Inquilinos, utilizadores e funções em cenários do Azure Lighthouse

  • Artigo

Antes de integrar clientes para o Azure Lighthouse, é importante entender como os locatários, usuários e funções do Microsoft Entra funcionam e como eles podem ser usados em cenários do Azure Lighthouse.

Um locatário é uma instância dedicada e confiável do Microsoft Entra ID. Normalmente, cada locatário representa uma única organização. O Azure Lighthouse permite a projeção lógica de recursos de um locatário para outro. Isso permite que os usuários no locatário de gerenciamento (como um pertencente a um provedor de serviços) acessem recursos delegados no locatário de um cliente ou permite que empresas com vários locatários centralizem suas operações de gerenciamento.

Para obter essa projeção lógica, uma assinatura (ou um ou mais grupos de recursos dentro de uma assinatura) no locatário do cliente deve ser integrada ao Azure Lighthouse. Esse processo de integração pode ser feito por meio de modelos do Azure Resource Manager ou publicando uma oferta pública ou privada no Azure Marketplace.

Com qualquer um dos métodos de integração, você precisará definir autorizações. Cada autorização inclui um principalId (um usuário, grupo ou entidade de serviço do Microsoft Entra no locatário de gerenciamento) combinado com uma função interna que define as permissões específicas que serão concedidas para os recursos delegados.

Nota

A menos que explicitamente especificado, as referências a um "usuário" na documentação do Azure Lighthouse podem se aplicar a um usuário, grupo ou entidade de serviço do Microsoft Entra em uma autorização.

Práticas recomendadas para definir usuários e funções

Ao criar suas autorizações, recomendamos as seguintes práticas recomendadas:

  • Na maioria dos casos, convém atribuir permissões a um grupo de usuários ou entidade de serviço do Microsoft Entra, em vez de a uma série de contas de usuário individuais. Isso permite que você adicione ou remova o acesso para usuários individuais por meio da ID do Microsoft Entra do seu locatário, em vez de ter que atualizar a delegação sempre que os requisitos de acesso individuais forem alterados.
  • Siga o princípio do menor privilégio para que os usuários tenham apenas as permissões necessárias para concluir seu trabalho, ajudando a reduzir a chance de erros inadvertidos. Para obter mais informações, consulte Práticas de segurança recomendadas.
  • Inclua uma autorização com a Função de Exclusão de Atribuição de Registro de Serviços Gerenciados para que você possa remover o acesso à delegação posteriormente, se necessário. Se essa função não for atribuída, o acesso aos recursos delegados só poderá ser removido por um usuário no locatário do cliente.
  • Certifique-se de que qualquer usuário que precise exibir a página Meus clientes no portal do Azure tenha a função Leitor (ou outra função interna que inclua acesso de Leitor).

Importante

Para adicionar permissões para um grupo do Microsoft Entra, o tipo de grupo deve ser definido como Segurança. Esta opção é selecionada quando o grupo é criado. Para obter mais informações, consulte Criar um grupo básico e adicionar membros usando o Microsoft Entra ID.

Suporte de função para o Azure Lighthouse

Quando você define uma autorização, cada conta de usuário deve receber uma das funções internas do Azure. Não há suporte para funções personalizadas e funções clássicas de administrador de assinatura.

Todas as funções internas são atualmente suportadas com o Azure Lighthouse, com as seguintes exceções:

  • A função Proprietário não é suportada.

  • A função de Administrador de Acesso de Usuário é suportada, mas apenas com a finalidade limitada de atribuir funções a uma identidade gerenciada no locatário do cliente. Nenhuma outra permissão normalmente concedida por essa função será aplicada. Se você definir um usuário com essa função, também deverá especificar a(s) função(ões) que esse usuário pode atribuir às identidades gerenciadas.

  • Não há suporte para quaisquer funções com DataActions permissão.

  • Não há suporte para funções que incluam qualquer uma das seguintes ações :

    • */escrita
    • */suprimir
    • Microsoft.Authorization/*
    • Microsoft.Authorization/*/write
    • Microsoft.Authorization/*/delete
    • Microsoft.Authorization/roleAssignments/write
    • Microsoft.Authorization/roleAssignments/delete
    • Microsoft.Authorization/roleDefinitions/write
    • Microsoft.Authorization/roleDefinitions/delete
    • Microsoft.Authorization/classicAdministrators/write
    • Microsoft.Authorization/classicAdministrators/delete
    • Microsoft.Authorization/locks/write
    • Microsoft.Authorization/locks/delete
    • Microsoft.Authorization/denyAssignments/write
    • Microsoft.Authorization/denyAssignments/delete

Importante

Ao atribuir funções, certifique-se de revisar as ações especificadas para cada função. Em alguns casos, mesmo que as funções com DataActions permissão não sejam suportadas, as ações incluídas em uma função podem permitir o acesso aos dados, onde os dados são expostos por meio de chaves de acesso e não acessados por meio da identidade do usuário. Por exemplo, a função de Colaborador de Máquina Virtual inclui a ação, que retorna chaves de acesso à Microsoft.Storage/storageAccounts/listKeys/action conta de armazenamento que podem ser usadas para recuperar determinados dados do cliente.

Em alguns casos, uma função que tinha suporte anteriormente com o Azure Lighthouse pode ficar indisponível. Por exemplo, se a permissão for adicionada a DataActions uma função que anteriormente não tinha essa permissão, essa função não poderá mais ser usada ao integrar novas delegações. Os usuários que já receberam a função ainda poderão trabalhar em recursos delegados anteriormente, mas não poderão executar tarefas que usem a DataActions permissão.

Assim que uma nova função interna aplicável for adicionada ao Azure, ela poderá ser atribuída ao integrar um cliente usando modelos do Azure Resource Manager. Pode haver um atraso antes que a função recém-adicionada fique disponível no Partner Center ao publicar uma oferta de serviço gerenciado. Da mesma forma, se uma função ficar indisponível, você ainda poderá vê-la no Partner Center por um tempo; no entanto, você não poderá publicar novas ofertas usando essas funções.

Transferir subscrições delegadas entre inquilinos do Microsoft Entra

Se uma assinatura for transferida para outra conta de locatário do Microsoft Entra, a definição de registro e os recursos de atribuição de registro criados por meio do processo de integração do Azure Lighthouse serão preservados. Isso significa que o acesso concedido por meio do Azure Lighthouse para gerenciar locatários permanece em vigor para essa assinatura (ou para grupos de recursos delegados dentro dessa assinatura).

A única exceção é se a assinatura for transferida para um locatário do Microsoft Entra ao qual ela foi delegada anteriormente. Nesse caso, os recursos de delegação para esse locatário são removidos e o acesso concedido por meio do Azure Lighthouse não se aplica mais, já que a assinatura agora pertence diretamente a esse locatário (em vez de ser delegada a ele por meio do Azure Lighthouse). No entanto, se essa assinatura também tiver sido delegada a outros locatários administradores, esses outros locatários gerenciadores manterão o mesmo acesso à assinatura.

Próximos passos