Udostępnij za pośrednictwem


Tworzenie kwalifikujących się autoryzacji

Podczas dołączania klientów do usługi Azure Lighthouse tworzysz autoryzacje w celu przyznania określonych ról wbudowanych platformy Azure użytkownikom w dzierżawie zarządzającej. Możesz również utworzyć kwalifikujące się autoryzacje korzystające z usługi Microsoft Entra Privileged Identity Management (PIM), aby umożliwić użytkownikom w dzierżawie zarządzania tymczasowe podniesienie poziomu ich roli. Dzięki temu można udzielać dodatkowych uprawnień na zasadzie just in time, dzięki czemu użytkownicy mają te uprawnienia tylko przez określony czas.

Tworzenie kwalifikujących się autoryzacji pozwala zminimalizować liczbę stałych przypisań użytkowników do ról uprzywilejowanych, co pomaga zmniejszyć zagrożenia bezpieczeństwa związane z uprzywilejowanym dostępem użytkowników w dzierżawie.

W tym temacie wyjaśniono, jak działają kwalifikujące się autoryzacje i jak je tworzyć podczas dołączania klienta do usługi Azure Lighthouse.

Wymagania dotyczące licencji

Tworzenie kwalifikujących się autoryzacji wymaga licencji Enterprise Mobility + Security E5 (EMS E5) lub Microsoft Entra ID P2 .

Licencja EMS E5 lub Microsoft Entra ID P2 musi być przechowywana przez dzierżawę zarządzaną, a nie dzierżawę klienta.

Wszelkie dodatkowe koszty związane z kwalifikującą się rolą będą stosowane tylko w okresie, w którym użytkownik podnosi swój dostęp do tej roli.

Aby uzyskać informacje na temat licencji dla użytkowników, zobacz podstawy licencjonowania Zarządzanie tożsamością Microsoft Entra.

Jak działają kwalifikujące się autoryzacje

Kwalifikowana autoryzacja definiuje przypisanie roli, które wymaga od użytkownika aktywowania roli w przypadku konieczności wykonywania zadań uprzywilejowanych. Po aktywowaniu kwalifikującej się roli będą mieli pełny dostęp przyznany przez daną rolę przez określony okres.

Użytkownicy w dzierżawie klienta mogą przejrzeć wszystkie przypisania ról, w tym te w kwalifikujących się autoryzacjach, przed procesem dołączania.

Gdy użytkownik pomyślnie aktywuje kwalifikującą się rolę, będzie miał rolę z podwyższonym poziomem uprawnień w zakresie delegowanym dla wstępnie skonfigurowanego okresu czasu, oprócz stałych przypisań ról dla tego zakresu.

Administratorzy w dzierżawie zarządzającej mogą przeglądać wszystkie działania usługi Privileged Identity Management, wyświetlając dziennik inspekcji w dzierżawie zarządzającej. Klienci mogą wyświetlać te akcje w dzienniku aktywności platformy Azure dla delegowanej subskrypcji.

Kwalifikujące się elementy autoryzacji

Podczas dołączania klientów za pomocą szablonów usługi Azure Resource Manager lub publikowania oferty usług zarządzanych w witrynie Azure Marketplace możesz utworzyć kwalifikowaną autoryzację. Każda kwalifikowana autoryzacja musi zawierać trzy elementy: użytkownika, rolę i zasady dostępu.

User

Dla każdej kwalifikującej się autoryzacji należy podać identyfikator podmiotu zabezpieczeń dla pojedynczego użytkownika lub grupy Microsoft Entra w dzierżawie zarządzającej. Wraz z identyfikatorem podmiotu zabezpieczeń musisz podać wybraną nazwę wyświetlaną dla każdej autoryzacji.

Jeśli grupa zostanie podana w uprawnionej autoryzacji, każdy członek tej grupy będzie mógł podnieść swój własny indywidualny dostęp do tej roli, zgodnie z zasadami dostępu.

Nie można używać kwalifikujących się autoryzacji z jednostkami usługi, ponieważ obecnie nie ma możliwości podniesienia poziomu dostępu do konta jednostki usługi i używania kwalifikującej się roli. Nie można również używać kwalifikujących się autoryzacji z delegatedRoleDefinitionIds tym, że administrator dostępu użytkowników może przypisać do tożsamości zarządzanych.

Uwaga

Dla każdej kwalifikującej się autoryzacji należy również utworzyć stałą (aktywną) autoryzację dla tego samego identyfikatora podmiotu z inną rolą, taką jak Czytelnik (lub inna wbudowana rola platformy Azure obejmująca dostęp czytelnika). Jeśli nie dołączysz stałej autoryzacji z dostępem czytelnika, użytkownik nie będzie mógł podnieść poziomu roli w witrynie Azure Portal.

Rola

Każda kwalifikująca się autoryzacja musi zawierać wbudowaną rolę platformy Azure, którą użytkownik będzie kwalifikował się do użycia na zasadzie just in time.

Rola może być dowolną wbudowaną rolą platformy Azure obsługiwaną w przypadku zarządzania delegowanymi zasobami platformy Azure, z wyjątkiem administratora dostępu użytkowników.

Ważne

Jeśli uwzględnisz wiele kwalifikujących się autoryzacji, które używają tej samej roli, każda z uprawnionych autoryzacji musi mieć te same ustawienia zasad dostępu.

Zasady dostępu

Zasady dostępu definiują wymagania dotyczące uwierzytelniania wieloskładnikowego, czas aktywowania użytkownika w roli przed jego wygaśnięciem oraz tego, czy osoby zatwierdzające są wymagane.

Uwierzytelnianie wieloskładnikowe

Określ, czy należy wymagać uwierzytelniania wieloskładnikowego firmy Microsoft w celu aktywowania kwalifikującej się roli.

Maksymalny czas trwania

Zdefiniuj całkowity czas, dla którego użytkownik będzie miał kwalifikującą się rolę. Wartość minimalna to 30 minut, a wartość maksymalna to 8 godzin.

Osoby zatwierdzające

Element osoby zatwierdzającej jest opcjonalny. Jeśli ją uwzględnisz, możesz określić maksymalnie 10 użytkowników lub grup użytkowników w dzierżawie zarządzającej, którzy mogą zatwierdzać lub odrzucać żądania od użytkownika w celu aktywowania kwalifikującej się roli.

Nie można użyć konta jednostki usługi jako osoby zatwierdzającej. Ponadto osoby zatwierdzające nie mogą zatwierdzić własnego dostępu; Jeśli osoba zatwierdzająca jest również uwzględniona jako użytkownik w uprawniającej autoryzacji, inny osoba zatwierdzająca będzie musiała udzielić dostępu w celu podniesienia poziomu roli.

Jeśli nie dołączysz żadnych osób zatwierdzających, użytkownik będzie mógł aktywować kwalifikującą się rolę za każdym razem, gdy wybierze.

Tworzenie kwalifikujących się autoryzacji przy użyciu ofert usług zarządzanych

Aby dołączyć klienta do usługi Azure Lighthouse, możesz opublikować oferty usług zarządzanych w witrynie Azure Marketplace. Podczas tworzenia ofert w Centrum partnerskim można teraz określić, czy typ dostępu dla każdej autoryzacji powinien być aktywny , czy uprawniony.

Po wybraniu pozycji Kwalifikujące użytkownik w autoryzacji będzie mógł aktywować rolę zgodnie z skonfigurowanymi zasadami dostępu. Musisz ustawić maksymalny czas trwania od 30 minut do 8 godzin i określić, czy będzie wymagane uwierzytelnianie wieloskładnikowe. Możesz również dodać do 10 osób zatwierdzających, jeśli zdecydujesz się ich używać, podając nazwę wyświetlaną i identyfikator podmiotu zabezpieczeń dla każdego z nich.

Pamiętaj, aby zapoznać się ze szczegółami w sekcji Kwalifikujące się elementy autoryzacji podczas konfigurowania kwalifikujących się autoryzacji w Centrum partnerskim.

Tworzenie kwalifikujących się autoryzacji przy użyciu szablonów usługi Azure Resource Manager

Aby dołączyć klienta do usługi Azure Lighthouse, użyj szablonu usługi Azure Resource Manager wraz z odpowiednim plikiem parametrów, który zmodyfikujesz. Wybrany szablon zależy od tego, czy dołączasz całą subskrypcję, grupę zasobów, czy wiele grup zasobów w ramach subskrypcji.

Aby uwzględnić kwalifikujące się autoryzacje podczas dołączania klienta, użyj jednego z szablonów z sekcji delegowanej autoryzacji uprawniające do zarządzania zasobami w naszym repozytorium przykładów. Udostępniamy szablony z dołączonymi osobami zatwierdzanymi i bez nich, dzięki czemu można użyć tego, który działa najlepiej w twoim scenariuszu.

Aby dołączyć to (z uprawnionymi autoryzacjami) Użyj tego szablonu usługi Azure Resource Manager I zmodyfikuj ten plik parametrów
Subskrypcja subscription.json subscription.parameters.json
Subskrypcja (z osobami zatwierdzających) subscription-managing-tenant-approvers.json subscription-managing-tenant-approvers.parameters.json
Grupa zasobów rg.json rg.parameters.json
Grupa zasobów (z osobami zatwierdzających) rg-managing-tenant-approvers.json rg-managing-tenant-approvers.parameters.json
Wiele grup zasobów w ramach subskrypcji multiple-rg.json multiple-rg.parameters.json
Wiele grup zasobów w ramach subskrypcji (z osobami zatwierdzanymi) multiple-rg-managing-tenant-approvers.json multiple-rg-managing-tenant-approvers.parameters.json

Poniżej przedstawiono szablon subscription-managing-tenant-approvers.json , który może służyć do dołączania subskrypcji z uprawnionymi autoryzacjami (w tym osobami zatwierdzanymi).

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/subscriptionDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "type": "string",
            "metadata": {
                "description": "Specify a unique name for your offer"
            }
        },
        "mspOfferDescription": {
            "type": "string",
            "metadata": {
                "description": "Name of the Managed Service Provider offering"
            }
        },
        "managedByTenantId": {
            "type": "string",
            "metadata": {
                "description": "Specify the tenant id of the Managed Service Provider"
            }
        },
        "authorizations": {
            "type": "array",
            "metadata": {
                "description": "Specify an array of objects, containing tuples of Azure Active Directory principalId, a Azure roleDefinitionId, and an optional principalIdDisplayName. The roleDefinition specified is granted to the principalId in the provider's Active Directory and the principalIdDisplayName is visible to customers."
            }
        },
        "eligibleAuthorizations": {
            "type": "array",
            "metadata": {
                "description": "Provide the authorizations that will have just-in-time role assignments on customer environments with support for approvals from the managing tenant"
            }
        }
    },
        "variables": {
            "mspRegistrationName": "[guid(parameters('mspOfferName'))]",
            "mspAssignmentName": "[guid(parameters('mspOfferName'))]"
        },
        "resources": [
            {
                "type": "Microsoft.ManagedServices/registrationDefinitions",
                "apiVersion": "2020-02-01-preview",
                "name": "[variables('mspRegistrationName')]",
                "properties": {
                    "registrationDefinitionName": "[parameters('mspOfferName')]",
                    "description": "[parameters('mspOfferDescription')]",
                    "managedByTenantId": "[parameters('managedByTenantId')]",
                    "authorizations": "[parameters('authorizations')]",
                    "eligibleAuthorizations": "[parameters('eligibleAuthorizations')]"
                }
            },
            {
                "type": "Microsoft.ManagedServices/registrationAssignments",
                "apiVersion": "2020-02-01-preview",
                "name": "[variables('mspAssignmentName')]",
                "dependsOn": [
                    "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
                ],
                "properties": {
                    "registrationDefinitionId": "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
                }
            }
        ],
        "outputs": {
            "mspOfferName": {
                "type": "string",
                "value": "[concat('Managed by', ' ', parameters('mspOfferName'))]"
            },
            "authorizations": {
                "type": "array",
                "value": "[parameters('authorizations')]"
            },
            "eligibleAuthorizations": {
                "type": "array",
                "value": "[parameters('eligibleAuthorizations')]"
            }
        }
    }

Definiowanie kwalifikujących się autoryzacji w pliku parametrów

Przykładowy szablon subscription-managing-tenant-approvers.parameters.json może służyć do definiowania autoryzacji, w tym kwalifikujących się autoryzacji podczas dołączania subskrypcji.

Każda z kwalifikujących się autoryzacji musi być zdefiniowana w parametrze eligibleAuthorizations . Ten przykład obejmuje jedną kwalifikującą się autoryzację.

Ten szablon zawiera managedbyTenantApprovers również element, który dodaje principalId , kto będzie musiał zatwierdzić wszystkie próby aktywowania kwalifikujących się ról zdefiniowanych w elemecie eligibleAuthorizations .

{
    "$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "value": "Relecloud Managed Services"
        },
        "mspOfferDescription": {
            "value": "Relecloud Managed Services"
        },
        "managedByTenantId": {
            "value": "<insert the managing tenant id>"
        },
        "authorizations": {
            "value": [
                { 
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
                    "principalIdDisplayName": "PIM group"
                }
            ]
        }, 
        "eligibleAuthorizations":{
            "value": [
                {
                        "justInTimeAccessPolicy": {
                            "multiFactorAuthProvider": "Azure",
                            "maximumActivationDuration": "PT8H",
                            "managedByTenantApprovers": [ 
                                { 
                                    "principalId": "00000000-0000-0000-0000-000000000000", 
                                    "principalIdDisplayName": "PIM-Approvers" 
                                } 
                            ]
                        },
                        "principalId": "00000000-0000-0000-0000-000000000000", 
                        "principalIdDisplayName": "Tier 2 Support",
                        "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"

                }
            ]
        }
    }
}

Każdy wpis w parametrze eligibleAuthorizations zawiera trzy elementy , które definiują kwalifikowaną autoryzację: principalId, roleDefinitionIdi justInTimeAccessPolicy.

principalId Określa identyfikator użytkownika lub grupy firmy Microsoft Entra, do której zostanie zastosowana ta kwalifikująca się autoryzacja.

roleDefinitionId Zawiera identyfikator definicji roli dla wbudowanej roli platformy Azure, którą użytkownik będzie kwalifikował się do używania na zasadzie just in time. Jeśli uwzględnisz wiele kwalifikujących się autoryzacji, które używają tego samego roleDefinitionIdelementu , wszystkie muszą mieć identyczne ustawienia dla programu justInTimeAccessPolicy.

justInTimeAccessPolicy określa trzy elementy:

  • multiFactorAuthProvider można ustawić na platformę Azure, co będzie wymagać uwierzytelniania przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft lub wartość Brak , jeśli nie będzie wymagane uwierzytelnianie wieloskładnikowe.
  • maximumActivationDuration Określa całkowity czas, dla którego użytkownik będzie miał rolę kwalifikującą się. Ta wartość musi używać formatu czasu trwania ISO 8601. Minimalna wartość to PT30M (30 minut), a maksymalna wartość to PT8H (8 godzin). Dla uproszczenia zalecamy używanie wartości tylko w półgodzinnych przyrostach, takich jak PT6H przez 6 godzin lub PT6H30M przez 6,5 godziny.
  • Element managedByTenantApprovers jest opcjonalny. Jeśli go uwzględnisz, musi zawierać jedną lub więcej kombinacji principalId i principalIdDisplayName, którzy będą musieli zatwierdzić dowolną aktywację kwalifikującej się roli.

Aby uzyskać więcej informacji na temat tych elementów, zobacz sekcję Kwalifikujących się elementów autoryzacji.

Proces podniesienia uprawnień dla użytkowników

Po dołączeniu klienta do usługi Azure Lighthouse wszystkie dołączone role będą dostępne dla określonego użytkownika (lub dla użytkowników w określonych grupach).

Każdy użytkownik może w dowolnym momencie podnieść swój poziom dostępu, odwiedzając stronę Moi klienci w witrynie Azure Portal, wybierając delegowanie, a następnie wybierając pozycję Zarządzaj uprawnionymi rolami. Następnie mogą wykonać kroki aktywowania roli w usłudze Microsoft Entra Privileged Identity Management.

Jeśli osoby zatwierdzające zostały określone, użytkownik nie będzie miał dostępu do roli, dopóki zatwierdzenie nie zostanie przyznane przez wyznaczonego osoby zatwierdzającej z dzierżawy zarządzającej. Wszystkie osoby zatwierdzające będą powiadamiane o żądaniu zatwierdzenia, a użytkownik nie będzie mógł korzystać z kwalifikującej się roli do momentu udzielenia zatwierdzenia. Osoby zatwierdzające będą również powiadamiane, gdy tak się stanie. Aby uzyskać więcej informacji na temat procesu zatwierdzania, zobacz Zatwierdzanie lub odrzucanie żądań dotyczących ról zasobów platformy Azure w usłudze Privileged Identity Management.

Po aktywowaniu kwalifikującej się roli użytkownik będzie miał pełną rolę określoną w uprawniającą autoryzacji. Po upływie tego czasu nie będą już mogli używać tej roli, chyba że powtórzą proces podniesienia uprawnień i ponownie podnieść poziom dostępu.

Następne kroki