Tenants, gebruikers en rollen in Azure Lighthouse-scenario's

Voordat u klanten onboardt voor Azure Lighthouse, is het belangrijk om te begrijpen hoe Microsoft Entra-tenants, gebruikers en rollen werken en hoe ze kunnen worden gebruikt in Azure Lighthouse-scenario's.

Een tenant is een toegewezen en vertrouwd exemplaar van Microsoft Entra ID. Normaal gesproken vertegenwoordigt elke tenant één organisatie. Azure Lighthouse maakt logische projectie van resources van de ene tenant naar een andere tenant mogelijk. Hierdoor kunnen gebruikers in de beherende tenant (zoals een die deel uitmaakt van een serviceprovider) toegang krijgen tot gedelegeerde resources in de tenant van een klant of kunnen ondernemingen met meerdere tenants hun beheerbewerkingen centraliseren.

Als u deze logische projectie wilt bereiken, moet een abonnement (of een of meer resourcegroepen binnen een abonnement) in de tenant van de klant worden ge onboardd naar Azure Lighthouse. Dit onboardingproces kan worden uitgevoerd via Azure Resource Manager-sjablonen of door een openbare of persoonlijke aanbieding te publiceren naar Azure Marketplace.

Met een van beide onboarding-methoden moet u autorisaties definiëren. Elke autorisatie bevat een principalId (een Microsoft Entra-gebruiker, -groep of -service-principal in de beheertenant) in combinatie met een ingebouwde rol waarmee de specifieke machtigingen worden gedefinieerd die worden verleend voor de gedelegeerde resources.

Notitie

Tenzij expliciet opgegeven, kunnen verwijzingen naar een 'gebruiker' in de Documentatie van Azure Lighthouse van toepassing zijn op een Microsoft Entra-gebruiker, -groep of -service-principal in een autorisatie.

Aanbevolen procedures voor het definiëren van gebruikers en rollen

Bij het maken van uw autorisaties raden we de volgende aanbevolen procedures aan:

• In de meeste gevallen wilt u machtigingen toewijzen aan een Microsoft Entra-gebruikersgroep of service-principal, in plaats van aan een reeks afzonderlijke gebruikersaccounts. Hierdoor kunt u toegang voor afzonderlijke gebruikers toevoegen of verwijderen via de Microsoft Entra-id van uw tenant, zonder dat u de overdracht telkens hoeft bij te werken wanneer uw afzonderlijke toegangsvereisten veranderen.
• Volg het principe van minimale bevoegdheden. Om de kans op onbedoelde fouten te verminderen, moeten gebruikers alleen beschikken over de machtigingen die nodig zijn om hun specifieke taak uit te voeren. Zie Aanbevolen beveiligingsprocedures voor meer informatie.
• Neem een autorisatie op met de rol Registratietoewijzing voor beheerde services, zodat u zo nodig de toegang tot de delegatie kunt verwijderen. Als deze rol niet is toegewezen, kan de toegang tot gedelegeerde resources alleen worden verwijderd door een gebruiker in de tenant van de klant.
• Zorg ervoor dat elke gebruiker die de pagina Mijn klanten in Azure Portal moet bekijken, de rol Lezer heeft (of een andere ingebouwde rol die lezertoegang bevat).

Belangrijk

Als u machtigingen voor een Microsoft Entra-groep wilt toevoegen, moet het groepstype worden ingesteld op Beveiliging. Deze optie wordt geselecteerd wanneer de groep wordt gemaakt. Zie Een basisgroep maken en leden toevoegen met behulp van Microsoft Entra-id voor meer informatie.

Rolondersteuning voor Azure Lighthouse

Wanneer u een autorisatie definieert, moet aan elk gebruikersaccount een van de ingebouwde Azure-rollen worden toegewezen. Aangepaste rollen en klassieke abonnementsbeheerdersrollen worden niet ondersteund.

Alle ingebouwde rollen worden momenteel ondersteund met Azure Lighthouse, met de volgende uitzonderingen:

• De rol Eigenaar wordt niet ondersteund.

• De rol Administrator voor gebruikerstoegang wordt ondersteund, maar alleen voor het beperkte doel om rollen toe te wijzen aan een beheerde identiteit in de tenant van de klant. Normaal gesproken zijn er geen andere machtigingen die door deze rol worden verleend, van toepassing. Als u een gebruiker met deze rol definieert, moet u ook de rollen opgeven die deze gebruiker aan beheerde identiteiten kan toewijzen.

• Rollen met DataActions machtigingen worden niet ondersteund.

• Rollen met een van de volgende acties worden niet ondersteund:

  • */schrijven
  • */verwijderen
  • Microsoft.Authorization/*
  • Microsoft.Authorization/*/write
  • Microsoft.Authorization/*/delete
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete
  • Microsoft.Authorization/roleDefinitions/write
  • Microsoft.Authorization/roleDefinitions/delete
  • Microsoft.Authorization/classicAdministrators/write
  • Microsoft.Authorization/classicAdministrators/delete
  • Microsoft.Authorization/locks/write
  • Microsoft.Authorization/locks/delete
  • Microsoft.Authorization/denyAssignments/write
  • Microsoft.Authorization/denyAssignments/delete

Belangrijk

Wanneer u rollen toewijst, controleert u de acties die voor elke rol zijn opgegeven. Hoewel rollen met DataActions machtigingen niet worden ondersteund, zijn er gevallen waarin acties in een ondersteunde rol toegang tot gegevens toestaan. Dit gebeurt meestal wanneer gegevens worden weergegeven via toegangssleutels, niet toegankelijk via de identiteit van de gebruiker. De rol Inzender voor virtuele machines bevat bijvoorbeeld de Microsoft.Storage/storageAccounts/listKeys/action actie, die toegangssleutels voor opslagaccounts retourneert die kunnen worden gebruikt om bepaalde klantgegevens op te halen.

In sommige gevallen is een rol die eerder werd ondersteund met Azure Lighthouse mogelijk niet meer beschikbaar. Als de DataActions machtiging bijvoorbeeld wordt toegevoegd aan een rol die eerder niet over die machtiging beschikt, kan die rol niet meer worden gebruikt bij het onboarden van nieuwe delegaties. Gebruikers die al aan die rol zijn toegewezen, kunnen nog steeds aan eerder gedelegeerde resources werken, maar ze kunnen geen taken uitvoeren die gebruikmaken van de DataActions machtiging.

Zodra een nieuwe toepasselijke ingebouwde rol wordt toegevoegd aan Azure, kan deze worden toegewezen wanneer een klant onboarding uitvoert met behulp van Azure Resource Manager-sjablonen. Er kan een vertraging optreden voordat de zojuist toegevoegde rol beschikbaar komt in partnercentrum bij het publiceren van een aanbieding voor beheerde services. Als een rol niet meer beschikbaar is, ziet u deze mogelijk nog een tijdje in het Partnercentrum, maar kunt u geen nieuwe aanbiedingen publiceren met behulp van dergelijke rollen.

Overgedragen abonnementen overdragen tussen Microsoft Entra-tenants

Als een abonnement wordt overgedragen naar een ander Microsoft Entra-tenantaccount, blijven de registratiedefinitie- en registratietoewijzingsbronnen die zijn gemaakt via het onboardingproces van Azure Lighthouse behouden. Dit betekent dat de toegang die via Azure Lighthouse wordt verleend voor het beheren van tenants, van kracht blijft voor dat abonnement (of voor gedelegeerde resourcegroepen binnen dat abonnement).

De enige uitzondering is als het abonnement wordt overgedragen naar een Microsoft Entra-tenant waaraan het eerder was gedelegeerd. In dit geval worden de delegeringsbronnen voor die tenant verwijderd en is de toegang die via Azure Lighthouse wordt verleend, niet meer van toepassing, omdat het abonnement nu rechtstreeks tot die tenant behoort (in plaats van te worden gedelegeerd via Azure Lighthouse). Als dat abonnement echter ook is gedelegeerd aan andere beherende tenants, behouden die andere beherende tenants dezelfde toegang tot het abonnement.

Volgende stappen

• Meer informatie over aanbevolen beveiligingsprocedures voor Azure Lighthouse.
• Onboarding van uw klanten naar Azure Lighthouse, hetzij met behulp van Azure Resource Manager-sjablonen of door een aanbieding voor privé- of openbare beheerde services te publiceren naar Azure Marketplace.