Azure Lighthouse 案例中的租用戶、使用者和角色 (機器翻譯)
讓客戶上線使用 Azure Lighthouse 之前,請務必了解 Microsoft Entra 租用戶、使用者和角色的運作方式,以及如何在 Azure Lighthouse 案例中使用。
租用戶是專用且受信任的 Microsoft Entra ID 執行個體。 每個租用戶通常都代表一個組織。 Azure Lighthouse 可讓使用者以邏輯方式將資源從某個租用戶投影至另一個租用戶。 如此可讓管理租用戶中的使用者 (例如,屬於服務提供者的使用者) 存取客戶租用戶中的委派資源,或讓具有多個租用戶的企業集中管理營運。
為了完成這個邏輯投影,客戶租用戶中的訂用帳戶 (或訂用帳戶內的一或多個資源群組) 必須上線至 Azure Lighthouse。 此上線程序可以透過 Azure Resource Manager 範本,或藉由將公用或私用供應項目發佈至 Azure Marketplace 來完成。
若要使用任一上線方法,您必須定義授權。 每個授權都包含與內建角色結合的 principalId (管理租用戶中的 Microsoft Entra 使用者、群組或服務主體)。該角色會定義將授與委派資源的特定權限。
注意
除非明確指定,否則 Azure Lighthouse 文件中參照的「使用者」可以適用於授權中的 Microsoft Entra 使用者、群組或服務主體。
定義使用者和角色的最佳做法
建立授權時,建議您遵循下列最佳做法:
- 在多數情況下,建議您指派權限給 Microsoft Entra 使用者群組或服務主體,而不是指派給一系列個別使用者帳戶。 這麼做可讓您透過租用戶的 Microsoft Entra ID 新增或移除個別使用者的存取權,而不需要在每次個別存取需求變更時 更新委派。
- 遵循最低權限原則。 若要減少意外錯誤的機會,使用者應該只擁有執行其特定工作所需的權限。 如需詳細資訊,請參閱建議的安全性作法。
- 在 受控服務註冊指派刪除角色 中包含授權,以便視需要 移除委派的存取權。 若未指派此角色,則只有客戶租用戶中的使用者擁有移除委派資源的存取權限。
- 請確定需要在 Azure 入口網站檢視 [我的客戶] 頁面的任何使用者都具有讀取者角色 (或包含讀取者存取權的其他內建角色)。
重要
若要為 Microsoft Entra 群組新增權限,[群組類型] 必須設為 [安全性]。 建立群組時,會選取此選項。 如需詳細資訊,請參閱使用 Microsoft Entra 建立基本群組並新增成員。
支援 Azure Lighthouse 的角色
定義授權時,都必須在每個使用者帳戶中指派其中一個 Azure 內建角色。 不支援自訂角色和 傳統訂用帳戶系統管理員角色。
Azure Lighthouse 目前支援所有內建角色,但有下列例外狀況:
不支援 擁有者 角色。
支援使用者存取系統管理員角色,但僅限於將角色指派給客戶租用戶中的受控識別。 將不適用此角色通常授與的其他任何權限。 如果您定義具有此角色的使用者,您也必須指定此使用者可以指派給受控識別的角色。
不支援具有
DataActions
權限的任何角色。不支援包含下列任一 動作 的角色:
- */write
- */delete
- Microsoft.Authorization/*
- Microsoft.Authorization/*/write
- Microsoft.Authorization/*/delete
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
- Microsoft.Authorization/roleDefinitions/write
- Microsoft.Authorization/roleDefinitions/delete
- Microsoft.Authorization/classicAdministrators/write
- Microsoft.Authorization/classicAdministrators/delete
- Microsoft.Authorization/locks/write
- Microsoft.Authorization/locks/delete
- Microsoft.Authorization/denyAssignments/write
- Microsoft.Authorization/denyAssignments/delete
重要
指派角色時,務必檢閱針對每個角色所指定的動作。 即使不支援具有 DataActions
權限的角色,但在某些情況下,支援的角色中包含的動作可能會允許存取資料。 這通常發生在資料透過存取密鑰公開,而非透過使用者的身分識別存取時。 例如,虛擬機器參與者角色包含 Microsoft.Storage/storageAccounts/listKeys/action
動作,其會傳回可用來擷取特定客戶資料的儲存體帳戶存取金鑰。
在某些情況下,先前在 Azure Lighthouse 中支援的角色可能會變成無法使用。 例如,若將 DataActions
權限新增至先前沒有該權限的角色,則在將新委派上線時,就無法再使用該角色。 已獲指派該角色的使用者仍能夠處理先前委派的資源,但他們將無法執行任何使用 DataActions
權限的工作。
將新的適用內建角色新增至 Azure 後,即可在使用 Azure Resource Manager 範本將客戶上線時指派該角色。 發佈受控服務供應項目時,在合作夥伴中心新增的角色可能會延遲上線。 同樣地,如果某個角色變得無法使用,您可能會在合作夥伴中心看到該角色一段時間,但您無法使用這類角色發佈新的供應項目。
在 Microsoft Entra 租用戶之間轉移委派的訂用帳戶
若訂用帳戶轉移至另一個 Microsoft Entra 租用戶帳戶,則會保留透過 Azure Lighthouse 上線流程建立的註冊定義和註冊指派資源。 這表示對於該訂用帳戶 (或該訂用帳戶內委派的資源群組) 來說,透過 Azure Lighthouse 授與來管理租用戶的存取權仍為有效。
唯一的例外情況為訂用帳戶已轉移至先前委派的 Microsoft Entra 租用戶。 在此情況下,系統會移除該租用戶的委派資源,且不再套用透過 Azure Lighthouse 授與的存取權,因為訂用帳戶現在直接屬於該租用戶 (而非透過 Azure Lighthouse 委派給該租用戶)。 不過,若該訂用帳戶也已委派給其他管理租用戶,則其他管理租使用戶將保留對訂用帳戶的相同存取權。
下一步
- 了解 Azure Lighthouse 的建議安全性作法。
- 藉由使用 Azure Resource Manager 範本或將私人或公開受控服務供應項目發佈至 Azure Marketplace,將客戶上線至 Azure Lighthouse。