Bagikan melalui


Membuat otorisasi yang memenuhi syarat

Saat melakukan orientasi pelanggan ke Azure Lighthouse, Anda membuat otorisasi untuk memberikan peran bawaan Azure tertentu kepada pengguna di penyewa pengelola Anda. Anda juga dapat membuat otorisasi yang memenuhi syarat yang menggunakan Microsoft Entra Privileged Identity Management (PIM) untuk memungkinkan pengguna dalam penyewa pengelola Anda meningkatkan peran mereka untuk sementara waktu. Ini memungkinkan Anda memberikan izin tambahan secara tepat waktu sehingga pengguna hanya memiliki izin tersebut selama durasi yang ditetapkan.

Membuat otorisasi yang memenuhi syarat memungkinkan Anda meminimalkan jumlah penetapan permanen pengguna ke peran istimewa, membantu mengurangi risiko keamanan yang terkait dengan akses istimewa oleh pengguna di penyewa Anda.

Topik ini menjelaskan cara kerja otorisasi yang memenuhi syarat dan cara membuatnya saat melakukan orientasi pelanggan ke Azure Lighthouse.

Persyaratan lisensi

Membuat otorisasi yang memenuhi syarat memerlukan lisensi Enterprise Mobility + Security E5 (EMS E5) atau Microsoft Entra ID P2 .

Lisensi EMS E5 atau Microsoft Entra ID P2 harus dipegang oleh penyewa pengelola, bukan penyewa pelanggan.

Biaya tambahan apa pun yang terkait dengan peran yang memenuhi syarat hanya akan berlaku selama periode waktu pengguna meningkatkan akses mereka ke peran tersebut.

Untuk informasi tentang lisensi untuk pengguna, lihat Tata Kelola ID Microsoft Entra dasar-dasar lisensi.

Cara kerja otorisasi yang memenuhi syarat

Otorisasi yang memenuhi syarat menentukan penetapan peran yang mengharuskan pengguna untuk mengaktifkan peran ketika mereka perlu melakukan tugas istimewa. Ketika mengaktifkan peran yang memenuhi syarat, mereka akan memiliki akses penuh yang diberikan oleh peran tersebut selama jangka waktu yang ditentukan.

Pengguna di penyewa pelanggan dapat meninjau semua penetapan peran, termasuk yang memiliki otorisasi yang memenuhi syarat, sebelum proses orientasi.

Setelah pengguna berhasil mengaktifkan peran yang memenuhi syarat, mereka akan memiliki peran yang ditingkatkan pada lingkup yang didelegasikan untuk periode waktu yang telah dikonfigurasi sebelumnya, selain penetapan peran permanen mereka untuk lingkup tersebut.

Administrator di penyewa pengelola dapat meninjau semua aktivitas Privileged Identity Management dengan melihat log audit di penyewa pengelola. Pelanggan dapat melihat tindakan ini di log aktivitas Azure untuk langganan yang didelegasikan.

Elemen otorisasi yang memenuhi syarat

Anda dapat membuat otorisasi yang memenuhi syarat saat onboarding pelanggan dengan templat Azure Resource Manager atau dengan menerbitkan penawaran Layanan Terkelola ke Azure Marketplace. Tiap otorisasi yang memenuhi syarat harus menyertakan tiga elemen: pengguna, peran, dan kebijakan akses.

Pengguna

Untuk setiap otorisasi yang memenuhi syarat, Anda memberikan ID Utama untuk pengguna individual atau grup Microsoft Entra di penyewa pengelola. Seiring dengan ID Utama, Anda harus memberikan nama tampilan pilihan Anda untuk setiap otorisasi.

Jika grup disediakan dalam otorisasi yang memenuhi syarat, setiap anggota grup tersebut akan dapat meningkatkan akses individu mereka sendiri ke peran itu, untuk tiap kebijakan akses.

Anda tidak dapat menggunakan otorisasi dengan perwakilan layanan, karena saat ini belum ada cara bagi akun perwaklan layanan untuk meningkatkan aksesnya dan menggunakan peran yang memenuhi syarat. Anda juga tidak dapat menggunakan otorisasi yang memenuhi syarat dengan delegatedRoleDefinitionIds sehingga Administrator Akses Pengguna dapat menetapkan ke identitas terkelola.

Catatan

Untuk setiap otorisasi yang memenuhi syarat, pastikan juga untuk membuat otorisasi permanen (aktif) untuk ID Utama yang sama dengan peran yang berbeda, seperti Reader (atau peran bawaan Azure lainnya yang mencakup akses Pembaca). Jika Anda tidak menyertakan otorisasi permanen dengan akses Pembaca, pengguna tidak akan dapat meningkatkan perannya di portal Microsoft Azure.

Peran

Setiap otorisasi yang memenuhi syarat harus menyertakan peran bawaan Azure sehingga pengguna akan memenuhi syarat untuk menggunakan secara just-in-time.

Peran ini bisa menjadi peran bawaan Azure yang didukung untuk manajemen sumber daya yang didelegasikan Azure, kecuali untuk Administrator Akses Pengguna.

Penting

Jika Anda menyertakan beberapa otorisasi yang memenuhi syarat yang menggunakan peran yang sama, masing-masing otorisasi yang memenuhi syarat harus memiliki pengaturan kebijakan akses yang sama.

Kebijakan akses

Kebijakan akses menentukan persyaratan autentikasi multifaktor (MFA) dan lamanya waktu pengguna akan diaktifkan dalam peran sebelum kedaluwarsa, dan apakah dibutuhkan pemberi persetujuan.

Autentikasi multifaktor

Tentukan apakah memerlukan autentikasi multifaktor Microsoft Entra agar peran yang memenuhi syarat diaktifkan atau tidak.

Durasi maksimum

menetapkan total lama waktu pengguna akan memiliki peran yang memenuhi syarat. Nilai minimum adalah 30 menit dan maksimum adalah 8 jam.

Pemberi Izin

Elemen pemberi persetujuan adalah opsional. Jika menyertakannya, Anda dapat menentukan hingga 10 pengguna atau grup pengguna di penyewa pengelola yang dapat menyetujui atau menolak permintaan dari pengguna untuk mengaktifkan peran yang memenuhi syarat.

Anda tidak dapat menggunakan akun perwakilan layanan sebagai pemberi persetujuan. Juga, pemberi persetujuan tidak dapat menyetujui akses mereka sendiri; Jika pemberi persetujuan juga disertakan sebagai pengguna dalam otorisasi yang memenuhi syarat, pemberi persetujuan yang berbeda harus memberikan akses agar mereka dapat meningkatkan peran mereka.

Jika Anda tidak menyertakan pemberi persetujuan, pengguna akan dapat mengaktifkan peran yang memenuhi syarat kapan pun mereka memilih.

Membuat otorisasi yang memenuhi syarat menggunakan penawaran Layanan Terkelola

Untuk onboarding pelanggan Anda ke Azure Lighthouse, Anda dapat menerbitkan penawaran Layanan Terkelola ke Azure Marketplace. Saat membuat penawaran di Pusat Mitra, kini Anda dapat menentukan apakah jenis Akses untuk setiap Otorisasi harus Aktif atau Memenuhi Syarat.

Ketika Anda memilih Memenuhi Syarat,pengguna dalam otorisasi Anda akan dapat mengaktifkan peran sesuai dengan kebijakan akses yang Anda konfigurasikan. Anda harus mengatur durasi maksimum antara 30 menit dan 8 jam, dan menentukan apakah Anda akan memerlukan autentikasi multifaktor. Anda juga dapat menambahkan hingga 10 pemberi izin jika Anda memilih untuk menggunakannya, memberikan nama tampilan dan ID utama untuk masing-masing.

Pastikan untuk meninjau detail di bagian elemen otorisasi yang memenuhi syarat saat mengonfigurasi otorisasi yang memenuhi syarat di Pusat Mitra.

Membuat otorisasi yang memenuhi syarat menggunakan templat Azure Resource Manager

Untuk orientasi pelanggan Anda ke Azure Lighthouse, Anda menggunakan templat Azure Resource Manager bersama dengan file parameter terkait yang Anda ubah. Templat yang Anda pilih akan bergantung pada apakah Anda sedang melakukan orientasi pada seluruh langganan, grup sumber daya, atau beberapa grup sumber daya dalam langganan.

Untuk menyertakan otorisasi yang memenuhi syarat saat Anda melakukan orientasi pelanggan, gunakan salah satu templat dari bagian delegated-resource-management-eligible-authorizations dari repositori sampel kami. Kami menyediakan templat dengan dan tanpa pemberi persetujuan disertakan, sehingga Anda dapat menggunakan salah satu yang paling sesuai untuk skenario Anda.

Untuk orientasi (dengan otorisasi yang memenuhi syarat) Menggunakan templat Azure Resource Manager Dan ubah file parameter ini
Langganan subscription.json json parameter langganan
Langganan (dengan pemberi izin) subscription-managing-tenant-approvers.json subscription-managing-tenant-approvers.parameters.json
Grup sumber daya rg.json rg.parameters.json
Grup sumber daya (dengan pemberi izin) rg-managing-tenant-approvers.json rg-managing-tenant-approvers.parameters.json
Beberapa grup sumber daya dalam langganan multiple-rg.json multiple-rg.parameters.json
Beberapa grup sumber daya dalam langganan (dengan pemberi persetujuan) multiple-rg-managing-tenant-approvers.json multiple-rg-managing-tenant-approvers.parameters.json

Templat subscription-managing-tenant-approvers.json, yang dapat digunakan untuk onboarding langganan dengan otorisasi (termasuk pemberi izin) yang memenuhi syarat, ditunjukkan di bawah ini.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/subscriptionDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "type": "string",
            "metadata": {
                "description": "Specify a unique name for your offer"
            }
        },
        "mspOfferDescription": {
            "type": "string",
            "metadata": {
                "description": "Name of the Managed Service Provider offering"
            }
        },
        "managedByTenantId": {
            "type": "string",
            "metadata": {
                "description": "Specify the tenant id of the Managed Service Provider"
            }
        },
        "authorizations": {
            "type": "array",
            "metadata": {
                "description": "Specify an array of objects, containing tuples of Azure Active Directory principalId, a Azure roleDefinitionId, and an optional principalIdDisplayName. The roleDefinition specified is granted to the principalId in the provider's Active Directory and the principalIdDisplayName is visible to customers."
            }
        },
        "eligibleAuthorizations": {
            "type": "array",
            "metadata": {
                "description": "Provide the authorizations that will have just-in-time role assignments on customer environments with support for approvals from the managing tenant"
            }
        }
    },
        "variables": {
            "mspRegistrationName": "[guid(parameters('mspOfferName'))]",
            "mspAssignmentName": "[guid(parameters('mspOfferName'))]"
        },
        "resources": [
            {
                "type": "Microsoft.ManagedServices/registrationDefinitions",
                "apiVersion": "2020-02-01-preview",
                "name": "[variables('mspRegistrationName')]",
                "properties": {
                    "registrationDefinitionName": "[parameters('mspOfferName')]",
                    "description": "[parameters('mspOfferDescription')]",
                    "managedByTenantId": "[parameters('managedByTenantId')]",
                    "authorizations": "[parameters('authorizations')]",
                    "eligibleAuthorizations": "[parameters('eligibleAuthorizations')]"
                }
            },
            {
                "type": "Microsoft.ManagedServices/registrationAssignments",
                "apiVersion": "2020-02-01-preview",
                "name": "[variables('mspAssignmentName')]",
                "dependsOn": [
                    "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
                ],
                "properties": {
                    "registrationDefinitionId": "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
                }
            }
        ],
        "outputs": {
            "mspOfferName": {
                "type": "string",
                "value": "[concat('Managed by', ' ', parameters('mspOfferName'))]"
            },
            "authorizations": {
                "type": "array",
                "value": "[parameters('authorizations')]"
            },
            "eligibleAuthorizations": {
                "type": "array",
                "value": "[parameters('eligibleAuthorizations')]"
            }
        }
    }

Menentukan otorisasi yang memenuhi syarat dalam file parameter Anda

Templat sampel subscription-managing-tenant-approvers.parameters.json dapat digunakan untuk menentukan otorisasi, termasuk otorisasi yang memenuhi syarat, saat melakukan onboarding langganan.

Setiap otorisasi Anda yang memenuhi syarat harus ditentukan dalam parameter eligibleAuthorizations. Contoh ini mencakup satu otorisasi yang memenuhi syarat.

Templat ini juga menyertakan elemen managedbyTenantApprovers, yang menambahkan principalId yang akan diminta untuk menyetujui semua upaya untuk mengaktifkan peran yang memenuhi syarat yang ditentukan dalam elemen eligibleAuthorizations.

{
    "$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "value": "Relecloud Managed Services"
        },
        "mspOfferDescription": {
            "value": "Relecloud Managed Services"
        },
        "managedByTenantId": {
            "value": "<insert the managing tenant id>"
        },
        "authorizations": {
            "value": [
                { 
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
                    "principalIdDisplayName": "PIM group"
                }
            ]
        }, 
        "eligibleAuthorizations":{
            "value": [
                {
                        "justInTimeAccessPolicy": {
                            "multiFactorAuthProvider": "Azure",
                            "maximumActivationDuration": "PT8H",
                            "managedByTenantApprovers": [ 
                                { 
                                    "principalId": "00000000-0000-0000-0000-000000000000", 
                                    "principalIdDisplayName": "PIM-Approvers" 
                                } 
                            ]
                        },
                        "principalId": "00000000-0000-0000-0000-000000000000", 
                        "principalIdDisplayName": "Tier 2 Support",
                        "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"

                }
            ]
        }
    }
}

Setiap entri dalam parameter eligibleAuthorizations berisi tiga elemen yang menentukan otorisasi yang memenuhi syarat: principalId, roleDefinitionId, dan justInTimeAccessPolicy.

principalId menentukan ID untuk pengguna atau grup Microsoft Entra tempat otorisasi yang memenuhi syarat ini akan berlaku.

roleDefinitionId berisi ID definisi peran untuk peran bawaan Azure sehingga pengguna akan memenuhi syarat untuk menggunakan secara just-in-time. Jika Anda menyertakan beberapa otorisasi yang memenuhi syarat yang menggunakan roleDefinitionId yang sama, semuanya harus memiliki pengaturan yang identik untuk justInTimeAccessPolicy.

justInTimeAccessPolicy menentukan tiga elemen:

  • multiFactorAuthProvider dapat diatur ke Azure, yang akan memerlukan autentikasi menggunakan autentikasi multifaktor Microsoft Entra, atau ke Tidak Ada jika tidak ada autentikasi multifaktor yang diperlukan.
  • maximumActivationDuration menetapkan total lama waktu pengguna akan memiliki peran yang memenuhi syarat. Nilai ini harus menggunakan format durasi ISO 8601. Nilai minimumnya adalah PT30M (30 menit) dan nilai maksimumnya adalah PT8H (8 jam). Untuk kesederhanaan, sebaiknya gunakan nilai dalam kenaikan setengah jam saja, seperti PT6H selama 6 jam atau PT6H30M selama 6,5 jam.
  • managedByTenantApprovers bersifat opsional. Jika Anda memasukkannya, nilai itu harus berisi satu atau lebih kombinasi principalId dan principalIdDisplayName yang akan diminta untuk menyetujui aktivasi peran yang memenuhi syarat.

Untuk informasi selengkapnya tentang elemen-elemen ini, lihat bagian Elemen otorisasi yang memenuhi syarat.

Proses elevasi untuk pengguna

Setelah Anda mengarahkan pelanggan ke Azure Lighthouse, setiap peran memenuhi syarat yang Anda sertakan akan tersedia untuk pengguna tertentu (atau pengguna di grup tertentu).

Setiap pengguna dapat meningkatkan akses mereka kapan saja dengan mengunjungi halaman Pelanggan saya di portal Azure, memilih delegasi, lalu memilih Kelola peran yang memenuhi syarat. Setelah itu, mereka dapat mengikuti langkah-langkah untuk mengaktifkan peran di Microsoft Entra Privileged Identity Management.

Jika pemberi persetujuan telah ditentukan, pengguna tidak akan memiliki akses ke peran sampai persetujuan diberikan oleh pemberi izin yang ditunjuk dari penyewa yang mengelola. Semua pemberi izin akan diberitahu ketika persetujuan diminta, dan pengguna tidak akan dapat menggunakan peran yang memenuhi syarat sampai persetujuan itu diberikan. Pemberi persetujuan juga akan diberitahu ketika itu terjadi. Untuk detail selengkapnya tentang proses persetujuan, lihat Menyetujui atau menolak permintaan untuk peran sumber daya Azure dalam Privileged Identity Management.

Setelah peran yang memenuhi syarat diaktifkan, pengguna akan memiliki peran tersebut selama durasi penuh yang ditentukan dalam otorisasi yang memenuhi syarat. Setelah jangka waktu tersebut, mereka tidak akan dapat menggunakan peran tersebut lagi, kecuali jika mereka mengulangi proses elevasi dan meningkatkan akses mereka lagi.

Langkah berikutnya