Compartilhar via

Locatários, usuários e funções em cenários do Azure Lighthouse

  • Artigo

Antes de integrar clientes no Azure Lighthouse, é importante entender como os locatários, os usuários e as funções do Microsoft Entra funcionam e como eles podem ser usados em cenários do Azure Lighthouse.

Um locatário é uma instância dedicada e confiável do Microsoft Entra ID. Normalmente, cada locatário representa uma única organização. O Azure Lighthouse habilita a projeção lógica de recursos de um locatário para outro locatário. Isso permite que os usuários no locatário de gerenciamento (como um que pertença a um provedor de serviços) acessem recursos delegados no locatário de um cliente ou permite que empresas com vários locatários centralizem suas operações de gerenciamento.

Para alcançar essa projeção lógica, uma assinatura (ou um ou mais grupos de recursos em uma assinatura) no locatário do cliente deve ser integrada ao Azure Lighthouse. Esse processo de integração pode ser feito por meio de modelos do Azure Resource Manager ou ao publicar uma oferta pública ou privada no Azure Marketplace.

Seja qual for o método de integração, você precisará definir autorizações. Cada autorização inclui um principalId (um usuário, grupo ou entidade de serviço do Microsoft Entra no locatário de gerenciamento) combinado com uma função interna que define as permissões específicas que serão concedidas para os recursos delegados.

Observação

A menos que seja especificado explicitamente, as referências a um "usuário" na documentação do Azure Lighthouse podem ser aplicadas a um usuário, grupo ou entidade de serviço do Microsoft Entra em uma autorização.

Práticas recomendadas para definir usuários e funções

Ao criar suas autorizações, recomendamos as melhores práticas abaixo:

  • Na maioria dos casos, é melhor atribuir permissões a um grupo de usuários ou entidade de serviço do Microsoft Entra, em vez de a uma série de contas de usuário individuais. Isso permite adicionar ou remover o acesso de usuários individuais por meio da ID do Microsoft Entra do locatário, sem precisar atualizar a delegação sempre que seus requisitos de acesso individuais forem alterados.
  • Siga o princípio dos privilégios mínimos. Para reduzir a chance de erros inadvertidos, os usuários devem ter apenas as permissões necessárias para executar seu trabalho específico. Para saber mais, confira Práticas de segurança recomendadas.
  • Inclua uma autorização com a Função de Exclusão de Atribuição de Registro de Serviços Gerenciados para que você possa remover o acesso à delegação, se necessário. Se essa função não for atribuída, o acesso aos recursos delegados só poderá ser removido por um usuário no locatário do cliente.
  • Certifique-se de que qualquer usuário que precise exibir a página Meus clientes no portal do Azure tenha a função Leitor (ou outra função interna que inclua acesso de leitura).

Importante

Para adicionar permissões para um grupo do Microsoft Entra, o Tipo de grupo deve ser definido como Segurança. Essa opção é selecionada quando o grupo é criado. Para obter mais informações, consulte Criar um grupo básico e adicionar membros usando Microsoft Entra ID.

Suporte de função para o Azure Lighthouse

Quando você define uma autorização, cada conta de usuário deve ser atribuída a uma das funções internas do Azure. Não há suporte para funções personalizadas e funções de administrador de assinatura clássicas.

Atualmente, todas as funções internas têm suporte no Azure Lighthouse, com as seguintes exceções:

  • Não há suporte para a função proprietário.

  • A função de Administrador de Acesso de Usuário tem suporte, mas apenas para a finalidade limitada de atribuir funções a uma identidade gerenciada no locatário do cliente. Nenhuma outra permissão normalmente concedida por essa função será aplicada. Se você definir um usuário com essa função, também deverá especificar as funções que esse usuário pode atribuir às identidades gerenciadas.

  • Não há suporte para funções com permissão DataActions.

  • Funções que incluem qualquer uma das seguintes ações não têm suporte:

    • */write
    • */delete
    • Microsoft.Authorization/*
    • Microsoft.Authorization/*/write
    • Microsoft.Authorization/*/delete
    • Microsoft.Authorization/roleAssignments/write
    • Microsoft.Authorization/roleAssignments/delete
    • Microsoft.Authorization/roleDefinitions/write
    • Microsoft.Authorization/roleDefinitions/delete
    • Microsoft.Authorization/classicAdministrators/write
    • Microsoft.Authorization/classicAdministrators/delete
    • Microsoft.Authorization/locks/write
    • Microsoft.Authorization/locks/delete
    • Microsoft.Authorization/denyAssignments/write
    • Microsoft.Authorization/denyAssignments/delete

Importante

Ao atribuir funções, examine as ações especificadas para cada função. Embora não haja suporte para funções com permissão de DataActions, há casos em que as ações incluídas em uma função com suporte podem permitir o acesso aos dados. Isso geralmente ocorre quando os dados são expostos por meio de chaves de acesso, não acessados por meio da identidade do usuário. Por exemplo, a função Colaborador de Máquina Virtual inclui a ação Microsoft.Storage/storageAccounts/listKeys/action, que retorna chaves de acesso da conta de armazenamento que podem ser usadas para recuperar determinados dados do cliente.

Em alguns casos, uma função que já teve suporte anteriormente no Azure Lighthouse pode ficar indisponível. Por exemplo, se a permissão DataActions for adicionada a uma função que anteriormente não tinha essa permissão, essa função não poderá mais ser usada ao integrar novas delegações. Os usuários que já foram atribuídos a essa função ainda poderão trabalhar em recursos delegados anteriormente, mas não poderão executar nenhuma tarefa que use a permissão DataActions.

Assim que uma nova função interna aplicável for adicionada ao Azure, ela poderá ser atribuída durante a integração de um cliente usando modelos do Azure Resource Manager. Pode haver um atraso antes que a função recém-adicionada fique disponível no Partner Center ao publicar uma oferta de serviço gerenciado. Da mesma forma, se uma função ficar indisponível, você ainda poderá vê-la no Partner Center por um tempo, mas não poderá publicar novas ofertas usando essas funções.

Transferindo assinaturas delegadas entre locatários do Microsoft Entra

Se uma assinatura for transferida para a conta de outro locatário do Microsoft Entra, os recursos de definição de registro e atribuição de registro criados durante o processo de integração do Azure Lighthouse serão preservados. Isso significa que o acesso concedido por meio do Azure Lighthouse para gerenciar locatários permanece em vigor para essa assinatura (ou para grupos de recursos delegados dentro dessa assinatura).

A única exceção é se a assinatura for transferida para um locatário do Microsoft Entra para o qual ela foi delegada anteriormente. Nesse caso, os recursos de delegação desse locatário serão removidos, e o acesso concedido por meio do Azure Lighthouse não se aplica mais, pois a assinatura agora pertence diretamente a esse locatário (em vez de ser delegada a ele por meio do Azure Lighthouse). No entanto, se essa assinatura também foi delegada a outros locatários de gerenciamento, os outros locatários de gerenciamento manterão o mesmo acesso à assinatura.

Próximas etapas