Skapa berättigade auktoriseringar
När du registrerar kunder i Azure Lighthouse skapar du auktoriseringar för att bevilja angivna inbyggda Azure-roller till användare i din hanteringsklientorganisation. Du kan också skapa berättigade auktoriseringar som använder Microsoft Entra Privileged Identity Management (PIM) för att låta användare i din hanteringsklient tillfälligt höja sin roll. På så sätt kan du bevilja ytterligare behörigheter just-in-time så att användarna bara har dessa behörigheter under en viss tidsperiod.
Genom att skapa berättigade auktoriseringar kan du minimera antalet permanenta tilldelningar av användare till privilegierade roller, vilket bidrar till att minska säkerhetsriskerna som rör privilegierad åtkomst av användare i din klientorganisation.
Det här avsnittet beskriver hur berättigade auktoriseringar fungerar och hur du skapar dem när du registrerar en kund i Azure Lighthouse.
Licenskrav
För att skapa berättigade auktoriseringar krävs en Enterprise Mobility + Security E5-licens (EMS E5) eller Microsoft Entra ID P2-licens .
EMS E5- eller Microsoft Entra ID P2-licensen måste innehas av den hanterande klientorganisationen, inte kundens klientorganisation.
Eventuella extra kostnader som är kopplade till en berättigad roll gäller endast under den tidsperiod då användaren höjer sin åtkomst till den rollen.
Information om licenser för användare finns i Grunderna för Microsoft Entra ID-styrningslicensiering.
Så här fungerar berättigade auktoriseringar
En berättigad auktorisering definierar en rolltilldelning som kräver att användaren aktiverar rollen när de behöver utföra privilegierade uppgifter. När de aktiverar den berättigade rollen får de fullständig åtkomst som beviljats av den rollen under den angivna tidsperioden.
Användare i kundklientorganisationen kan granska alla rolltilldelningar, inklusive de i berättigade auktoriseringar, före registreringsprocessen.
När en användare har aktiverat en berättigad roll kommer de att ha den upphöjda rollen i det delegerade omfånget under en förkonfigurerad tidsperiod, utöver deras permanenta rolltilldelningar för det omfånget.
Administratörer i den hanterande klientorganisationen kan granska alla aktiviteter för privileged Identity Management genom att visa granskningsloggen i den hanterande klientorganisationen. Kunder kan visa dessa åtgärder i Azure-aktivitetsloggen för den delegerade prenumerationen.
Berättigade auktoriseringselement
Du kan skapa en berättigad auktorisering när du registrerar kunder med Azure Resource Manager-mallar eller genom att publicera ett erbjudande om hanterade tjänster på Azure Marketplace. Varje berättigad auktorisering måste innehålla tre element: användaren, rollen och åtkomstprincipen.
User
För varje berättigad auktorisering anger du huvudnamns-ID:t för en enskild användare eller en Microsoft Entra-grupp i den hanterande klientorganisationen. Tillsammans med huvudnamns-ID:t måste du ange ett visningsnamn för varje auktorisering.
Om en grupp tillhandahålls i ett berättigat auktorisering kan alla medlemmar i den gruppen höja sin egen individuella åtkomst till den rollen enligt åtkomstprincipen.
Du kan inte använda berättigade auktoriseringar med tjänstens huvudnamn, eftersom det för närvarande inte finns något sätt för ett konto för tjänstens huvudnamn att höja åtkomsten och använda en berättigad roll. Du kan inte heller använda berättigade auktoriseringar med delegatedRoleDefinitionIds
som en administratör för användaråtkomst kan tilldela till hanterade identiteter.
Kommentar
För varje berättigad auktorisering måste du också skapa en permanent (aktiv) auktorisering för samma huvudnamns-ID med en annan roll, till exempel Läsare (eller en annan inbyggd Azure-roll som innehåller åtkomst till läsare). Om du inte inkluderar en permanent auktorisering med läsåtkomst kan användaren inte höja sin roll i Azure Portal.
Roll
Varje berättigad auktorisering måste innehålla en inbyggd Azure-roll som användaren kan använda just-in-time.
Rollen kan vara valfri inbyggd Azure-roll som stöds för Azure-delegerad resurshantering, förutom administratör för användaråtkomst.
Viktigt!
Om du inkluderar flera berättigade auktoriseringar som använder samma roll måste var och en av de berättigade auktoriseringarna ha samma inställningar för åtkomstprincip.
Åtkomstprincip
Åtkomstprincipen definierar kraven för multifaktorautentisering, hur länge en användare ska aktiveras i rollen innan den upphör att gälla och om godkännare krävs.
Multifaktorautentisering
Ange om du vill kräva Microsoft Entra multifaktorautentisering för att en berättigad roll ska aktiveras.
Maximal varaktighet
Definiera den totala tidsperiod som användaren ska ha den kvalificerade rollen för. Det minsta värdet är 30 minuter och det maximala värdet är 8 timmar.
Godkännare
Elementet godkännare är valfritt. Om du inkluderar den kan du ange upp till 10 användare eller användargrupper i den hanterande klientorganisationen som kan godkänna eller neka begäranden från en användare för att aktivera den berättigade rollen.
Du kan inte använda ett konto för tjänstens huvudnamn som godkännare. Godkännare kan inte heller godkänna sin egen åtkomst. Om en godkännare också ingår som användare i en berättigad auktorisering måste en annan godkännare bevilja åtkomst för att de ska kunna höja sin roll.
Om du inte inkluderar några godkännare kan användaren aktivera den kvalificerade rollen när de vill.
Skapa berättigade auktoriseringar med managed services-erbjudanden
Om du vill registrera din kund i Azure Lighthouse kan du publicera Managed Services-erbjudanden till Azure Marketplace. När du skapar dina erbjudanden i Partnercenter kan du nu ange om åtkomsttypen för varje auktorisering ska vara aktiv eller berättigad.
När du väljer Berättigad kan användaren i din auktorisering aktivera rollen enligt den åtkomstprincip som du konfigurerar. Du måste ange en maximal varaktighet mellan 30 minuter och 8 timmar och ange om du behöver multifaktorautentisering. Du kan också lägga till upp till 10 godkännare om du väljer att använda dem, med ett visningsnamn och ett huvudnamns-ID för var och en.
Se till att granska informationen i avsnittet Berättigade auktoriseringselement när du konfigurerar dina berättigade auktoriseringar i Partnercenter.
Skapa berättigade auktoriseringar med hjälp av Azure Resource Manager-mallar
Om du vill registrera kunden i Azure Lighthouse använder du en Azure Resource Manager-mall tillsammans med en motsvarande parameterfil som du ändrar. Vilken mall du väljer beror på om du registrerar en hel prenumeration, en resursgrupp eller flera resursgrupper i en prenumeration.
Om du vill inkludera berättigade auktoriseringar när du registrerar en kund använder du en av mallarna från avsnittet delegated-resource-management-eligible-authorizations i vår exempelrepo. Vi tillhandahåller mallar med och utan att godkännare ingår, så att du kan använda den som fungerar bäst för ditt scenario.
Registrera detta (med berättigade auktoriseringar) | Använd den här Azure Resource Manager-mallen | Och ändra den här parameterfilen |
---|---|---|
Prenumeration | subscription.json | subscription.parameters.json |
Prenumeration (med godkännare) | subscription-managing-tenant-approvers.json | subscription-managing-tenant-approvers.parameters.json |
Resursgrupp | rg.json | rg.parameters.json |
Resursgrupp (med godkännare) | rg-managing-tenant-approvers.json | rg-managing-tenant-approvers.parameters.json |
Flera resursgrupper i en prenumeration | multiple-rg.json | multiple-rg.parameters.json |
Flera resursgrupper i en prenumeration (med godkännare) | multiple-rg-managing-tenant-approvers.json | multiple-rg-managing-tenant-approvers.parameters.json |
Den subscription-managing-tenant-approvers.json mallen, som kan användas för att registrera en prenumeration med berättigade auktoriseringar (inklusive godkännare), visas nedan.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/subscriptionDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mspOfferName": {
"type": "string",
"metadata": {
"description": "Specify a unique name for your offer"
}
},
"mspOfferDescription": {
"type": "string",
"metadata": {
"description": "Name of the Managed Service Provider offering"
}
},
"managedByTenantId": {
"type": "string",
"metadata": {
"description": "Specify the tenant id of the Managed Service Provider"
}
},
"authorizations": {
"type": "array",
"metadata": {
"description": "Specify an array of objects, containing tuples of Azure Active Directory principalId, a Azure roleDefinitionId, and an optional principalIdDisplayName. The roleDefinition specified is granted to the principalId in the provider's Active Directory and the principalIdDisplayName is visible to customers."
}
},
"eligibleAuthorizations": {
"type": "array",
"metadata": {
"description": "Provide the authorizations that will have just-in-time role assignments on customer environments with support for approvals from the managing tenant"
}
}
},
"variables": {
"mspRegistrationName": "[guid(parameters('mspOfferName'))]",
"mspAssignmentName": "[guid(parameters('mspOfferName'))]"
},
"resources": [
{
"type": "Microsoft.ManagedServices/registrationDefinitions",
"apiVersion": "2020-02-01-preview",
"name": "[variables('mspRegistrationName')]",
"properties": {
"registrationDefinitionName": "[parameters('mspOfferName')]",
"description": "[parameters('mspOfferDescription')]",
"managedByTenantId": "[parameters('managedByTenantId')]",
"authorizations": "[parameters('authorizations')]",
"eligibleAuthorizations": "[parameters('eligibleAuthorizations')]"
}
},
{
"type": "Microsoft.ManagedServices/registrationAssignments",
"apiVersion": "2020-02-01-preview",
"name": "[variables('mspAssignmentName')]",
"dependsOn": [
"[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
],
"properties": {
"registrationDefinitionId": "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
}
}
],
"outputs": {
"mspOfferName": {
"type": "string",
"value": "[concat('Managed by', ' ', parameters('mspOfferName'))]"
},
"authorizations": {
"type": "array",
"value": "[parameters('authorizations')]"
},
"eligibleAuthorizations": {
"type": "array",
"value": "[parameters('eligibleAuthorizations')]"
}
}
}
Definiera berättigade auktoriseringar i parameterfilen
Den subscription-managing-tenant-approvers.parameters.json exempelmallen kan användas för att definiera auktoriseringar, inklusive berättigade auktoriseringar, när du registrerar en prenumeration.
Var och en av dina berättigade auktoriseringar måste definieras i parametern eligibleAuthorizations
. Det här exemplet innehåller en berättigad auktorisering.
Den här mallen innehåller även elementet managedbyTenantApprovers
, som lägger till en principalId
som måste godkänna alla försök att aktivera de berättigade roller som definieras i elementet eligibleAuthorizations
.
{
"$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mspOfferName": {
"value": "Relecloud Managed Services"
},
"mspOfferDescription": {
"value": "Relecloud Managed Services"
},
"managedByTenantId": {
"value": "<insert the managing tenant id>"
},
"authorizations": {
"value": [
{
"principalId": "00000000-0000-0000-0000-000000000000",
"roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
"principalIdDisplayName": "PIM group"
}
]
},
"eligibleAuthorizations":{
"value": [
{
"justInTimeAccessPolicy": {
"multiFactorAuthProvider": "Azure",
"maximumActivationDuration": "PT8H",
"managedByTenantApprovers": [
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "PIM-Approvers"
}
]
},
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Tier 2 Support",
"roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
}
]
}
}
}
Varje post i parametern eligibleAuthorizations
innehåller tre element som definierar en berättigad auktorisering: principalId
, roleDefinitionId
och justInTimeAccessPolicy
.
principalId
anger ID:t för Den Microsoft Entra-användare eller -grupp som den här kvalificerade auktoriseringen ska gälla för.
roleDefinitionId
innehåller rolldefinitions-ID:t för en inbyggd Azure-roll som användaren kan använda just-in-time. Om du inkluderar flera berättigade auktoriseringar som använder samma roleDefinitionId
måste alla ha identiska inställningar för justInTimeAccessPolicy
.
justInTimeAccessPolicy
anger tre element:
multiFactorAuthProvider
kan antingen ställas in på Azure, vilket kräver autentisering med microsoft entra multifaktorautentisering, eller till Ingen om ingen multifaktorautentisering krävs.maximumActivationDuration
anger den totala tid som användaren ska ha den kvalificerade rollen för. Det här värdet måste använda formatet ISO 8601 varaktighet. Minimivärdet är PT30M (30 minuter) och det maximala värdet är PT8H (8 timmar). För enkelhetens skull rekommenderar vi att du endast använder värden i halvtimmessteg, till exempel PT6H i 6 timmar eller PT6H30M i 6,5 timmar.managedByTenantApprovers
är valfritt. Om du inkluderar det måste det innehålla en eller flera kombinationer av ett principalId och ett principalIdDisplayName som måste godkänna aktiveringen av den berättigade rollen.
Mer information om dessa element finns i avsnittet Berättigade auktoriseringselement .
Höjningsprocess för användare
När du har registrerat en kund i Azure Lighthouse blir alla berättigade roller som du har inkluderat tillgängliga för den angivna användaren (eller för användare i vissa angivna grupper).
Varje användare kan höja sin åtkomst när som helst genom att besöka sidan Mina kunder i Azure Portal, välja en delegering och sedan välja Hantera berättigade roller. Därefter kan de följa stegen för att aktivera rollen i Microsoft Entra Privileged Identity Management.
Om godkännare har angetts har användaren inte åtkomst till rollen förrän godkännande har beviljats av en utsedd godkännare från den hanterande klientorganisationen. Alla godkännare meddelas när godkännande begärs och användaren kan inte använda den kvalificerade rollen förrän godkännande har beviljats. Godkännare meddelas också när detta sker. Mer information om godkännandeprocessen finns i Godkänna eller neka begäranden för Azure-resursroller i Privileged Identity Management.
När den berättigade rollen har aktiverats har användaren den rollen under den fullständiga varaktighet som anges i den berättigade auktoriseringen. Efter den tidsperioden kommer de inte längre att kunna använda den rollen, såvida de inte upprepar höjningsprocessen och höjer sin åtkomst igen.