Sdílet prostřednictvím


Tenanti, uživatelé a role ve scénářích Azure Lighthouse

Před onboardingem zákazníků pro Azure Lighthouse je důležité pochopit, jak fungují tenanti, uživatelé a role Microsoftu Entra a jak je můžete používat ve scénářích Azure Lighthouse.

Tenant je vyhrazená a důvěryhodná instance ID Microsoft Entra. Každý tenant obvykle představuje jednu organizaci. Azure Lighthouse umožňuje logickou projekci prostředků z jednoho tenanta do jiného tenanta. To umožňuje uživatelům ve správě tenanta (například jednoho patřícího poskytovateli služeb) přistupovat k delegovaným prostředkům v tenantovi zákazníka nebo umožňuje podnikům s více tenanty centralizovat operace správy.

Aby bylo možné tuto logickou projekci dosáhnout, musí být předplatné (nebo jedna nebo více skupin prostředků v rámci předplatného) v tenantovi zákazníka nasazené do služby Azure Lighthouse. Tento proces onboardingu je možné provést buď prostřednictvím šablon Azure Resource Manageru, nebo publikováním veřejné nebo privátní nabídky na Azure Marketplace.

U obou metod onboardingu budete muset definovat autorizace. Každá autorizace zahrnuje principalId (uživatele Microsoft Entra, skupinu nebo instanční objekt v tenantovi pro správu) v kombinaci s předdefinovanou rolí, která definují konkrétní oprávnění, která budou udělena pro delegované prostředky.

Poznámka:

Pokud není výslovně uvedeno, můžou odkazy na uživatele v dokumentaci ke službě Azure Lighthouse platit pro uživatele, skupinu nebo instanční objekt Microsoftu v autorizaci.

Osvědčené postupy pro definování uživatelů a rolí

Při vytváření autorizací doporučujeme následující osvědčené postupy:

  • Ve většině případů budete chtít přiřadit oprávnění skupině uživatelů nebo instančnímu objektu Microsoft Entra, nikoli k řadě jednotlivých uživatelských účtů. Díky tomu můžete přidávat nebo odebírat přístup pro jednotlivé uživatele prostřednictvím ID Microsoft Entra vašeho tenanta, aniž byste museli delegování aktualizovat pokaždé, když se změní požadavky na individuální přístup.
  • Dodržujte princip nejnižší úrovně oprávnění. Aby se snížila pravděpodobnost neúmyslných chyb, uživatelé by měli mít pouze oprávnění potřebná k provedení konkrétní úlohy. Další informace najdete v tématu Doporučené postupy zabezpečení.
  • Zahrňte autorizaci s rolí Odstranit přiřazení registrace spravovaných služeb, abyste mohli v případě potřeby odebrat přístup k delegování . Pokud tato role není přiřazená, může přístup k delegovaným prostředkům odebrat jenom uživatel v tenantovi zákazníka.
  • Ujistěte se, že každý uživatel, který potřebuje zobrazit stránku Moji zákazníci na webu Azure Portal , má roli Čtenář (nebo jinou integrovanou roli, která zahrnuje přístup čtenáře).

Důležité

Chcete-li přidat oprávnění pro skupinu Microsoft Entra, musí být typ skupiny nastaven na zabezpečení. Tato možnost je vybrána při vytvoření skupiny. Další informace naleznete v tématu Vytvoření základní skupiny a přidání členů pomocí Microsoft Entra ID.

Podpora rolí pro Azure Lighthouse

Při definování autorizace musí být každému uživatelskému účtu přiřazena jedna z předdefinovaných rolí Azure. Vlastní role a klasické role správce předplatného se nepodporují.

Azure Lighthouse v současné době podporuje všechny předdefinované role s následujícími výjimkami:

  • Role Vlastník není podporovaná.

  • Role Správce uživatelských přístupů je podporovaná, ale pouze pro omezený účel přiřazování rolí spravované identitě v tenantovi zákazníka. Nebudou platit žádná další oprávnění, která tato role obvykle uděluje. Pokud definujete uživatele s touto rolí, musíte také určit role, které může tento uživatel přiřadit ke spravovaným identitám.

  • Všechny role s oprávněním DataActions se nepodporují.

  • Role, které zahrnují některou z následujících akcí , se nepodporují:

    • */psát
    • */vymazat
    • Microsoft.Authorization/*
    • Microsoft.Authorization/*/write
    • Microsoft.Authorization/*/delete
    • Microsoft.Authorization/roleAssignments/write
    • Microsoft.Authorization/roleAssignments/delete
    • Microsoft.Authorization/roleDefinitions/write
    • Microsoft.Authorization/roleDefinitions/delete
    • Microsoft.Authorization/classicAdministrators/write
    • Microsoft.Authorization/classicAdministrators/delete
    • Microsoft.Authorization/locks/write
    • Microsoft.Authorization/locks/delete
    • Microsoft.Authorization/denyAssignments/write
    • Microsoft.Authorization/denyAssignments/delete

Důležité

Při přiřazování rolí nezapomeňte zkontrolovat akce zadané pro každou roli. I když role s oprávněním DataActions nejsou podporované, existují případy, kdy akce zahrnuté v podporované roli můžou povolit přístup k datům. K tomu obvykle dochází v případě, že se data zveřejňují prostřednictvím přístupových klíčů, a ne prostřednictvím identity uživatele. Role Přispěvatel virtuálních počítačů například zahrnuje Microsoft.Storage/storageAccounts/listKeys/action akci, která vrací přístupové klíče účtu úložiště, které se dají použít k načtení určitých zákaznických dat.

V některých případech může být role, kterou služba Azure Lighthouse dříve podporovala, nedostupná. Pokud DataActions je například oprávnění přidáno do role, která dříve toto oprávnění neměla, tato role se už nedá použít při připojování nových delegování. Uživatelé, kteří už tuto roli přiřadili, budou moct dál pracovat na dříve delegovaných prostředcích, ale nebudou moct provádět žádné úkoly, které oprávnění používají DataActions .

Jakmile se do Azure přidá nová použitelná předdefinovaná role, můžete ji přiřadit při připojování zákazníka pomocí šablon Azure Resource Manageru. Před zpřístupněním nově přidané role v Partnerském centru při publikování nabídky spravovaných služeb může dojít ke zpoždění. Podobně platí, že pokud se role stane nedostupnou, můžete ji ještě nějakou dobu zobrazit v Partnerském centru, ale nebudete moct publikovat nové nabídky s využitím těchto rolí.

Převod delegovaných předplatných mezi tenanty Microsoft Entra

Pokud se předplatné převede na jiný účet tenanta Microsoft Entra, zachovají se prostředky definice registrace a přiřazení registrace vytvořené prostřednictvím procesu onboardingu služby Azure Lighthouse. To znamená, že přístup udělený prostřednictvím Služby Azure Lighthouse pro správu tenantů zůstává pro toto předplatné (nebo pro delegovaná skupiny prostředků v rámci tohoto předplatného).

Jedinou výjimkou je, že se předplatné přenese do tenanta Microsoft Entra, do kterého bylo dříve delegováno. V tomto případě se prostředky delegování pro tohoto tenanta odeberou a přístup udělený prostřednictvím služby Azure Lighthouse už neplatí, protože předplatné teď patří přímo k tomuto tenantovi (nikoli k němu delegováno prostřednictvím Azure Lighthouse). Pokud se ale toto předplatné delegovalo také na jiné spravované tenanty, tyto ostatní spravované tenanty si zachovají stejný přístup k předplatnému.

Další kroky