Tenant, utenti e ruoli negli scenari di Azure Lighthouse

  • Articolo

Prima di eseguire l'onboarding dei clienti per Azure Lighthouse, è importante comprendere come funzionano i tenant, gli utenti e i ruoli di Microsoft Entra e come possono essere usati negli scenari di Azure Lighthouse.

Un tenant è un'istanza dedicata e attendibile di Microsoft Entra ID. Un tenant di Azure rappresenta in genere una singola organizzazione. Azure Lighthouse abilita la proiezione logica delle risorse da un tenant a un altro tenant. In questo modo, gli utenti nel tenant di gestione, ad esempio uno appartenente a un provider di servizi, possono accedere alle risorse delegate nel tenant di un cliente o consentire alle aziende con più tenant di centralizzare le operazioni di gestione.

Per ottenere questa proiezione logica, è necessario eseguire l'onboarding di una sottoscrizione (o di uno o più gruppi di risorse all'interno di una sottoscrizione) nel tenant del cliente in Azure Lighthouse. Questo processo di onboarding può essere eseguito tramite modelli di Azure Resource Manager o pubblicando un'offerta pubblica o privata in Azure Marketplace.

Con entrambi i metodi di onboarding, è necessario definire le autorizzazioni. Ogni autorizzazione include un principalId (un utente, un gruppo o un'entità servizio di Microsoft Entra nel tenant di gestione) combinato con un ruolo predefinito che definisce le autorizzazioni specifiche che verranno concesse per le risorse delegate.

Nota

A meno che non venga specificato in modo esplicito, i riferimenti a un "utente" nella documentazione di Azure Lighthouse possono essere applicati a un utente, un gruppo o un'entità servizio di Microsoft Entra in un'autorizzazione.

Procedure consigliate per la definizione di utenti e ruoli

Quando si creano le autorizzazioni, è consigliabile attenersi alle procedure consigliate seguenti:

  • Nella maggior parte dei casi, è consigliabile assegnare autorizzazioni a un gruppo di utenti o a un'entità servizio di Microsoft Entra, anziché a una serie di singoli account utente. In questo modo è possibile aggiungere o rimuovere l'accesso per i singoli utenti tramite l'ID Microsoft Entra del tenant, invece di dover aggiornare la delega ogni volta che i singoli requisiti di accesso cambiano.
  • Seguire il principio dei privilegi minimi in modo che gli utenti dispongano solo delle autorizzazioni necessarie per completare il proprio lavoro, contribuendo a ridurre la probabilità di errori accidentali. Per altre informazioni, vedere Procedure di sicurezza consigliate.
  • Includere un'autorizzazione con il ruolo Di eliminazione assegnazione registrazione servizi gestiti in modo da poter rimuovere l'accesso alla delega in un secondo momento, se necessario. Se questo ruolo non è assegnato, l'accesso alle risorse delegate può essere rimosso solo da un utente nel tenant del cliente.
  • Assicurarsi che qualsiasi utente che deve visualizzare la pagina Clienti personali nel portale di Azure ha il ruolo Lettore (o un altro ruolo predefinito che include l'accesso con autorizzazioni di lettura).

Importante

Per aggiungere autorizzazioni per un gruppo Microsoft Entra, il tipo di gruppo deve essere impostato su Sicurezza. Questa opzione è selezionata quando viene creato il gruppo. Per altre informazioni, vedere Creare un gruppo di base e aggiungere membri usando Microsoft Entra ID.

Supporto dei ruoli per Azure Lighthouse

Quando si definisce un'autorizzazione, a ogni account utente deve essere assegnato uno dei ruoli predefiniti di Azure. I ruoli personalizzati e i ruoli di amministratore della sottoscrizione classica non sono supportati.

Tutti i ruoli predefiniti sono attualmente supportati con Azure Lighthouse, con le eccezioni seguenti:

  • Il ruolo Proprietario non è supportato.

  • Il ruolo Accesso utente Amministrazione istrator è supportato, ma solo per lo scopo limitato di assegnare ruoli a un'identità gestita nel tenant del cliente. Non verranno applicate altre autorizzazioni generalmente concesse da questo ruolo. Se si definisce un utente con questo ruolo, è necessario specificare anche i ruoli che l'utente può assegnare alle identità gestite.

  • I ruoli con DataActions autorizzazione non sono supportati.

  • I ruoli che includono una delle azioni seguenti non sono supportati:

    • */Scrivere
    • */Elimina
    • Microsoft.Authorization/*
    • Microsoft.Authorization/*/write
    • Microsoft.Authorization/*/delete
    • Microsoft.Authorization/roleAssignments/write
    • Microsoft.Authorization/roleAssignments/delete
    • Microsoft.Authorization/roleDefinitions/write
    • Microsoft.Authorization/roleDefinitions/delete
    • Microsoft.Authorization/classicAdministrators/write
    • Microsoft.Authorization/classicAdministrators/delete
    • Microsoft.Authorization/locks/write
    • Microsoft.Authorization/locks/delete
    • Microsoft.Authorization/denyAssignments/write
    • Microsoft.Authorization/denyAssignments/delete

Importante

Quando si assegnano ruoli, assicurarsi di esaminare le azioni specificate per ogni ruolo. In alcuni casi, anche se i ruoli con DataActions autorizzazione non sono supportati, le azioni incluse in un ruolo possono consentire l'accesso ai dati, in cui i dati vengono esposti tramite chiavi di accesso e non accessibili tramite l'identità dell'utente. Ad esempio, il ruolo Collaboratore macchina virtuale include l'azione Microsoft.Storage/storageAccounts/listKeys/action , che restituisce le chiavi di accesso dell'account di archiviazione che possono essere usate per recuperare determinati dati del cliente.

In alcuni casi, un ruolo supportato in precedenza con Azure Lighthouse potrebbe non essere più disponibile. Ad esempio, se l'autorizzazione viene aggiunta a un ruolo che in precedenza non aveva tale autorizzazione, tale ruolo non può più essere usato durante l'onboarding DataActions di nuove deleghe. Gli utenti a cui era già stato assegnato il ruolo potranno comunque lavorare sulle risorse delegate in precedenza, ma non potranno eseguire attività che usano l'autorizzazione DataActions .

Non appena viene aggiunto un nuovo ruolo predefinito applicabile ad Azure, è possibile assegnarlo durante l'onboarding di un cliente usando i modelli di Azure Resource Manager. Potrebbe verificarsi un ritardo prima che il ruolo appena aggiunto diventi disponibile nel Centro per i partner durante la pubblicazione di un'offerta di servizio gestito. Analogamente, se un ruolo non è più disponibile, potrebbe essere ancora visualizzato nel Centro per i partner per un periodo di tempo; Tuttavia, non sarà possibile pubblicare nuove offerte usando tali ruoli.

Trasferimento di sottoscrizioni delegate tra tenant di Microsoft Entra

Se una sottoscrizione viene trasferita a un altro account tenant di Microsoft Entra, le risorse di definizione di registrazione e assegnazione di registrazione create tramite il processo di onboarding di Azure Lighthouse vengono mantenute. Ciò significa che l'accesso concesso tramite Azure Lighthouse per la gestione dei tenant rimane attivo per tale sottoscrizione (o per i gruppi di risorse delegati all'interno di tale sottoscrizione).

L'unica eccezione è se la sottoscrizione viene trasferita a un tenant di Microsoft Entra a cui era stato delegato in precedenza. In questo caso, le risorse di delega per tale tenant vengono rimosse e l'accesso concesso tramite Azure Lighthouse non si applica più, poiché la sottoscrizione ora appartiene direttamente a tale tenant (anziché delegarla tramite Azure Lighthouse). Tuttavia, se tale sottoscrizione è stata delegata anche ad altri tenant di gestione, tali altri tenant di gestione manterranno lo stesso accesso alla sottoscrizione.

Passaggi successivi