Dzierżawy, użytkownicy i role w scenariuszach usługi Azure Lighthouse

Przed dołączeniem klientów usługi Azure Lighthouse ważne jest, aby zrozumieć, jak działają dzierżawy, użytkownicy i role firmy Microsoft oraz jak mogą być używane w scenariuszach usługi Azure Lighthouse.

Dzierżawa jest dedykowanym i zaufanym wystąpieniem identyfikatora Entra firmy Microsoft. Zazwyczaj każda dzierżawa reprezentuje jedną organizację. Usługa Azure Lighthouse umożliwia logiczne projekcje zasobów z jednej dzierżawy do innej dzierżawy. Dzięki temu użytkownicy w dzierżawie zarządzającej (takiej jak jedna należąca do dostawcy usług) uzyskują dostęp do delegowanych zasobów w dzierżawie klienta lub umożliwiają przedsiębiorstwom z wieloma dzierżawami scentralizowanie operacji zarządzania.

Aby można było osiągnąć tę projekcję logiczną, subskrypcja (lub co najmniej jedna grupa zasobów w ramach subskrypcji) w dzierżawie klienta musi zostać dołączona do usługi Azure Lighthouse. Ten proces dołączania można wykonać za pośrednictwem szablonów usługi Azure Resource Manager lub przez opublikowanie oferty publicznej lub prywatnej w witrynie Azure Marketplace.

W przypadku każdej metody dołączania należy zdefiniować autoryzacje. Każda autoryzacja zawiera identyfikator principalId (użytkownik, grupa lub jednostka usługi firmy Microsoft w dzierżawie zarządzającej) w połączeniu z wbudowaną rolą, która definiuje określone uprawnienia, które zostaną przyznane dla delegowanych zasobów.

Uwaga

O ile nie określono jawnie, odwołania do "użytkownika" w dokumentacji usługi Azure Lighthouse mogą dotyczyć użytkownika, grupy lub jednostki usługi firmy Microsoft w autoryzacji.

Najlepsze rozwiązania dotyczące definiowania użytkowników i ról

Podczas tworzenia autoryzacji zalecamy następujące najlepsze rozwiązania:

• W większości przypadków należy przypisać uprawnienia do grupy użytkowników lub jednostki usługi Firmy Microsoft, a nie do serii poszczególnych kont użytkowników. Dzięki temu można dodawać lub usuwać dostęp dla poszczególnych użytkowników za pośrednictwem identyfikatora Microsoft Entra ID dzierżawy, zamiast aktualizować delegowanie za każdym razem, gdy zmieniają się indywidualne wymagania dostępu.
• Przestrzegaj zasady najniższych uprawnień, aby użytkownicy mieli tylko uprawnienia wymagane do ukończenia zadania, co pomaga zmniejszyć prawdopodobieństwo niezamierzonych błędów. Aby uzyskać więcej informacji, zobacz Zalecane rozwiązania w zakresie zabezpieczeń.
• Dołącz autoryzację z rolą Usuwania przypisania rejestracji usług zarządzanych, aby później można było usunąć dostęp do delegowania w razie potrzeby. Jeśli ta rola nie jest przypisana, dostęp do delegowanych zasobów można usunąć tylko przez użytkownika w dzierżawie klienta.
• Upewnij się, że każdy użytkownik, który musi wyświetlić stronę Moje klienci w witrynie Azure Portal , ma rolę Czytelnik (lub inną wbudowaną rolę obejmującą dostęp czytelnika).

Ważne

Aby dodać uprawnienia dla grupy Microsoft Entra, typ grupy musi być ustawiony na Wartość Zabezpieczenia. Ta opcja jest wybierana podczas tworzenia grupy. Aby uzyskać więcej informacji, zobacz Tworzenie podstawowej grupy i dodawanie członków przy użyciu identyfikatora Entra firmy Microsoft.

Obsługa ról dla usługi Azure Lighthouse

Podczas definiowania autoryzacji każde konto użytkownika musi mieć przypisaną jedną z wbudowanych ról platformy Azure. Role niestandardowe i klasyczne role administratora subskrypcji nie są obsługiwane.

Wszystkie wbudowane role są obecnie obsługiwane w usłudze Azure Lighthouse z następującymi wyjątkami:

• Rola Właściciel nie jest obsługiwana.

• Rola Administracja istratora dostępu użytkowników jest obsługiwana, ale tylko w ograniczonym celu przypisywania ról do tożsamości zarządzanej w dzierżawie klienta. Nie będą stosowane żadne inne uprawnienia, które są zwykle przyznawane przez tę rolę. Jeśli zdefiniujesz użytkownika z tą rolą, musisz również określić role, które ten użytkownik może przypisać do tożsamości zarządzanych.

• Wszystkie role z uprawnieniami DataActions nie są obsługiwane.

• Role, które obejmują dowolną z następujących akcji , nie są obsługiwane:

  • */Napisz
  • */Usunąć
  • Microsoft.Authorization/*
  • Microsoft.Authorization/*/write
  • Microsoft.Authorization/*/delete
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete
  • Microsoft.Authorization/roleDefinitions/write
  • Microsoft.Authorization/roleDefinitions/delete
  • Microsoft.Authorization/classic Administracja istrators/write
  • Microsoft.Authorization/classic Administracja istrators/delete
  • Microsoft.Authorization/locks/write
  • Microsoft.Authorization/locks/delete
  • Microsoft.Authorization/denyAssignments/write
  • Microsoft.Authorization/denyAssignments/delete

Ważne

Podczas przypisywania ról należy przejrzeć akcje określone dla każdej roli. W niektórych przypadkach, mimo że role z DataActions uprawnieniami nie są obsługiwane, akcje zawarte w roli mogą zezwalać na dostęp do danych, gdzie dane są udostępniane za pośrednictwem kluczy dostępu i nie są dostępne za pośrednictwem tożsamości użytkownika. Na przykład rola Współautor maszyny wirtualnej zawiera Microsoft.Storage/storageAccounts/listKeys/action akcję, która zwraca klucze dostępu do konta magazynu, których można użyć do pobrania określonych danych klienta.

W niektórych przypadkach rola, która była wcześniej obsługiwana w usłudze Azure Lighthouse, może stać się niedostępna. Jeśli na przykład DataActions uprawnienie zostanie dodane do roli, która wcześniej nie miała tego uprawnienia, ta rola nie może być już używana podczas dołączania nowych delegowania. Użytkownicy, którym przypisano już rolę, nadal będą mogli pracować nad wcześniej delegowanymi zasobami, ale nie będą mogli wykonywać zadań korzystających z DataActions uprawnień.

Gdy tylko do platformy Azure zostanie dodana nowa wbudowana rola, można ją przypisać podczas dołączania klienta przy użyciu szablonów usługi Azure Resource Manager. Może wystąpić opóźnienie, zanim nowo dodana rola stanie się dostępna w Centrum partnerskim podczas publikowania oferty usługi zarządzanej. Podobnie, jeśli rola stanie się niedostępna, może być nadal widoczna w Centrum partnerskim przez pewien czas; jednak nie będzie można publikować nowych ofert przy użyciu takich ról.

Przenoszenie delegowanych subskrypcji między dzierżawami firmy Microsoft Entra

Jeśli subskrypcja zostanie przeniesiona na inne konto dzierżawy firmy Microsoft Entra, zostaną zachowane zasoby definicji rejestracji i przypisania rejestracji utworzone za pośrednictwem procesu dołączania usługi Azure Lighthouse. Oznacza to, że dostęp udzielany za pośrednictwem usługi Azure Lighthouse do zarządzania dzierżawami pozostaje w mocy dla tej subskrypcji (lub dla delegowanych grup zasobów w ramach tej subskrypcji).

Jedynym wyjątkiem jest przeniesienie subskrypcji do dzierżawy firmy Microsoft Entra, do której została wcześniej delegowana. W takim przypadku zasoby delegowania dla tej dzierżawy są usuwane, a dostęp udzielony za pośrednictwem usługi Azure Lighthouse nie ma już zastosowania, ponieważ subskrypcja należy teraz bezpośrednio do tej dzierżawy (zamiast delegowania do niej za pośrednictwem usługi Azure Lighthouse). Jeśli jednak ta subskrypcja została również delegowana do innych dzierżaw zarządzających, te inne dzierżawy zarządzające zachowają ten sam dostęp do subskrypcji.

Następne kroki

• Dowiedz się więcej o zalecanych rozwiązaniach w zakresie zabezpieczeń dla usługi Azure Lighthouse.
• Dołącz klientów do usługi Azure Lighthouse przy użyciu szablonów usługi Azure Resource Manager lub publikowania oferty usług prywatnych lub publicznych usług zarządzanych w witrynie Azure Marketplace.