandanten delegiert wurde, behalten diese anderen verwaltenden Mandanten denselben Zugang zum Abonnement.

Nächste Schritte

• Weitere Informationen zu Empfohlene Sicherheitsmaßnahmen für Azure Lighthouse.
• Onboarding Ihrer Kunden in Azure Lighthouse, entweder unter Verwendung von Azure Resource Manager-Vorlagen oder mittels Veröffentlichung eines privaten oder öffentlichen Angebots für verwaltete Dienste im Azure Marketplace.