Klientorganisationer, användare och roller i Azure Lighthouse-scenarier

Innan du registrerar kunder för Azure Lighthouse är det viktigt att förstå hur Microsoft Entra-klienter, användare och roller fungerar och hur de kan användas i Azure Lighthouse-scenarier.

En klientorganisation är en dedikerad och betrodd instans av Microsoft Entra-ID. Vanligtvis representerar varje klientorganisation en enskild organisation. Azure Lighthouse möjliggör logisk projektion av resurser från en klientorganisation till en annan klientorganisation. På så sätt kan användare i den hanterande klientorganisationen (till exempel en som tillhör en tjänstleverantör) komma åt delegerade resurser i en kunds klientorganisation, eller låta företag med flera klienter centralisera sina hanteringsåtgärder.

För att uppnå den här logiska projektionen måste en prenumeration (eller en eller flera resursgrupper i en prenumeration) i kundklientorganisationen registreras i Azure Lighthouse. Den här registreringsprocessen kan göras antingen via Azure Resource Manager-mallar eller genom att publicera ett offentligt eller privat erbjudande till Azure Marketplace.

Med någon av registreringsmetoderna måste du definiera auktoriseringar. Varje auktorisering innehåller ett principalId (en Microsoft Entra-användare, grupp eller tjänstens huvudnamn i den hanterande klientorganisationen) kombinerat med en inbyggd roll som definierar de specifika behörigheter som ska beviljas för de delegerade resurserna.

Kommentar

Om inte uttryckligen anges kan referenser till en "användare" i Azure Lighthouse-dokumentationen gälla för en Microsoft Entra-användare, grupp eller tjänstens huvudnamn i en auktorisering.

Metodtips för att definiera användare och roller

När du skapar dina auktoriseringar rekommenderar vi följande metodtips:

• I de flesta fall vill du tilldela behörigheter till en Microsoft Entra-användargrupp eller tjänstens huvudnamn, i stället för till en serie enskilda användarkonton. På så sätt kan du lägga till eller ta bort åtkomst för enskilda användare via klientorganisationens Microsoft Entra-ID, utan att behöva uppdatera delegeringen varje gång dina individuella åtkomstkrav ändras.
• Följ principen om lägsta behörighet. För att minska risken för oavsiktliga fel bör användarna bara ha de behörigheter som krävs för att utföra sitt specifika jobb. Mer information finns i Rekommenderade säkerhetsrutiner.
• Inkludera en auktorisering med rollen för borttagning av tilldelning av hanterad tjänstregistrering så att du kan ta bort åtkomsten till delegeringen om det behövs. Om den här rollen inte har tilldelats kan åtkomst till delegerade resurser endast tas bort av en användare i kundens klientorganisation.
• Se till att alla användare som behöver visa sidan Mina kunder i Azure Portal har rollen Läsare (eller en annan inbyggd roll som innehåller åtkomst till läsare).

Viktigt!

För att kunna lägga till behörigheter för en Microsoft Entra-grupp måste grupptypen anges till Säkerhet. Det här alternativet väljs när gruppen skapas. Mer information finns i Skapa en grundläggande grupp och lägga till medlemmar med hjälp av Microsoft Entra-ID.

Rollstöd för Azure Lighthouse

När du definierar en auktorisering måste varje användarkonto tilldelas en av de inbyggda Azure-rollerna. Anpassade roller och klassiska administratörsroller för prenumerationer stöds inte.

Alla inbyggda roller stöds för närvarande med Azure Lighthouse, med följande undantag:

• Ägarrollen stöds inte.

• Rollen Administratör för användaråtkomst stöds, men endast i det begränsade syftet att tilldela roller till en hanterad identitet i kundklientorganisationen. Inga andra behörigheter som normalt beviljas av den här rollen gäller. Om du definierar en användare med den här rollen måste du också ange de roller som den här användaren kan tilldela till hanterade identiteter.

• Roller med DataActions behörighet stöds inte.

• Roller som innehåller någon av följande åtgärder stöds inte:

  • */skriva
  • */ta bort
  • Microsoft.Authorization/*
  • Microsoft.Authorization/*/write
  • Microsoft.Authorization/*/delete
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete
  • Microsoft.Authorization/roleDefinitions/write
  • Microsoft.Authorization/roleDefinitions/delete
  • Microsoft.Authorization/classicAdministrators/write
  • Microsoft.Authorization/classicAdministrators/delete
  • Microsoft.Authorization/locks/write
  • Microsoft.Authorization/locks/delete
  • Microsoft.Authorization/denyAssignments/write
  • Microsoft.Authorization/denyAssignments/delete

Viktigt!

När du tilldelar roller bör du granska de åtgärder som har angetts för varje roll. Även om roller med DataActions behörighet inte stöds finns det fall där åtgärder som ingår i en roll som stöds kan tillåta åtkomst till data. Detta inträffar vanligtvis när data exponeras via åtkomstnycklar, inte nås via användarens identitet. Rollen Virtuell datordeltagare innehåller Microsoft.Storage/storageAccounts/listKeys/action till exempel åtgärden som returnerar åtkomstnycklar för lagringskonto som kan användas för att hämta vissa kunddata.

I vissa fall kan en roll som tidigare stöds med Azure Lighthouse bli otillgänglig. Om behörigheten till exempel läggs till i en roll som tidigare inte hade den behörigheten DataActions kan den rollen inte längre användas när nya delegeringar registreras. Användare som redan har tilldelats rollen kommer fortfarande att kunna arbeta med tidigare delegerade resurser, men de kommer inte att kunna utföra några uppgifter som använder behörigheten DataActions .

Så snart en ny tillämplig inbyggd roll läggs till i Azure kan den tilldelas när du registrerar en kund med hjälp av Azure Resource Manager-mallar. Det kan uppstå en fördröjning innan den nyligen tillagda rollen blir tillgänglig i Partnercenter när du publicerar ett erbjudande om hanterad tjänst. Om en roll blir otillgänglig kanske du fortfarande ser den i Partnercenter ett tag, men du kommer inte att kunna publicera nya erbjudanden med hjälp av sådana roller.

Överföra delegerade prenumerationer mellan Microsoft Entra-klienter

Om en prenumeration överförs till ett annat Microsoft Entra-klientkonto bevaras de registreringsdefinitions- och registreringstilldelningsresurser som skapats via Azure Lighthouse-registreringsprocessen . Det innebär att åtkomst som beviljas via Azure Lighthouse för hantering av klientorganisationer fortfarande gäller för den prenumerationen (eller för delegerade resursgrupper i den prenumerationen).

Det enda undantaget är om prenumerationen överförs till en Microsoft Entra-klientorganisation som den tidigare hade delegerats till. I det här fallet tas delegeringsresurserna för klientorganisationen bort och åtkomsten som beviljas via Azure Lighthouse gäller inte längre, eftersom prenumerationen nu tillhör den klientorganisationen direkt (i stället för att delegeras till den via Azure Lighthouse). Men om den prenumerationen också delegerades till andra hanteringsklienter behåller de andra hanteringsklienterna samma åtkomst till prenumerationen.

Nästa steg

• Lär dig mer om rekommenderade säkerhetsmetoder för Azure Lighthouse.
• Registrera dina kunder i Azure Lighthouse, antingen med hjälp av Azure Resource Manager-mallar eller genom att publicera ett erbjudande om privata eller offentliga hanterade tjänster på Azure Marketplace.