你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

启用 Azure Arc 的服务器的身份验证和访问管理

你的组织需要设计正确的访问控制，以使用本地和基于云的标识管理系统保护混合环境。

这些标识管理系统发挥了重要作用。 它们有助于设计和实施可靠的访问管理控制，以保护支持 Azure Arc 的服务器基础结构。

托管的标识

创建时，Microsoft Entra ID 系统分配的标识只能用于更新已启用 Azure Arc 的服务器的状态（例如“上次看到”检测信号）。 通过授予此标识对 Azure 资源的访问权限，可以在服务器上启用应用程序来访问 Azure 资源（例如，从密钥库请求机密）。 你应该：

• 考虑服务器应用程序存在哪些合法用例来获取访问令牌和访问 Azure 资源，同时还要规划对这些资源的访问控制。
• 控制已启用 Azure Arc 的服务器（Windows 上的本地管理员或混合代理扩展应用程序组的成员和 Linux 上的 himds 组的成员）上的特权用户角色，以避免系统托管标识被滥用，从而获得对 Azure 资源的未经授权的访问。
• 使用 Azure RBAC 控制和管理已启用 Azure Arc 的服务器托管标识的权限，并对这些标识执行定期访问审查。

基于角色的访问控制 (RBAC)

遵循最低特权原则，使用“参与者”或“所有者”或“Azure 连接计算机资源管理员istrator”等角色分配的用户、组或应用程序能够执行部署扩展、有效地委派已启用 Azure Arc 的服务器上的根或管理员访问权限等操作。 应慎用这些角色，以限制可能的“冲击范围”或最终被自定义角色取代。

若要限制用户的特权并仅允许他们将服务器载入 Azure，可以分配“Azure Connected Machine 加入”角色。 此角色只能用于加入服务器，不能重新载入或删除服务器资源。 请务必查看已启用 Azure Arc 的服务器安全概述，了解有关访问控制的更多信息。

另请考虑可能发送到 Azure Monitor Log Analytics 工作区的敏感数据，应将相同的 RBAC 原则应用于数据本身。 对已启用 Azure Arc 的服务器进行读取访问可以提供对 Log Analytics 代理收集的日志数据的访问权限，这些数据存储在关联的 Log Analytics 工作区中。 在设计 Azure Monitor 日志部署文档中查看如何实现精细的 Log Analytics 工作区访问。

体系结构

下图显示了一个参考体系结构，该体系结构演示了启用了 Azure Arc 的服务器的角色、权限和操作流：

设计注意事项

• 确定组织中的哪些人应有权访问载入服务器，以在服务器和 Azure 中设置所需的权限。
• 决定谁应该管理启用了 Azure Arc 的服务器。 然后，决定谁可以查看 Azure 服务和其他云环境中的数据。
• 确定需要多少 Arc 载入服务主体。 其中多个标识可用于载入企业中基于运营责任和所有权的不同业务功能或单位拥有的服务器。
• 查看 Azure 登陆区域企业级的标识和访问管理设计区域。 查看该区域以评估启用了 Azure Arc 的服务器对你的整体标识问模型的影响。

设计建议

• 服务器载入和管理
  • 使用安全组将本地管理员权限分配给服务器上已识别的用户或服务帐户，以大规模载入到 Azure Arc。
  • 使用 Microsoft Entra 服务主体 将服务器加入 Azure Arc。请考虑在分散式操作模型中使用多个 Microsoft Entra 服务主体，其中服务器由不同的 IT 团队管理。
  • 使用生存期较短的 Microsoft Entra 服务主体 客户端机密。
  • 在资源组级别分配 Azure Connected Machine 载入角色。
  • 使用 Microsoft Entra 安全组并授予混合服务器资源管理员istrator 角色。 将角色授予将在 Azure 中管理启用 Azure Arc 的服务器资源的团队和个人。
• Microsoft Entra ID 保护的资源访问
  • 对在本地服务器（和其他云环境）上运行的应用程序使用 托管标识 提供对受 Microsoft Entra ID 保护的云资源的访问权限。
  • 限制对托管标识的访问，以 允许使用 Microsoft Entra 应用程序权限授权的应用程序 。
  • 使用 Windows 上的 Hybrid agent extension applications 本地安全组或 Linux 上的 himds 组授予用户访问权限，以从启用了 Azure Arc 的服务器请求 Azure 资源访问令牌。

后续步骤

有关混合云采用旅程的更多指导，请参阅以下资源：

• 查看 Azure Arc 跳转启动 方案。
• 查看已启用 Azure Arc 的服务器的先决条件。
• 规划 Azure Arc 启用服务器的大规模部署。
• 通过 Azure Arc 学习路径了解有关 Azure Arc 的详细信息。