Share via


In aanmerking komende autorisaties maken

Wanneer u klanten onboardt naar Azure Lighthouse, maakt u autorisaties voor het verlenen van opgegeven ingebouwde Azure-rollen aan gebruikers in uw beheertenant. U kunt ook in aanmerking komende autorisaties maken die microsoft Entra Privileged Identity Management (PIM) gebruiken om gebruikers in uw beherende tenant tijdelijk hun rol te laten verhogen. Hiermee kunt u extra machtigingen verlenen op een Just-In-Time-basis, zodat gebruikers alleen die machtigingen hebben voor een bepaalde duur.

Door in aanmerking komende autorisaties te maken, kunt u het aantal permanente toewijzingen van gebruikers tot bevoorrechte rollen minimaliseren, waardoor beveiligingsrisico's met betrekking tot bevoegde toegang door gebruikers in uw tenant worden beperkt.

In dit onderwerp wordt uitgelegd hoe in aanmerking komende autorisaties werken en hoe u deze kunt maken bij het onboarden van een klant naar Azure Lighthouse.

Licentievereisten

Voor het maken van in aanmerking komende autorisaties is een Enterprise Mobility + Security E5-licentie (EMS E5) of Microsoft Entra ID P2-licentie vereist.

De EMS E5- of Microsoft Entra ID P2-licentie moet worden bewaard door de beheertenant, niet de tenant van de klant.

Eventuele extra kosten die zijn gekoppeld aan een in aanmerking komende rol, zijn alleen van toepassing gedurende de periode waarin de gebruiker de toegang tot die rol verhoogt.

Zie Microsoft Entra ID-governance basisprincipes van licenties voor gebruikers voor meer informatie over licenties.

Hoe in aanmerking komende autorisaties werken

Een in aanmerking komende autorisatie definieert een roltoewijzing waarvoor de gebruiker de rol moet activeren wanneer deze bevoegde taken moet uitvoeren. Wanneer ze de in aanmerking komende rol activeren, krijgen ze gedurende de opgegeven periode volledige toegang verleend door die rol.

Gebruikers in de tenant van de klant kunnen alle roltoewijzingen, inclusief die in in aanmerking komende autorisaties, vóór het onboardingproces bekijken.

Zodra een gebruiker een in aanmerking komende rol heeft geactiveerd, heeft hij die verhoogde rol voor het gedelegeerde bereik voor een vooraf geconfigureerde periode, naast de permanente roltoewijzing(en) voor dat bereik.

Beheerders in de beherende tenant kunnen alle activiteiten van Privileged Identity Management bekijken door het auditlogboek in de beherende tenant te bekijken. Klanten kunnen deze acties bekijken in het Azure-activiteitenlogboek voor het gedelegeerde abonnement.

In aanmerking komende autorisatie-elementen

U kunt een in aanmerking komende autorisatie maken bij het onboarden van klanten met Azure Resource Manager-sjablonen of door een aanbieding voor beheerde services te publiceren naar Azure Marketplace. Elke in aanmerking komende autorisatie moet drie elementen bevatten: de gebruiker, de rol en het toegangsbeleid.

User

Voor elke in aanmerking komende autorisatie geeft u de principal-id op voor een afzonderlijke gebruiker of een Microsoft Entra-groep in de beherende tenant. Samen met de principal-id moet u een weergavenaam van uw keuze opgeven voor elke autorisatie.

Als een groep wordt verstrekt in een in aanmerking komende autorisatie, kan elk lid van die groep zijn eigen individuele toegang tot die rol verhogen volgens het toegangsbeleid.

U kunt geen in aanmerking komende autorisaties gebruiken met service-principals, omdat er momenteel geen manier is voor een service-principal-account om de toegang te verhogen en een in aanmerking komende rol te gebruiken. U kunt ook geen in aanmerking komende autorisaties gebruiken waarmee delegatedRoleDefinitionIds een beheerder van gebruikerstoegang kan toewijzen aan beheerde identiteiten.

Notitie

Zorg ervoor dat u voor elke in aanmerking komende autorisatie ook een permanente (actieve) autorisatie maakt voor dezelfde principal-id met een andere rol, zoals Lezer (of een andere ingebouwde Azure-rol die lezertoegang bevat). Als u geen permanente autorisatie met lezertoegang opneemt, kan de gebruiker zijn rol niet uitbreiden in Azure Portal.

Role

Elke in aanmerking komende autorisatie moet een ingebouwde Azure-rol bevatten die de gebruiker in aanmerking komt voor just-in-time-gebruik.

De rol kan elke ingebouwde Azure-rol zijn die wordt ondersteund voor gedelegeerd Azure-resourcebeheer, met uitzondering van beheerder van gebruikerstoegang.

Belangrijk

Als u meerdere in aanmerking komende autorisaties opneemt die dezelfde rol gebruiken, moeten alle in aanmerking komende autorisaties dezelfde instellingen voor toegangsbeleid hebben.

Toegangsbeleid

Het toegangsbeleid definieert de vereisten voor meervoudige verificatie, de tijdsduur waarop een gebruiker wordt geactiveerd in de rol voordat deze verloopt en of goedkeurders vereist zijn.

Meervoudige verificatie

Geef op of Microsoft Entra-meervoudige verificatie moet worden vereist om een in aanmerking komende rol te activeren.

Maximale duur

Definieer de totale tijdsduur waarvoor de gebruiker de in aanmerking komende rol krijgt. De minimumwaarde is 30 minuten en het maximum is 8 uur.

Goedkeurders

Het element goedkeurders is optioneel. Als u deze opneemt, kunt u maximaal 10 gebruikers of gebruikersgroepen opgeven in de beherende tenant die aanvragen van een gebruiker kan goedkeuren of weigeren om de in aanmerking komende rol te activeren.

U kunt geen service-principal-account gebruiken als fiatteur. Goedkeurders kunnen ook hun eigen toegang niet goedkeuren; als een fiatteur ook wordt opgenomen als de gebruiker in een in aanmerking komende autorisatie, moet een andere fiatteur toegang verlenen om hun rol te verhogen.

Als u geen goedkeurders opneemt, kan de gebruiker de in aanmerking komende rol activeren wanneer ze kiezen.

In aanmerking komende autorisaties maken met managed services-aanbiedingen

Als u uw klant wilt onboarden naar Azure Lighthouse, kunt u aanbiedingen voor beheerde services publiceren naar Azure Marketplace. Wanneer u uw aanbiedingen maakt in partnercentrum, kunt u nu opgeven of het toegangstype voor elke autorisatie actief of in aanmerking komt.

Wanneer u In aanmerking komt selecteert, kan de gebruiker in uw autorisatie de rol activeren volgens het toegangsbeleid dat u configureert. U moet een maximale duur tussen 30 minuten en 8 uur instellen en opgeven of u meervoudige verificatie nodig hebt. U kunt ook maximaal 10 goedkeurders toevoegen als u ervoor kiest om ze te gebruiken, waarbij u een weergavenaam en een principal-id voor elk item opgeeft.

Controleer de details in de sectie In aanmerking komende autorisatie-elementen bij het configureren van uw in aanmerking komende autorisaties in partnercentrum.

In aanmerking komende autorisaties maken met behulp van Azure Resource Manager-sjablonen

Als u uw klant wilt onboarden bij Azure Lighthouse, gebruikt u een Azure Resource Manager-sjabloon samen met een bijbehorend parameterbestand dat u wijzigt. De sjabloon die u kiest, is afhankelijk van of u een volledig abonnement, een resourcegroep of meerdere resourcegroepen binnen een abonnement onboardt.

Als u in aanmerking komende autorisaties wilt opnemen wanneer u een klant onboardt, gebruikt u een van de sjablonen uit de sectie gedelegeerde resource-management-in aanmerking komende autorisaties van onze opslagplaats met voorbeelden. We bieden sjablonen met en zonder goedkeurders, zodat u de sjabloon kunt gebruiken die het beste werkt voor uw scenario.

Deze onboarding uitvoeren (met in aanmerking komende autorisaties) Deze Azure Resource Manager-sjabloon gebruiken En wijzig dit parameterbestand
Abonnement subscription.json subscription.parameters.json
Abonnement (met goedkeurders) subscription-managing-tenant-approvers.json subscription-managing-tenant-approvers.parameters.json
Resourcegroep rg.json rg.parameters.json
Resourcegroep (met goedkeurders) rg-managing-tenant-approvers.json rg-managing-tenant-approvers.parameters.json
Meerdere resourcegroepen binnen een abonnement multiple-rg.json multiple-rg.parameters.json
Meerdere resourcegroepen binnen een abonnement (met goedkeurders) multiple-rg-managing-tenant-approvers.json multiple-rg-managing-tenant-approvers.parameters.json

De subscription-managing-tenant-approvers.json-sjabloon , die kan worden gebruikt voor het onboarden van een abonnement met in aanmerking komende autorisaties (inclusief goedkeurders), wordt hieronder weergegeven.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/subscriptionDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "type": "string",
            "metadata": {
                "description": "Specify a unique name for your offer"
            }
        },
        "mspOfferDescription": {
            "type": "string",
            "metadata": {
                "description": "Name of the Managed Service Provider offering"
            }
        },
        "managedByTenantId": {
            "type": "string",
            "metadata": {
                "description": "Specify the tenant id of the Managed Service Provider"
            }
        },
        "authorizations": {
            "type": "array",
            "metadata": {
                "description": "Specify an array of objects, containing tuples of Azure Active Directory principalId, a Azure roleDefinitionId, and an optional principalIdDisplayName. The roleDefinition specified is granted to the principalId in the provider's Active Directory and the principalIdDisplayName is visible to customers."
            }
        },
        "eligibleAuthorizations": {
            "type": "array",
            "metadata": {
                "description": "Provide the authorizations that will have just-in-time role assignments on customer environments with support for approvals from the managing tenant"
            }
        }
    },
        "variables": {
            "mspRegistrationName": "[guid(parameters('mspOfferName'))]",
            "mspAssignmentName": "[guid(parameters('mspOfferName'))]"
        },
        "resources": [
            {
                "type": "Microsoft.ManagedServices/registrationDefinitions",
                "apiVersion": "2020-02-01-preview",
                "name": "[variables('mspRegistrationName')]",
                "properties": {
                    "registrationDefinitionName": "[parameters('mspOfferName')]",
                    "description": "[parameters('mspOfferDescription')]",
                    "managedByTenantId": "[parameters('managedByTenantId')]",
                    "authorizations": "[parameters('authorizations')]",
                    "eligibleAuthorizations": "[parameters('eligibleAuthorizations')]"
                }
            },
            {
                "type": "Microsoft.ManagedServices/registrationAssignments",
                "apiVersion": "2020-02-01-preview",
                "name": "[variables('mspAssignmentName')]",
                "dependsOn": [
                    "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
                ],
                "properties": {
                    "registrationDefinitionId": "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
                }
            }
        ],
        "outputs": {
            "mspOfferName": {
                "type": "string",
                "value": "[concat('Managed by', ' ', parameters('mspOfferName'))]"
            },
            "authorizations": {
                "type": "array",
                "value": "[parameters('authorizations')]"
            },
            "eligibleAuthorizations": {
                "type": "array",
                "value": "[parameters('eligibleAuthorizations')]"
            }
        }
    }

In aanmerking komende autorisaties definiëren in uw parameterbestand

De subscription-managing-tenant-approvers.parameters.json voorbeeldsjabloon kan worden gebruikt voor het definiëren van autorisaties, inclusief in aanmerking komende autorisaties, bij het onboarden van een abonnement.

Elk van uw in aanmerking komende autorisaties moet worden gedefinieerd in de eligibleAuthorizations parameter. Dit voorbeeld bevat één in aanmerking komende autorisatie.

Deze sjabloon bevat ook het managedbyTenantApprovers element, waarmee een principalId persoon moet worden toegevoegd die alle pogingen moet goedkeuren om de in aanmerking komende rollen te activeren die in het eligibleAuthorizations element zijn gedefinieerd.

{
    "$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "value": "Relecloud Managed Services"
        },
        "mspOfferDescription": {
            "value": "Relecloud Managed Services"
        },
        "managedByTenantId": {
            "value": "<insert the managing tenant id>"
        },
        "authorizations": {
            "value": [
                { 
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
                    "principalIdDisplayName": "PIM group"
                }
            ]
        }, 
        "eligibleAuthorizations":{
            "value": [
                {
                        "justInTimeAccessPolicy": {
                            "multiFactorAuthProvider": "Azure",
                            "maximumActivationDuration": "PT8H",
                            "managedByTenantApprovers": [ 
                                { 
                                    "principalId": "00000000-0000-0000-0000-000000000000", 
                                    "principalIdDisplayName": "PIM-Approvers" 
                                } 
                            ]
                        },
                        "principalId": "00000000-0000-0000-0000-000000000000", 
                        "principalIdDisplayName": "Tier 2 Support",
                        "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"

                }
            ]
        }
    }
}

Elke vermelding binnen de eligibleAuthorizations parameter bevat drie elementen die een in aanmerking komende autorisatie definiëren: principalId, roleDefinitionIden justInTimeAccessPolicy.

principalId hiermee geeft u de id op voor de Microsoft Entra-gebruiker of -groep waarop deze in aanmerking komende autorisatie van toepassing is.

roleDefinitionId bevat de roldefinitie-id voor een ingebouwde Azure-rol die de gebruiker in aanmerking komt voor just-in-time-gebruik. Als u meerdere in aanmerking komende autorisaties opneemt die hetzelfde roleDefinitionIdgebruiken, moeten ze allemaal identieke instellingen hebben voor justInTimeAccessPolicy.

justInTimeAccessPolicy geeft drie elementen op:

  • multiFactorAuthProvider kan worden ingesteld op Azure, waarvoor verificatie is vereist met behulp van Microsoft Entra-meervoudige verificatie of op Geen als er geen meervoudige verificatie vereist is.
  • maximumActivationDuration stelt de totale tijdsduur in waarvoor de gebruiker de in aanmerking komende rol krijgt. Deze waarde moet de ISO 8601-duurnotatie gebruiken. De minimumwaarde is PT30M (30 minuten) en de maximumwaarde is PT8H (8 uur). Voor het gemak raden we u aan alleen waarden in stappen van een half uur te gebruiken, zoals PT6H gedurende 6 uur of PT6H30M gedurende 6,5 uur.
  • managedByTenantApprovers is optioneel. Als u deze opneemt, moet deze een of meer combinaties van een principalId en een principalIdDisplayName bevatten die een activering van de in aanmerking komende rol moet goedkeuren.

Zie de sectie In aanmerking komende autorisatie-elementen voor meer informatie over deze elementen.

Proces voor benodigde bevoegdheden voor gebruikers

Nadat u een klant hebt toegevoegd aan Azure Lighthouse, zijn alle in aanmerking komende rollen die u hebt opgenomen beschikbaar voor de opgegeven gebruiker (of voor gebruikers in opgegeven groepen).

Elke gebruiker kan de toegang op elk gewenst moment uitbreiden door naar de pagina Mijn klanten in Azure Portal te gaan, een delegatie te selecteren en vervolgens in aanmerking komende rollen beheren te selecteren. Daarna kunnen ze de stappen volgen om de rol te activeren in Microsoft Entra Privileged Identity Management.

Als goedkeurders zijn opgegeven, heeft de gebruiker geen toegang tot de rol totdat goedkeuring wordt verleend door een aangewezen fiatteur van de beherende tenant. Alle goedkeurders worden op de hoogte gesteld wanneer goedkeuring wordt aangevraagd en de gebruiker kan de in aanmerking komende rol pas gebruiken als goedkeuring is verleend. Goedkeurders worden ook op de hoogte gesteld wanneer dat gebeurt. Zie Aanvragen voor Azure-resourcerollen goedkeuren of weigeren in Privileged Identity Management voor meer informatie over het goedkeuringsproces.

Zodra de in aanmerking komende rol is geactiveerd, heeft de gebruiker die rol voor de volledige duur die is opgegeven in de in aanmerking komende autorisatie. Na die periode kunnen ze die rol niet meer gebruiken, tenzij ze het uitbreidingsproces herhalen en hun toegang opnieuw verhogen.

Volgende stappen