Tenants, gebruikers en rollen in Azure Lighthouse-scenario's

Voordat u klanten onboardt voor Azure Lighthouse, is het belangrijk om te begrijpen hoe Microsoft Entra-tenants, gebruikers en rollen werken en hoe ze kunnen worden gebruikt in Azure Lighthouse-scenario's.

Een tenant is een toegewezen en vertrouwd exemplaar van Microsoft Entra ID. Normaal gesproken vertegenwoordigt elke tenant één organisatie. Azure Lighthouse maakt logische projectie van resources van de ene tenant naar een andere tenant mogelijk. Hierdoor kunnen gebruikers in de beherende tenant (zoals een die deel uitmaakt van een serviceprovider) toegang krijgen tot gedelegeerde resources in de tenant van een klant of kunnen ondernemingen met meerdere tenants hun beheerbewerkingen centraliseren.

Als u deze logische projectie wilt bereiken, moet een abonnement (of een of meer resourcegroepen binnen een abonnement) in de tenant van de klant worden ge onboardd naar Azure Lighthouse. Dit onboardingproces kan worden uitgevoerd via Azure Resource Manager-sjablonen of door een openbare of persoonlijke aanbieding te publiceren naar Azure Marketplace.

Met een van beide onboarding-methoden moet u autorisaties definiëren. Elke autorisatie bevat een principalId (een Microsoft Entra-gebruiker, -groep of -service-principal in de beheertenant) in combinatie met een ingebouwde rol waarmee de specifieke machtigingen worden gedefinieerd die worden verleend voor de gedelegeerde resources.

Notitie

Tenzij expliciet opgegeven, kunnen verwijzingen naar een 'gebruiker' in de Documentatie van Azure Lighthouse van toepassing zijn op een Microsoft Entra-gebruiker, -groep of -service-principal in een autorisatie.

Aanbevolen procedures voor het definiëren van gebruikers en rollen

Bij het maken van uw autorisaties raden we de volgende aanbevolen procedures aan:

• In de meeste gevallen wilt u machtigingen toewijzen aan een Microsoft Entra-gebruikersgroep of service-principal, in plaats van aan een reeks afzonderlijke gebruikersaccounts. Hiermee kunt u toegang voor afzonderlijke gebruikers toevoegen of verwijderen via de Microsoft Entra-id van uw tenant in plaats van de overdracht bij te werken telkens wanneer uw afzonderlijke toegangsvereisten veranderen.
• Volg het principe van minimale bevoegdheden, zodat gebruikers alleen over de benodigde machtigingen beschikken om hun taak te voltooien, waardoor de kans op onbedoelde fouten wordt verminderd. Zie Aanbevolen beveiligingsprocedures voor meer informatie.
• Voeg een autorisatie toe met de rol Registratietoewijzing voor beheerde services, zodat u de toegang tot de delegatie later kunt verwijderen, indien nodig. Als deze rol niet is toegewezen, kan de toegang tot gedelegeerde resources alleen worden verwijderd door een gebruiker in de tenant van de klant.
• Zorg ervoor dat elke gebruiker die de pagina Mijn klanten in Azure Portal moet bekijken, de rol Lezer heeft (of een andere ingebouwde rol die lezertoegang bevat).

Belangrijk

Als u machtigingen voor een Microsoft Entra-groep wilt toevoegen, moet het groepstype worden ingesteld op Beveiliging. Deze optie wordt geselecteerd wanneer de groep wordt gemaakt. Zie Een basisgroep maken en leden toevoegen met behulp van Microsoft Entra-id voor meer informatie.

Rolondersteuning voor Azure Lighthouse

Wanneer u een autorisatie definieert, moet aan elk gebruikersaccount een van de ingebouwde Azure-rollen worden toegewezen. Aangepaste rollen en klassieke abonnementsbeheerdersrollen worden niet ondersteund.

Alle ingebouwde rollen worden momenteel ondersteund met Azure Lighthouse, met de volgende uitzonderingen:

• De rol Eigenaar wordt niet ondersteund.

• De rol User Access Beheer istrator wordt ondersteund, maar alleen voor het beperkte doel om rollen toe te wijzen aan een beheerde identiteit in de tenant van de klant. Normaal gesproken zijn er geen andere machtigingen die door deze rol worden verleend, van toepassing. Als u een gebruiker met deze rol definieert, moet u ook de rollen opgeven die deze gebruiker aan beheerde identiteiten kan toewijzen.

• Rollen met DataActions machtigingen worden niet ondersteund.

• Rollen met een van de volgende acties worden niet ondersteund:

  • */Schrijven
  • */Verwijderen
  • Microsoft.Authorization/*
  • Microsoft.Authorization/*/write
  • Microsoft.Authorization/*/delete
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete
  • Microsoft.Authorization/roleDefinitions/write
  • Microsoft.Authorization/roleDefinitions/delete
  • Microsoft.Authorization/classic Beheer istrators/write
  • Microsoft.Authorization/classic Beheer istrators/delete
  • Microsoft.Authorization/locks/write
  • Microsoft.Authorization/locks/delete
  • Microsoft.Authorization/denyAssignments/write
  • Microsoft.Authorization/denyAssignments/delete

Belangrijk

Wanneer u rollen toewijst, controleert u de acties die voor elke rol zijn opgegeven. In sommige gevallen, zelfs als rollen met DataActions machtigingen niet worden ondersteund, kunnen de acties in een rol toegang tot gegevens toestaan, waarbij gegevens worden weergegeven via toegangssleutels en niet worden geopend via de identiteit van de gebruiker. De rol Inzender voor virtuele machines bevat bijvoorbeeld de Microsoft.Storage/storageAccounts/listKeys/action actie, die toegangssleutels voor opslagaccounts retourneert die kunnen worden gebruikt om bepaalde klantgegevens op te halen.

In sommige gevallen is een rol die eerder werd ondersteund met Azure Lighthouse mogelijk niet meer beschikbaar. Als de DataActions machtiging bijvoorbeeld wordt toegevoegd aan een rol die eerder niet over die machtiging beschikt, kan die rol niet meer worden gebruikt bij het onboarden van nieuwe delegaties. Gebruikers aan wie de rol al is toegewezen, kunnen nog steeds aan eerder gedelegeerde resources werken, maar ze kunnen geen taken uitvoeren die gebruikmaken van de DataActions machtiging.

Zodra een nieuwe toepasselijke ingebouwde rol wordt toegevoegd aan Azure, kan deze worden toegewezen wanneer een klant onboarding uitvoert met behulp van Azure Resource Manager-sjablonen. Er kan een vertraging optreden voordat de zojuist toegevoegde rol beschikbaar komt in partnercentrum bij het publiceren van een aanbieding voor beheerde services. En als een rol niet beschikbaar is, ziet u deze mogelijk nog een tijdje in het Partnercentrum; U kunt echter geen nieuwe aanbiedingen publiceren met behulp van dergelijke rollen.

Overgedragen abonnementen overdragen tussen Microsoft Entra-tenants

Als een abonnement wordt overgedragen naar een ander Microsoft Entra-tenantaccount, blijven de registratiedefinitie- en registratietoewijzingsbronnen die zijn gemaakt via het onboardingproces van Azure Lighthouse behouden. Dit betekent dat de toegang die via Azure Lighthouse wordt verleend voor het beheren van tenants, van kracht blijft voor dat abonnement (of voor gedelegeerde resourcegroepen binnen dat abonnement).

De enige uitzondering is als het abonnement wordt overgedragen naar een Microsoft Entra-tenant waaraan het eerder was gedelegeerd. In dit geval worden de delegeringsbronnen voor die tenant verwijderd en is de toegang die via Azure Lighthouse wordt verleend, niet meer van toepassing, omdat het abonnement nu rechtstreeks tot die tenant behoort (in plaats van te worden gedelegeerd via Azure Lighthouse). Als dat abonnement echter ook is gedelegeerd aan andere beherende tenants, behouden die andere beherende tenants dezelfde toegang tot het abonnement.

Volgende stappen

• Meer informatie over aanbevolen beveiligingsprocedures voor Azure Lighthouse.
• Onboarding van uw klanten naar Azure Lighthouse, hetzij met behulp van Azure Resource Manager-sjablonen of door een aanbieding voor privé- of openbare beheerde services te publiceren naar Azure Marketplace.