Penyewa, pengguna, dan peran dalam skenario Azure Lighthouse

Sebelum melakukan onboarding pelanggan ke Azure Lighthouse, penting untuk memahami cara kerja penyewa, pengguna, dan peran Azure Active Directory (Azure AD), dan cara penggunaannya dalam skenario Azure Lighthouse.

Penyewa adalah instans Azure Active Directory khusus dan tepercaya. Biasanya, masing-masing penyewa mewakili satu organisasi. Azure Lighthouse memungkinkan proyeksi logis sumber daya dari satu penyewa ke penyewa lain. Hal ini memungkinkan pengguna dalam penyewa pengelola (seperti milik penyedia layanan) untuk mengakses sumber daya yang didelegasikan dalam penyewa pelanggan, atau memungkinkan perusahaan dengan beberapa penyewa memusatkan operasi manajemen mereka.

Untuk mencapai proyeksi logis ini, langganan (atau satu atau beberapa grup sumber daya dalam langganan) di penyewa pelanggan harus disetorkan ke Azure Lighthouse. Proses onboarding ini dapat dilakukan baik melalui templat Azure Resource Manager atau dengan menerbitkan penawaran publik atau privat ke Marketplace Azure.

Dengan salah satu metode onboarding, Anda harus menentukan otorisasi. Setiap otorisasi menyertakan principalId (pengguna, grup, atau perwakilan layanan Azure AD di penyewa pengelola) dikombinasikan dengan peran bawaan yang menentukan izin khusus yang akan diberikan untuk sumber daya yang didelegasikan.

Catatan

Kecuali ditentukan secara eksplisit, referensi ke "pengguna" dalam dokumentasi Azure Lighthouse dapat berlaku untuk pengguna Azure AD, grup, atau prinsip layanan dalam autorisasi.

Praktik terbaik untuk mendefinisikan pengguna dan peran

Saat membuat otorisasi Anda, kami menyarankan praktik terbaik berikut:

  • Dalam kebanyakan kasus, Anda mungkin ingin menetapkan izin ke grup pengguna atau perwakilan layanan Azure Active Directory, bukan ke serangkaian akun pengguna individual. Hal ini memungkinkan Anda untuk menambahkan atau menghapus akses pada masing-masing pengguna melalui Azure AD penyewa Anda, daripada harus memperbarui delegasi setiap kali persyaratan akses individual berubah.
  • Pastikan untuk mengikuti prinsip hak istimewa paling sedikit sehingga pengguna hanya memiliki izin yang diperlukan untuk menyelesaikan pekerjaan, hal ini membantu mengurangi kemungkinan kesalahan yang tidak disengaja. Untuk mengetahui informasi selengkapnya, lihat Praktik keamanan yang disarankan.
  • Sertakan otorisasi dengan Peran untuk Menghapus Penetapan Pendaftaran Layanan Terkelola sehingga Anda dapat menghapus akses ke delegasi nanti jika diperlukan. Jika peran ini tidak ditetapkan, akses ke sumber daya yang didelegasikan hanya dapat dihapus oleh pengguna di penyewa pelanggan.
  • Pastikan bahwa setiap pengguna yang perlu melihat halaman Pelanggan saya di portal Microsoft Azure memiliki peran Pembaca (atau peran bawaan lainnya yang mencakup akses Pembaca).

Penting

Untuk menambahkan izin untuk grup Microsoft Azure AD, tipe Grup harus diatur ke Keamanan. Opsi ini dipilih ketika grup dibuat. Untuk informasi selengkapnya, lihat Membuat grup dasar dan menambahkan anggota menggunakan Azure Active Directory.

Dukungan peran untuk Azure Lighthouse

Saat mendefinisikan otorisasi, setiap akun pengguna harus ditetapkan dengan salah satu peran bawaan Azure. Peran kustom dan peran administrator langganan klasik tidak didukung.

Semua peran bawaan saat ini didukung dengan Azure Lighthouse, dengan pengecualian berikut:

Di dalam beberapa kasus, peran yang sebelumnya didukung dengan Azure Lighthouse mungkin menjadi tidak tersedia. Misalnya, jika izin DataActions ditambahkan ke peran yang sebelumnya tidak memiliki izin tersebut, peran tersebut tidak dapat lagi digunakan saat onboarding delegasi baru. Pengguna yang perannya telah ditetapkan tetap dapat mengerjakan sumber daya yang didelegasikan sebelumnya, tetapi mereka tidak akan dapat melakukan tugas yang menggunakan izin DataActions tersebut.

Catatan

Segera setelah peran bawaan baru yang berlaku ditambahkan ke Azure, peran tersebut dapat ditetapkan saat onboarding pelanggan menggunakan templat Azure Resource Manager. Mungkin ada penundaan sebelum peran yang baru ditambahkan tersedia di Pusat Mitra saat menerbitkan penawaran layanan terkelola. Demikian pula, jika peran menjadi tidak tersedia, Anda mungkin masih dapat melihatnya di Pusat Mitra untuk jangka waktu tertentu; namun, Anda tidak akan dapat menerbitkan penawaran yang baru menggunakan peran tersebut.

Mentransfer langganan yang didelegasikan antara penyewa Microsoft Azure AD

Jika langganan ditransfer ke akun penyewa Microsoft Azure AD lainnya, sumber daya penugasan pendaftaran dan definisi pendaftaran yang dibuat melalui proses onboarding Azure Lighthouse akan disimpan. Ini berarti bahwa akses yang diberikan melalui Azure Lighthouse untuk mengelola penyewa akan tetap berlaku untuk langganan itu (atau untuk grup sumber daya yang didelegasikan dalam langganan tersebut).

Satu-satunya pengecualian adalah jika langganan ditransfer ke penyewa Microsoft Azure AD yang sebelumnya telah didelegasikan. Dalam hal ini, sumber daya delegasi untuk penyewa tersebut dihapus dan akses yang diberikan melalui Azure Lighthouse tidak akan lagi berlaku, karena langganan sekarang merupakan milik langsung penyewa tersebut (dan bukan didelegasikan kepadanya melalui Azure Lighthouse). Namun, jika langganan tersebut juga telah didelegasikan ke penyewa pengelola lainnya, penyewa pengelola lainnya akan mempertahankan akses yang sama ke langganan.

Langkah berikutnya