Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Wanneer u klanten onboardt voor Azure Lighthouse, maakt u autorisaties voor het verlenen van opgegeven Azure ingebouwde rollen aan gebruikers in uw beherende tenant. U kunt ook in aanmerking komende autorisaties maken die gebruikmaken van Microsoft Entra Privileged Identity Management (PIM) om gebruikers in uw beherende tenant tijdelijk hun rol te laten verhogen. Deze rolverhoging verleent extra machtigingen op just-in-time-basis, zodat gebruikers alleen die machtigingen hebben voor een bepaalde duur.
Door in aanmerking komende autorisaties te maken, minimaliseert u het aantal permanente toewijzingen van gebruikers aan bevoorrechte rollen. Met deze aanpak kunt u beveiligingsrisico's beperken die betrekking hebben op bevoegde toegang door gebruikers in uw tenant.
Dit artikel legt uit hoe in aanmerking komende autorisaties werken en hoe u deze kunt maken bij het onboarden van een klant naar Azure Lighthouse.
Licentievereisten
Omdat in aanmerking komende autorisaties Microsoft Entra Privileged Identity Management gebruiken, moet de beherende tenant beschikken over een licentie voor Microsoft Entra Id-governance die ondersteuning biedt voor Privileged Identity management om in aanmerking komende autorisaties te maken.
Eventuele extra kosten die zijn gekoppeld aan een in aanmerking komende rol, zijn alleen van toepassing gedurende de periode waarin de gebruiker de toegang tot die rol verhoogt.
Notitie
Het maken van in aanmerking komende autorisaties wordt niet ondersteund in nationale clouds.
Hoe in aanmerking komende autorisaties werken
Een in aanmerking komende autorisatie definieert een roltoewijzing waarvoor de gebruiker de rol moet activeren wanneer deze bevoegde taken moet uitvoeren. Wanneer ze de rol waarvoor ze in aanmerking komen activeren, hebben ze gedurende de opgegeven periode volledige toegang zoals toegekend door die rol.
Gebruikers in de tenant van de klant kunnen alle roltoewijzingen, inclusief die in in aanmerking komende autorisaties, vóór het onboardingproces bekijken.
Wanneer een gebruiker een in aanmerking komende rol activeert, krijgt hij die verhoogde rol voor het gedelegeerde bereik voor een vooraf geconfigureerde periode, naast de permanente roltoewijzingen voor dat bereik.
Beheerders in de beherende tenant kunnen alle activiteiten van Privileged Identity Management bekijken door het auditlogboek in de beherende tenant te bekijken. Klanten kunnen deze acties bekijken in het Azure activiteitenlogboek voor het gedelegeerde abonnement.
In aanmerking komende autorisatie-elementen
U kunt een in aanmerking komende autorisatie maken bij het onboarden van klanten met behulp van Azure Resource Manager sjablonen of door een aanbieding voor beheerde services te publiceren naar Microsoft Marketplace. Elke in aanmerking komende autorisatie moet drie elementen bevatten: de gebruiker, de rol en het toegangsbeleid.
Gebruiker
Geef voor elke in aanmerking komende autorisatie de principal-id op voor een afzonderlijke gebruiker of een Microsoft Entra groep in de beheertenant. Geef samen met de principal-id een weergavenaam op voor elke autorisatie.
Als u een in aanmerking komende autorisatie aan een groep toewijst, kan elk lid van die groep de eigen individuele toegang tot die rol verhogen volgens het toegangsbeleid.
U kunt geen in aanmerking komende autorisaties gebruiken met service-principals, omdat er momenteel geen manier is voor een service-principal-account om de toegang te verhogen en een in aanmerking komende rol te gebruiken. U kunt ook geen in aanmerking komende autorisaties gebruiken waarmee delegatedRoleDefinitionIds een beheerder van gebruikerstoegang kan toewijzen aan beheerde identiteiten.
Notitie
Voor elke in aanmerking komende autorisatie moet u ook een permanente (actieve) autorisatie maken voor dezelfde principal-id met een andere rol, zoals Lezer (of een andere Azure ingebouwde rol die lezertoegang bevat). Als u geen permanente autorisatie met lezertoegang opneemt, kan de gebruiker de rol niet uitbreiden in de Azure-portal.
Rol
Elke in aanmerking komende autorisatie moet een Azure ingebouwde rol bevatten die de gebruiker op just-in-time-basis kan gebruiken.
De rol kan elke Azure ingebouwde rol zijn die wordt ondersteund voor Azure gedelegeerd resourcebeheer, met uitzondering van Gebruikerstoegangbeheerder.
Belangrijk
Als u meerdere in aanmerking komende autorisaties opneemt die dezelfde rol gebruiken, moeten alle in aanmerking komende autorisaties dezelfde instellingen voor toegangsbeleid hebben.
Toegangsbeleid
Het toegangsbeleid definieert de vereisten voor meervoudige verificatie, de tijdsduur waarop een gebruiker wordt geactiveerd in de rol voordat deze verloopt en of goedkeurders vereist zijn.
Meervoudige verificatie
Geef op of u Microsoft Entra meervoudige verificatie wilt vereisen om een in aanmerking komende rol te activeren.
Maximale duur
Definieer de totale tijdsduur waarvoor de gebruiker de in aanmerking komende rol krijgt. De minimumwaarde is 30 minuten en het maximum is 8 uur.
Goedkeurders
Het element goedkeurders is optioneel. Als u deze opneemt, kunt u maximaal 10 gebruikers of gebruikersgroepen opgeven in de beherende tenant die aanvragen van een gebruiker kan goedkeuren of weigeren om de in aanmerking komende rol te activeren.
U kunt geen serviceprincipalaccount gebruiken als goedkeurder. Goedkeurders kunnen ook hun eigen toegang niet goedkeuren. Als een fiatteur ook vermeld is als gebruiker in een geschikte autorisatie, moet een andere fiatteur toegang verlenen om hun rol op te hogen.
Als u geen goedkeurders opneemt, kan de gebruiker de in aanmerking komende rol activeren wanneer hij of zij kiest.
In aanmerking komende autorisaties maken met managed services-aanbiedingen
U kunt uw klant onboarden voor Azure Lighthouse door beheerde services-aanbiedingen te publiceren naar Microsoft Marketplace. Bij het maken van uw aanbiedingen in Partner Center geeft u op of het toegangstype voor elke autorisatieActief of In aanmerking is.
Wanneer u In aanmerking komt selecteert, kan de gebruiker in uw autorisatie de rol activeren op basis van het toegangsbeleid dat u configureert. U moet een maximale duur tussen 30 minuten en 8 uur instellen en opgeven of u meervoudige verificatie nodig hebt. U kunt ook maximaal 10 goedkeurders toevoegen als u ervoor kiest om ze te gebruiken, waarbij u een weergavenaam en een principal-ID voor elke goedkeurder opgeeft.
Zorg ervoor dat u de in aanmerking komende autorisatie-elementen begrijpt bij het configureren van uw in aanmerking komende autorisaties in partnercentrum.
In aanmerking komende autorisaties maken met behulp van Azure Resource Manager-sjablonen
U kunt klanten onboarden voor Azure Lighthouse met behulp van een Azure Resource Manager-sjabloon, samen met een bijbehorend parameterbestand dat u wijzigt. De sjabloon die u kiest, is afhankelijk van of u een volledig abonnement, een resourcegroep of meerdere resourcegroepen binnen een abonnement onboardt.
Als u in aanmerking komende autorisaties wilt opnemen wanneer u een klant onboardt, gebruikt u een van de sjablonen uit de sectie delegated-resource-management-eligible-authorizations van onze opslagplaats met voorbeelden. De opslagplaats bevat sjablonen met en zonder goedkeurders, zodat u de opslagplaats kunt gebruiken die het beste werkt voor uw scenario.
| Deze onboarding uitvoeren (met in aanmerking komende autorisaties) | Deze Azure Resource Manager-sjabloon gebruiken | En wijzig dit parameterbestand |
|---|---|---|
| Abonnement | subscription.json | subscription.parameters.json |
| Abonnement (met goedkeurders) | subscription-managing-tenant-approvers.json | subscription-managing-tenant-approvers.parameters.json |
| Resourcegroep | rg.json | rg.parameters.json |
| Resourcegroep (met goedkeurders) | rg-managing-tenant-approvers.json | rg-managing-tenant-approvers.parameters.json |
| Meerdere resourcegroepen binnen een abonnement | multiple-rg.json | multiple-rg.parameters.json |
| Meerdere resourcegroepen binnen een abonnement (met goedkeurders) | multiple-rg-managing-tenant-approvers.json | multiple-rg-managing-tenant-approvers.parameters.json |
Dit is bijvoorbeeld de subscription-managing-tenant-approvers.json-sjabloon , die een abonnement onboardt met in aanmerking komende autorisaties (inclusief goedkeurders).
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/subscriptionDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mspOfferName": {
"type": "string",
"metadata": {
"description": "Specify a unique name for your offer"
}
},
"mspOfferDescription": {
"type": "string",
"metadata": {
"description": "Name of the Managed Service Provider offering"
}
},
"managedByTenantId": {
"type": "string",
"metadata": {
"description": "Specify the tenant id of the Managed Service Provider"
}
},
"authorizations": {
"type": "array",
"metadata": {
"description": "Specify an array of objects, containing tuples of Azure Active Directory principalId, a Azure roleDefinitionId, and an optional principalIdDisplayName. The roleDefinition specified is granted to the principalId in the provider's Active Directory and the principalIdDisplayName is visible to customers."
}
},
"eligibleAuthorizations": {
"type": "array",
"metadata": {
"description": "Provide the authorizations that will have just-in-time role assignments on customer environments with support for approvals from the managing tenant"
}
}
},
"variables": {
"mspRegistrationName": "[guid(parameters('mspOfferName'))]",
"mspAssignmentName": "[guid(parameters('mspOfferName'))]"
},
"resources": [
{
"type": "Microsoft.ManagedServices/registrationDefinitions",
"apiVersion": "2020-02-01-preview",
"name": "[variables('mspRegistrationName')]",
"properties": {
"registrationDefinitionName": "[parameters('mspOfferName')]",
"description": "[parameters('mspOfferDescription')]",
"managedByTenantId": "[parameters('managedByTenantId')]",
"authorizations": "[parameters('authorizations')]",
"eligibleAuthorizations": "[parameters('eligibleAuthorizations')]"
}
},
{
"type": "Microsoft.ManagedServices/registrationAssignments",
"apiVersion": "2020-02-01-preview",
"name": "[variables('mspAssignmentName')]",
"dependsOn": [
"[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
],
"properties": {
"registrationDefinitionId": "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
}
}
],
"outputs": {
"mspOfferName": {
"type": "string",
"value": "[concat('Managed by', ' ', parameters('mspOfferName'))]"
},
"authorizations": {
"type": "array",
"value": "[parameters('authorizations')]"
},
"eligibleAuthorizations": {
"type": "array",
"value": "[parameters('eligibleAuthorizations')]"
}
}
}
In aanmerking komende autorisaties definiëren in uw parameterbestand
Het parameterbestand dat overeenkomt met uw implementatiesjabloon definieert autorisaties, inclusief in aanmerking komende autorisaties.
Definieer elk van uw in aanmerking komende autorisaties in de eligibleAuthorizations parameter. Deze subscription-managing-tenant-approvers.parameters.json voorbeeldsjabloon bevat bijvoorbeeld één in aanmerking komende autorisatie. Het bevat ook het managedbyTenantApprovers element, dat een principalId persoon toevoegt die alle pogingen moet goedkeuren om de in aanmerking komende rollen te activeren die in het eligibleAuthorizations element zijn gedefinieerd.
{
"$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mspOfferName": {
"value": "Relecloud Managed Services"
},
"mspOfferDescription": {
"value": "Relecloud Managed Services"
},
"managedByTenantId": {
"value": "<insert the managing tenant id>"
},
"authorizations": {
"value": [
{
"principalId": "00000000-0000-0000-0000-000000000000",
"roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
"principalIdDisplayName": "PIM group"
}
]
},
"eligibleAuthorizations":{
"value": [
{
"justInTimeAccessPolicy": {
"multiFactorAuthProvider": "Azure",
"maximumActivationDuration": "PT8H",
"managedByTenantApprovers": [
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "PIM-Approvers"
}
]
},
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Tier 2 Support",
"roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
}
]
}
}
}
Elke vermelding binnen de eligibleAuthorizations parameter bevat drie elementen die een in aanmerking komende autorisatie definiëren: principalId, roleDefinitionIden justInTimeAccessPolicy.
principalId geeft de id op voor de Microsoft Entra gebruiker of groep waarop deze in aanmerking komende autorisatie van toepassing is.
roleDefinitionId bevat de roldefinitie-id voor een Azure ingebouwde rol die de gebruiker op een just-in-time basis in aanmerking komt te gebruiken. Als u meerdere in aanmerking komende autorisaties opneemt die hetzelfde roleDefinitionIdgebruiken, moeten ze allemaal identieke instellingen hebben voor justInTimeAccessPolicy.
justInTimeAccessPolicy geeft drie elementen op:
-
multiFactorAuthProviderkan worden ingesteld op Azure, waarvoor verificatie is vereist met behulp van Microsoft Entra meervoudige verificatie of None als er geen meervoudige verificatie is vereist. -
maximumActivationDurationstelt de totale tijdsduur in waarvoor de gebruiker de in aanmerking komende rol krijgt. Deze waarde moet de ISO 8601-duurnotatie gebruiken. De minimumwaarde is PT30M (30 minuten) en de maximumwaarde is PT8H (8 uur). Gebruik voor het gemak waarden in stappen van een half uur, zoals PT6H gedurende 6 uur of PT6H30M gedurende 6,5 uur. -
managedByTenantApproversis optioneel. Als u deze opneemt, moet deze een of meer combinaties van een principalId en een principalIdDisplayName bevatten die een activering van de in aanmerking komende rol moet goedkeuren.
Zie de sectie In aanmerking komende autorisatie-elementen voor meer informatie over deze elementen.
Verhogingsproces voor gebruikers
Nadat u een klant hebt toegevoegd aan Azure Lighthouse, heeft de opgegeven gebruiker (of gebruikers in opgegeven groepen) toegang tot de in aanmerking komende rollen die u hebt opgenomen.
Elke gebruiker kan de toegang op elk gewenst moment uitbreiden door naar de pagina My-klanten in de Azure-portal te gaan, een delegatie te selecteren en vervolgens In aanmerking komende rollen te selecteren. Daarna kunnen ze de steps volgen om de rol te activeren in Microsoft Entra Privileged Identity Management.
Als u goedkeurders opgeeft, heeft de gebruiker geen toegang tot de rol totdat een goedkeurder van de beheerdertenant goedkeuring verleent. Alle goedkeurders worden op de hoogte gesteld wanneer goedkeuring wordt aangevraagd en de gebruiker kan de in aanmerking komende rol pas gebruiken als goedkeuring is verleend. Goedkeurders krijgen ook een melding over elke goedkeuring.
Voor meer informatie over het goedkeuringsproces, zie Aanvragen voor of afwijzen van verzoeken voor Azure-resourcerollen in Privileged Identity Management.
Zodra de in aanmerking komende rol is geactiveerd, heeft de gebruiker die rol voor de volledige duur die is opgegeven in de in aanmerking komende autorisatie. Na die periode kunnen ze die rol niet meer gebruiken, tenzij ze het uitbreidingsproces herhalen en hun toegang opnieuw verhogen.
Volgende stappen
- Leer hoe je klanten kunt onboarden naar Azure Lighthouse met behulp van ARM-sjablonen.
- Meer informatie over het onboarden van klanten met managed services-aanbiedingen.
- Meer informatie over Microsoft Entra Privileged Identity Management.
- Meer informatie over tenants, gebruikers en rollen in Azure Lighthouse.