Uygun yetkilendirmeler oluşturma
Azure Lighthouse'a müşteri eklerken, yönetici kiracınızdaki kullanıcılara belirtilen Azure yerleşik rollerini vermek için yetkilendirmeler oluşturursunuz. Ayrıca, yönettiğiniz kiracıdaki kullanıcıların rollerini geçici olarak yükseltmesine izin vermek için Microsoft Entra Privileged Identity Management'ı (PIM) kullanan uygun yetkilendirmeler oluşturabilirsiniz. Bu, kullanıcıların yalnızca belirli bir süre boyunca bu izinlere sahip olması için tam zamanında ek izinler vermenizi sağlar.
Uygun yetkilendirmeler oluşturmak, kullanıcıların ayrıcalıklı rollere kalıcı atama sayısını en aza indirmenize olanak sağlayarak kiracınızdaki kullanıcıların ayrıcalıklı erişimiyle ilgili güvenlik risklerini azaltmanıza yardımcı olur.
Bu konuda, uygun yetkilendirmelerin nasıl çalıştığı ve Azure Lighthouse'a müşteri eklerken bunların nasıl oluşturulacağı açıklanmaktadır.
Lisans gereksinimleri
Uygun yetkilendirmeler oluşturmak için Enterprise Mobility + Security E5 (EMS E5) veya Microsoft Entra ID P2 lisansı gerekir.
EMS E5 veya Microsoft Entra Id P2 lisansı, müşteri kiracısı tarafından değil, yönetici kiracı tarafından tutulmalıdır.
Uygun bir rolle ilişkili ek maliyetler yalnızca kullanıcının bu role erişimini yükselttiği süre boyunca geçerli olur.
Kullanıcıların lisansları hakkında bilgi için bkz. Microsoft Entra Kimlik Yönetimi lisanslama temelleri.
Uygun yetkilendirmeler nasıl çalışır?
Uygun yetkilendirme, kullanıcının ayrıcalıklı görevleri gerçekleştirmesi gerektiğinde rolü etkinleştirmesini gerektiren bir rol atamasını tanımlar. Uygun rolü etkinleştirdiklerinde, bu rol tarafından belirtilen süre boyunca tam erişim verilir.
Müşteri kiracısı kullanıcıları, ekleme işleminden önce uygun yetkilendirmelerdekiler de dahil olmak üzere tüm rol atamalarını gözden geçirebilir.
Bir kullanıcı uygun bir rolü başarıyla etkinleştirdikten sonra, bu kapsam için kalıcı rol atamalarına ek olarak önceden yapılandırılmış bir süre için temsilci kapsamında bu yükseltilmiş role sahip olur.
Yönetici kiracıdaki Yönetici istrator'lar, yönetim kiracısında denetim günlüğünü görüntüleyerek tüm Privileged Identity Management etkinliklerini gözden geçirebilir. Müşteriler bu eylemleri temsilci aboneliğinin Azure etkinlik günlüğünde görüntüleyebilir.
Uygun yetkilendirme öğeleri
Azure Resource Manager şablonlarıyla müşterileri eklerken veya yönetilen hizmetler teklifini Azure Market yayımlayarak uygun bir yetkilendirme oluşturabilirsiniz. Her uygun yetkilendirme üç öğe içermelidir: kullanıcı, rol ve erişim ilkesi.
User
Her uygun yetkilendirme için, tek bir kullanıcı veya yönetici kiracıdaki bir Microsoft Entra grubu için Sorumlu Kimliği sağlarsınız. Sorumlu Kimliği ile birlikte, her yetkilendirme için seçtiğiniz bir görünen ad sağlamanız gerekir.
Uygun yetkilendirmede bir grup sağlanırsa, bu grubun herhangi bir üyesi erişim ilkesine göre kendi bireysel erişimini bu role yükseltebilecektir.
Şu anda bir hizmet sorumlusu hesabının erişimini yükseltmesi ve uygun bir rol kullanması için uygun yetkilendirmeleri hizmet sorumlularıyla kullanamazsınız. Kullanıcı Erişimi Yönetici istrator'ın yönetilen kimliklere atayabileceği uygun yetkilendirmeleri delegatedRoleDefinitionIdsde kullanamazsınız.
Dekont
Her uygun yetkilendirme için, okuyucu gibi farklı bir role (veya Okuyucu erişimi içeren başka bir Azure yerleşik rolüne) sahip aynı Sorumlu Kimliği için kalıcı (etkin) bir yetkilendirme de oluşturduğunuzdan emin olun. Okuyucu erişimine kalıcı yetkilendirme eklemezseniz, kullanıcı Azure portalında rolünü yükseltemez.
Role
Her uygun yetkilendirmenin, kullanıcının tam zamanında kullanmaya uygun olacağı bir Azure yerleşik rolü içermesi gerekir.
Rol, Kullanıcı Erişimi Yönetici istrator dışında Azure temsilcili kaynak yönetimi için desteklenen herhangi bir Azure yerleşik rolü olabilir.
Önemli
Aynı rolü kullanan birden çok uygun yetkilendirme eklerseniz, uygun yetkilendirmelerin her birinin aynı erişim ilkesi ayarlarına sahip olması gerekir.
Erişim ilkesi
Erişim ilkesi çok faktörlü kimlik doğrulama gereksinimlerini, kullanıcının rol süresi dolmadan önce etkinleştirileceği süreyi ve onaylayanların gerekli olup olmadığını tanımlar.
Çok faktörlü kimlik doğrulaması
Uygun bir rolün etkinleştirilmesi için Microsoft Entra çok faktörlü kimlik doğrulamasını gerektirip gerektirmeyeceğini belirtin.
Maksimum süre
Kullanıcının uygun role sahip olacağı toplam süreyi tanımlayın. En düşük değer 30 dakika, maksimum değer ise 8 saattir.
Onaylayanlar
Onaylayanlar öğesi isteğe bağlıdır. Eklerseniz, yönetici kiracıda uygun rolü etkinleştirmek için bir kullanıcıdan gelen istekleri onaylayacak veya reddedebilecek en fazla 10 kullanıcı veya kullanıcı grubu belirtebilirsiniz.
Bir hizmet sorumlusu hesabını onaylayan olarak kullanamazsınız. Ayrıca, onaylayanlar kendi erişimlerini onaylayamaz; uygun yetkilendirmeye kullanıcı olarak bir onaylayan da dahil edilirse, rolünü yükseltmesi için farklı bir onaylayanın erişim vermesi gerekir.
Onaylayan eklemezseniz, kullanıcı istediği zaman uygun rolü etkinleştirebilir.
Yönetilen Hizmetler tekliflerini kullanarak uygun yetkilendirmeler oluşturma
Müşterinizi Azure Lighthouse'a eklemek için Yönetilen Hizmetler tekliflerini Azure Market yayımlayabilirsiniz. İş Ortağı Merkezi'nde tekliflerinizi oluştururken, artık her Yetkilendirme için Erişim türünün Etkin mi yoksa Uygun mu olacağını belirtebilirsiniz.
Uygun'u seçtiğinizde, yetkilendirmenizdeki kullanıcı, yapılandırdığınız erişim ilkesine göre rolü etkinleştirebilir. En fazla 30 dakika ile 8 saat arasında bir süre ayarlamanız ve çok faktörlü kimlik doğrulaması gerekip gerekmeyeceğini belirtmeniz gerekir. Ayrıca, bunları kullanmayı seçerseniz, her biri için bir görünen ad ve bir asıl kimlik sağlayarak en fazla 10 onaylayan ekleyebilirsiniz.
İş Ortağı Merkezi'nde uygun yetkilendirmelerinizi yapılandırırken Uygun yetkilendirme öğeleri bölümündeki ayrıntıları gözden geçirmeyi unutmayın.
Azure Resource Manager şablonlarını kullanarak uygun yetkilendirmeler oluşturma
Müşterinizi Azure Lighthouse'a eklemek için, değiştirdiğiniz ilgili parametre dosyasıyla birlikte bir Azure Resource Manager şablonu kullanırsınız. Seçtiğiniz şablon, aboneliğin tamamını mı, kaynak grubunu mu yoksa abonelik içinde birden çok kaynak grubunu mu eklediğinize bağlıdır.
Müşteri eklerken uygun yetkilendirmeleri eklemek için örnek depomuzun delegated-resource-management-eligible-authorizations bölümündeki şablonlardan birini kullanın. Senaryonuz için en uygun olanı kullanabilmeniz için onaylayanlar dahil ve içermeyen şablonlar sağlıyoruz.
| Bunu eklemek için (uygun yetkilendirmelerle) | Bu Azure Resource Manager şablonunu kullan | Ve bu parametre dosyasını değiştirin |
|---|---|---|
| Abonelik | subscription.json | subscription.parameters.json |
| Abonelik (onaylayanlarla) | subscription-managing-tenant-approvers.json | subscription-managing-tenant-approvers.parameters.json |
| Kaynak grubu | rg.json | rg.parameters.json |
| Kaynak grubu (onaylayanlarla) | rg-managing-tenant-approvers.json | rg-managing-tenant-approvers.parameters.json |
| Bir abonelikte birden fazla kaynak grubu | multiple-rg.json | multiple-rg.parameters.json |
| Abonelik içinde birden çok kaynak grubu (onaylayanlarla) | multiple-rg-managing-tenant-approvers.json | multiple-rg-managing-tenant-approvers.parameters.json |
Uygun yetkilendirmelere (onaylayanlar dahil) sahip bir aboneliği eklemek için kullanılabilen subscription-managing-tenant-approvers.json şablonu aşağıda gösterilmiştir.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/subscriptionDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mspOfferName": {
"type": "string",
"metadata": {
"description": "Specify a unique name for your offer"
}
},
"mspOfferDescription": {
"type": "string",
"metadata": {
"description": "Name of the Managed Service Provider offering"
}
},
"managedByTenantId": {
"type": "string",
"metadata": {
"description": "Specify the tenant id of the Managed Service Provider"
}
},
"authorizations": {
"type": "array",
"metadata": {
"description": "Specify an array of objects, containing tuples of Azure Active Directory principalId, a Azure roleDefinitionId, and an optional principalIdDisplayName. The roleDefinition specified is granted to the principalId in the provider's Active Directory and the principalIdDisplayName is visible to customers."
}
},
"eligibleAuthorizations": {
"type": "array",
"metadata": {
"description": "Provide the authorizations that will have just-in-time role assignments on customer environments with support for approvals from the managing tenant"
}
}
},
"variables": {
"mspRegistrationName": "[guid(parameters('mspOfferName'))]",
"mspAssignmentName": "[guid(parameters('mspOfferName'))]"
},
"resources": [
{
"type": "Microsoft.ManagedServices/registrationDefinitions",
"apiVersion": "2020-02-01-preview",
"name": "[variables('mspRegistrationName')]",
"properties": {
"registrationDefinitionName": "[parameters('mspOfferName')]",
"description": "[parameters('mspOfferDescription')]",
"managedByTenantId": "[parameters('managedByTenantId')]",
"authorizations": "[parameters('authorizations')]",
"eligibleAuthorizations": "[parameters('eligibleAuthorizations')]"
}
},
{
"type": "Microsoft.ManagedServices/registrationAssignments",
"apiVersion": "2020-02-01-preview",
"name": "[variables('mspAssignmentName')]",
"dependsOn": [
"[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
],
"properties": {
"registrationDefinitionId": "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
}
}
],
"outputs": {
"mspOfferName": {
"type": "string",
"value": "[concat('Managed by', ' ', parameters('mspOfferName'))]"
},
"authorizations": {
"type": "array",
"value": "[parameters('authorizations')]"
},
"eligibleAuthorizations": {
"type": "array",
"value": "[parameters('eligibleAuthorizations')]"
}
}
}
Parametreler dosyanızda uygun yetkilendirmeleri tanımlama
Uygun yetkilendirmelerinizin her biri parametresinde eligibleAuthorizations tanımlanmalıdır. Bu örnek, uygun bir yetkilendirme içerir.
Bu şablon, öğesinde managedbyTenantApprovers tanımlanan eligibleAuthorizations uygun rolleri etkinleştirmeye yönelik tüm girişimleri onaylaması gereken bir principalId kişi ekleyen öğesini de içerir.
{
"$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mspOfferName": {
"value": "Relecloud Managed Services"
},
"mspOfferDescription": {
"value": "Relecloud Managed Services"
},
"managedByTenantId": {
"value": "<insert the managing tenant id>"
},
"authorizations": {
"value": [
{
"principalId": "00000000-0000-0000-0000-000000000000",
"roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
"principalIdDisplayName": "PIM group"
}
]
},
"eligibleAuthorizations":{
"value": [
{
"justInTimeAccessPolicy": {
"multiFactorAuthProvider": "Azure",
"maximumActivationDuration": "PT8H",
"managedByTenantApprovers": [
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "PIM-Approvers"
}
]
},
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Tier 2 Support",
"roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
}
]
}
}
}
parametresindeki eligibleAuthorizations her girdi, uygun yetkilendirmeyi tanımlayan üç öğe içerir: principalId, roleDefinitionIdve justInTimeAccessPolicy.
principalId , bu uygun yetkilendirmenin uygulanacağı Microsoft Entra kullanıcısının veya grubunun kimliğini belirtir.
roleDefinitionId, kullanıcının tam zamanında kullanmaya uygun olacağı azure yerleşik rolünün rol tanımı kimliğini içerir. Aynı roleDefinitionIdkullanan birden çok uygun yetkilendirme eklerseniz, bunların tümü için justInTimeAccessPolicyaynı ayarlara sahip olmalıdır.
justInTimeAccessPolicy üç öğe belirtir:
multiFactorAuthProviderMicrosoft Entra çok faktörlü kimlik doğrulaması kullanılarak kimlik doğrulaması gerektiren Azure olarak veya çok faktörlü kimlik doğrulaması gerekmeyecekse Hiçbiri olarak ayarlanabilir.maximumActivationDurationkullanıcının uygun role sahip olacağı toplam süreyi ayarlar. Bu değer ISO 8601 süre biçimini kullanmalıdır. En düşük değer PT30M (30 dakika) ve maksimum değer PT8H 'dir (8 saat). Kolaylık olması için, 6 saat pt6h veya 6,5 saat için PT6H30M gibi değerleri yalnızca yarım saatlik artışlarla kullanmanızı öneririz.managedByTenantApproversisteğe bağlıdır. Eklerseniz, uygun rolün herhangi bir etkinleştirmesini onaylaması gereken bir principalId ve principalIdDisplayName birleşimi içermelidir.
Bu öğeler hakkında daha fazla bilgi için Uygun yetkilendirme öğeleri bölümüne bakın.
Kullanıcılar için yükseltme işlemi
Azure Lighthouse'a bir müşteri ekledikten sonra, eklediğiniz uygun roller belirtilen kullanıcı (veya belirtilen gruplardaki kullanıcılar) tarafından kullanılabilir.
Her kullanıcı, Azure portalında Müşterilerim sayfasını ziyaret edip bir temsilci seçip uygun rolleri yönet'i seçerek istediği zaman erişimini yükseltebilir. Bundan sonra, Microsoft Entra Privileged Identity Management'ta rolü etkinleştirmek için adımları izleyebilirler.
Onaylayanlar belirtildiyse, yönetici kiracıdan atanan bir onaylayan tarafından onay verilene kadar kullanıcı role erişemez. Onay istendiğinde tüm onaylayanlara bildirim gönderilir ve onay verilene kadar kullanıcı uygun rolü kullanamaz. Bu durumda onaylayanlara da bildirim gönderilir. Onay işlemi hakkında daha fazla bilgi için bkz . Privileged Identity Management'ta Azure kaynak rolleri için istekleri onaylama veya reddetme.
Uygun rol etkinleştirildikten sonra, kullanıcı uygun yetkilendirmede belirtilen tam süre boyunca bu role sahip olur. Bu süre sonunda, yükseltme işlemini tekrarlamadıkları ve erişimlerini yeniden yükseltmedikleri sürece bu rolü kullanamazlar.
Sonraki adımlar
- ARM şablonlarını kullanarak müşterileri Azure Lighthouse'a eklemeyi öğrenin.
- Yönetilen Hizmetler tekliflerini kullanarak müşterileri eklemeyi öğrenin.
- Microsoft Entra Privileged Identity Management hakkında daha fazla bilgi edinin.
- Azure Lighthouse'da kiracılar, kullanıcılar ve roller hakkında daha fazla bilgi edinin.