Locatários, usuários e funções em cenários do Azure Lighthouse

  • Artigo

Antes de integrar clientes no Azure Lighthouse, é importante entender como os locatários, os usuários e as funções do Microsoft Entra funcionam e como eles podem ser usados em cenários do Azure Lighthouse.

Um locatário é uma instância dedicada e confiável do Microsoft Entra ID. Normalmente, cada locatário representa uma única organização. O Azure Lighthouse habilita a projeção lógica de recursos de um locatário para outro locatário. Isso permite que os usuários no locatário de gerenciamento (como um que pertença a um provedor de serviços) acessem recursos delegados no locatário de um cliente ou permite que empresas com vários locatários centralizem suas operações de gerenciamento.

Para alcançar essa projeção lógica, uma assinatura (ou um ou mais grupos de recursos em uma assinatura) no locatário do cliente deve ser integrada ao Azure Lighthouse. Esse processo de integração pode ser feito por meio de modelos do Azure Resource Manager ou ao publicar uma oferta pública ou privada no Azure Marketplace.

Seja qual for o método de integração, você precisará definir autorizações. Cada autorização inclui um principalId (um usuário, grupo ou entidade de serviço do Microsoft Entra no locatário de gerenciamento) combinado com uma função interna que define as permissões específicas que serão concedidas para os recursos delegados.

Observação

A menos que seja especificado explicitamente, as referências a um "usuário" na documentação do Azure Lighthouse podem ser aplicadas a um usuário, grupo ou entidade de serviço do Microsoft Entra em uma autorização.

Práticas recomendadas para definir usuários e funções

Ao criar suas autorizações, recomendamos as melhores práticas abaixo:

  • Na maioria dos casos, é melhor atribuir permissões a um grupo de usuários ou entidade de serviço do Microsoft Entra, em vez de a uma série de contas de usuário individuais. Isso permite adicionar ou remover o acesso para usuários individuais por meio do Microsoft Entra ID de seu locatário, em vez de atualizar a delegação sempre que seus requisitos de acesso individuais forem alterados.
  • Siga o princípio de privilégios mínimos para que os usuários tenham apenas as permissões necessárias para concluir seu trabalho, ajudando a reduzir a chance de erros acidentais. Para saber mais, confira Práticas de segurança recomendadas.
  • Inclua uma autorização com a Função Excluir Atribuição de Registro de Serviços Gerenciados para que você possa remover o acesso à delegação posteriormente, se necessário. Se essa função não for atribuída, o acesso aos recursos delegados só poderá ser removido por um usuário no locatário do cliente.
  • Certifique-se de que qualquer usuário que precise exibir a página Meus clientes no portal do Azure tenha a função Leitor (ou outra função interna que inclua acesso de leitura).

Importante

Para adicionar permissões para um grupo do Microsoft Entra, o Tipo de grupo deve ser definido como Segurança. Essa opção é selecionada quando o grupo é criado. Para obter mais informações, consulte Criar um grupo básico e adicionar membros usando Microsoft Entra ID.

Suporte de função para o Azure Lighthouse

Quando você define uma autorização, cada conta de usuário deve ser atribuída a uma das funções internas do Azure. As funções personalizadas e as funções de administrador de assinatura clássica não têm suporte.

Atualmente, todas as funções internas têm suporte no Azure Lighthouse, com as seguintes exceções:

  • Não há suporte para a função Proprietário.

  • A função de Administrador de Acesso de Usuário tem suporte, mas apenas para a finalidade limitada de atribuir funções a uma identidade gerenciada no locatário do cliente. Nenhuma outra permissão normalmente concedida por essa função será aplicada. Se você definir um usuário com essa função, também deverá especificar as funções que esse usuário pode atribuir às identidades gerenciadas.

  • Não há suporte para nenhuma função com permissão DataActions.

  • Funções que incluem qualquer uma das seguintes ações não têm suporte:

    • */write
    • */delete
    • Microsoft.Authorization/*
    • Microsoft.Authorization/*/write
    • Microsoft.Authorization/*/delete
    • Microsoft.Authorization/roleAssignments/write
    • Microsoft.Authorization/roleAssignments/delete
    • Microsoft.Authorization/roleDefinitions/write
    • Microsoft.Authorization/roleDefinitions/delete
    • Microsoft.Authorization/classicAdministrators/write
    • Microsoft.Authorization/classicAdministrators/delete
    • Microsoft.Authorization/locks/write
    • Microsoft.Authorization/locks/delete
    • Microsoft.Authorization/denyAssignments/write
    • Microsoft.Authorization/denyAssignments/delete

Importante

Ao atribuir funções, examine as ações especificadas para cada função. Em alguns casos, embora não haja suporte para funções com a permissão DataActions, as ações incluídas em uma função podem permitir o acesso aos dados, quando dados são expostos por meio de chaves de acesso e não acessados por meio da identidade do usuário. Por exemplo, a função Colaborador de Máquina Virtual inclui a ação Microsoft.Storage/storageAccounts/listKeys/action, que retorna chaves de acesso da conta de armazenamento que podem ser usadas para recuperar determinados dados do cliente.

Em alguns casos, uma função que já teve suporte anteriormente no Azure Lighthouse pode ficar indisponível. Por exemplo, se a permissão DataActions for adicionada a uma função que anteriormente não tinha essa permissão, essa função não poderá mais ser usada ao integrar novas delegações. Os usuários que já receberam a função ainda poderão trabalhar em recursos delegados anteriormente, mas não poderão executar tarefas que usam a permissão DataActions.

Assim que uma nova função interna aplicável for adicionada ao Azure, ela poderá ser atribuída durante a integração de um cliente usando modelos do Azure Resource Manager. Pode haver um atraso antes que a função recém-adicionada fique disponível no Partner Center ao publicar uma oferta de serviço gerenciado. Da mesma forma, se uma função ficar indisponível, você ainda poderá vê-la no Partner Center por um tempo; no entanto, você não poderá publicar novas ofertas usando essas funções.

Transferindo assinaturas delegadas entre locatários do Microsoft Entra

Se uma assinatura for transferida para a conta de outro locatário do Microsoft Entra, os recursos de definição de registro e atribuição de registro criados durante o processo de integração do Azure Lighthouse serão preservados. Isso significa que o acesso concedido por meio do Azure Lighthouse para gerenciar locatários permanece em vigor para essa assinatura (ou para grupos de recursos delegados dentro dessa assinatura).

A única exceção é se a assinatura for transferida para um locatário do Microsoft Entra para o qual ela foi delegada anteriormente. Nesse caso, os recursos de delegação desse locatário serão removidos, e o acesso concedido por meio do Azure Lighthouse não se aplica mais, pois a assinatura agora pertence diretamente a esse locatário (em vez de ser delegada a ele por meio do Azure Lighthouse). No entanto, se essa assinatura também foi delegada a outros locatários de gerenciamento, os outros locatários de gerenciamento manterão o mesmo acesso à assinatura.

Próximas etapas