Dzierżawy, użytkownicy i role w scenariuszach usługi Azure Lighthouse
Przed dołączeniem klientów usługi Azure Lighthouse ważne jest, aby zrozumieć, jak działają dzierżawy, użytkownicy i role firmy Microsoft oraz jak mogą być używane w scenariuszach usługi Azure Lighthouse.
Dzierżawa jest dedykowanym i zaufanym wystąpieniem identyfikatora Entra firmy Microsoft. Zazwyczaj każda dzierżawa reprezentuje jedną organizację. Usługa Azure Lighthouse umożliwia logiczne projekcje zasobów z jednej dzierżawy do innej dzierżawy. Dzięki temu użytkownicy w dzierżawie zarządzającej (takiej jak jedna należąca do dostawcy usług) uzyskują dostęp do delegowanych zasobów w dzierżawie klienta lub umożliwiają przedsiębiorstwom z wieloma dzierżawami scentralizowanie operacji zarządzania.
Aby można było osiągnąć tę projekcję logiczną, subskrypcja (lub co najmniej jedna grupa zasobów w ramach subskrypcji) w dzierżawie klienta musi zostać dołączona do usługi Azure Lighthouse. Ten proces dołączania można wykonać za pośrednictwem szablonów usługi Azure Resource Manager lub przez opublikowanie oferty publicznej lub prywatnej w witrynie Azure Marketplace.
W przypadku każdej metody dołączania należy zdefiniować autoryzacje. Każda autoryzacja zawiera identyfikator principalId (użytkownik, grupa lub jednostka usługi firmy Microsoft w dzierżawie zarządzającej) w połączeniu z wbudowaną rolą, która definiuje określone uprawnienia, które zostaną przyznane dla delegowanych zasobów.
Uwaga
O ile nie określono jawnie, odwołania do "użytkownika" w dokumentacji usługi Azure Lighthouse mogą dotyczyć użytkownika, grupy lub jednostki usługi firmy Microsoft w autoryzacji.
Najlepsze rozwiązania dotyczące definiowania użytkowników i ról
Podczas tworzenia autoryzacji zalecamy następujące najlepsze rozwiązania:
- W większości przypadków należy przypisać uprawnienia do grupy użytkowników lub jednostki usługi Firmy Microsoft, a nie do serii poszczególnych kont użytkowników. Dzięki temu można dodawać lub usuwać dostęp dla poszczególnych użytkowników za pomocą identyfikatora Microsoft Entra ID dzierżawy bez konieczności aktualizowania delegowania za każdym razem, gdy zmieniają się indywidualne wymagania dostępu.
- Przestrzegaj reguły najmniejszych uprawnień. Aby zmniejszyć prawdopodobieństwo niezamierzonych błędów, użytkownicy powinni mieć tylko uprawnienia wymagane do wykonania określonego zadania. Aby uzyskać więcej informacji, zobacz Zalecane rozwiązania w zakresie zabezpieczeń.
- Dołącz autoryzację z rolą Usuwania przypisania rejestracji usług zarządzanych, aby w razie potrzeby usunąć dostęp do delegowania . Jeśli ta rola nie jest przypisana, dostęp do delegowanych zasobów można usunąć tylko przez użytkownika w dzierżawie klienta.
- Upewnij się, że każdy użytkownik, który musi wyświetlić stronę Moje klienci w witrynie Azure Portal , ma rolę Czytelnik (lub inną wbudowaną rolę obejmującą dostęp czytelnika).
Ważne
Aby dodać uprawnienia dla grupy Microsoft Entra, typ grupy musi być ustawiony na Wartość Zabezpieczenia. Ta opcja jest wybierana podczas tworzenia grupy. Aby uzyskać więcej informacji, zobacz Tworzenie podstawowej grupy i dodawanie członków przy użyciu identyfikatora Entra firmy Microsoft.
Obsługa ról dla usługi Azure Lighthouse
Podczas definiowania autoryzacji każde konto użytkownika musi mieć przypisaną jedną z wbudowanych ról platformy Azure. Role niestandardowe i klasyczne role administratora subskrypcji nie są obsługiwane.
Wszystkie wbudowane role są obecnie obsługiwane w usłudze Azure Lighthouse z następującymi wyjątkami:
Rola Właściciel nie jest obsługiwana.
Rola Administrator dostępu użytkowników jest obsługiwana, ale tylko w ograniczonym celu przypisywania ról do tożsamości zarządzanej w dzierżawie klienta. Nie będą stosowane żadne inne uprawnienia, które są zwykle przyznawane przez tę rolę. Jeśli zdefiniujesz użytkownika z tą rolą, musisz również określić role, które ten użytkownik może przypisać do tożsamości zarządzanych.
Wszystkie role z uprawnieniami
DataActions
nie są obsługiwane.Role, które obejmują dowolną z następujących akcji , nie są obsługiwane:
- */pisać
- */usunąć
- Microsoft.Authorization/*
- Microsoft.Authorization/*/write
- Microsoft.Authorization/*/delete
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
- Microsoft.Authorization/roleDefinitions/write
- Microsoft.Authorization/roleDefinitions/delete
- Microsoft.Authorization/classicAdministrators/write
- Microsoft.Authorization/classicAdministrators/delete
- Microsoft.Authorization/locks/write
- Microsoft.Authorization/locks/delete
- Microsoft.Authorization/denyAssignments/write
- Microsoft.Authorization/denyAssignments/delete
Ważne
Podczas przypisywania ról należy przejrzeć akcje określone dla każdej roli. Mimo że role z uprawnieniami DataActions
nie są obsługiwane, istnieją przypadki, w których akcje uwzględnione w obsługiwanej roli mogą zezwalać na dostęp do danych. Zwykle zdarza się to, gdy dane są udostępniane za pośrednictwem kluczy dostępu, nie są dostępne za pośrednictwem tożsamości użytkownika. Na przykład rola Współautor maszyny wirtualnej zawiera Microsoft.Storage/storageAccounts/listKeys/action
akcję, która zwraca klucze dostępu do konta magazynu, których można użyć do pobrania określonych danych klienta.
W niektórych przypadkach rola, która była wcześniej obsługiwana w usłudze Azure Lighthouse, może stać się niedostępna. Jeśli na przykład DataActions
uprawnienie zostanie dodane do roli, która wcześniej nie miała tego uprawnienia, ta rola nie może być już używana podczas dołączania nowych delegowania. Użytkownicy, którym przypisano już tę rolę, będą nadal mogli pracować nad wcześniej delegowanymi zasobami, ale nie będą mogli wykonywać żadnych zadań, które korzystają z DataActions
uprawnień.
Gdy tylko do platformy Azure zostanie dodana nowa wbudowana rola, można ją przypisać podczas dołączania klienta przy użyciu szablonów usługi Azure Resource Manager. Może wystąpić opóźnienie, zanim nowo dodana rola stanie się dostępna w Centrum partnerskim podczas publikowania oferty usługi zarządzanej. Podobnie jeśli rola stanie się niedostępna, może być ona nadal widoczna w Centrum partnerskim przez pewien czas, ale nie będzie można publikować nowych ofert przy użyciu takich ról.
Przenoszenie delegowanych subskrypcji między dzierżawami firmy Microsoft Entra
Jeśli subskrypcja zostanie przeniesiona na inne konto dzierżawy firmy Microsoft Entra, zostaną zachowane zasoby definicji rejestracji i przypisania rejestracji utworzone za pośrednictwem procesu dołączania usługi Azure Lighthouse. Oznacza to, że dostęp udzielany za pośrednictwem usługi Azure Lighthouse do zarządzania dzierżawami pozostaje w mocy dla tej subskrypcji (lub dla delegowanych grup zasobów w ramach tej subskrypcji).
Jedynym wyjątkiem jest przeniesienie subskrypcji do dzierżawy firmy Microsoft Entra, do której została wcześniej delegowana. W takim przypadku zasoby delegowania dla tej dzierżawy są usuwane, a dostęp udzielony za pośrednictwem usługi Azure Lighthouse nie ma już zastosowania, ponieważ subskrypcja należy teraz bezpośrednio do tej dzierżawy (zamiast delegowania do niej za pośrednictwem usługi Azure Lighthouse). Jeśli jednak ta subskrypcja została również delegowana do innych dzierżaw zarządzających, te inne dzierżawy zarządzające zachowają ten sam dostęp do subskrypcji.
Następne kroki
- Dowiedz się więcej o zalecanych rozwiązaniach w zakresie zabezpieczeń dla usługi Azure Lighthouse.
- Dołącz klientów do usługi Azure Lighthouse przy użyciu szablonów usługi Azure Resource Manager lub publikowania oferty usług prywatnych lub publicznych usług zarządzanych w witrynie Azure Marketplace.