المستأجرون والمستخدمون والأدوار في سيناريوهات Azure Lighthouse
قبل إلحاق العملاء ب Azure Lighthouse، من المهم فهم كيفية عمل مستأجري Microsoft Entra والمستخدمين والأدوار، وكيف يمكن استخدامها في سيناريوهات Azure Lighthouse.
المستأجر هو مثيل مخصص وموثوق به لمعرف Microsoft Entra. عادة، يمثل كل مستأجر مؤسسة واحدة. يتيح Azure Lighthouse الإسقاط المنطقي للموارد من مستأجر إلى مستأجر آخر. يسمح هذا للمستخدمين في المستأجر المسؤول (مثل أحد المنتمين إلى مزود خدمة) بالوصول إلى الموارد المفوضة في مستأجر العميل، أو يتيح للمؤسسات التي لديها عدة مستأجرين مركزية عمليات الإدارة الخاصة بهم.
من أجل تحقيق هذا الإسقاط المنطقي، يجب إعداد اشتراك (أو مجموعة موارد واحدة أو أكثر ضمن اشتراك) في مستأجر العميل في Azure Lighthouse. يمكن إجراء عملية الإعداد هذه إما من خلال قوالب Azure Resource Manager أو عن طريق نشر عرض عام أو خاص إلى Azure Marketplace.
باستخدام أي من طريقتي الإعداد، ستحتاج إلى تحديد authorizations. يتضمن كل تخويل معرف أساسي (مستخدم Microsoft Entra أو مجموعة أو كيان خدمة في المستأجر الإداري) جنبا إلى جنب مع دور مضمن يحدد الأذونات المحددة التي سيتم منحها للموارد المفوضة.
إشعار
يمكن تطبيق الإشارات إلى "مستخدم" في وثائق Azure Lighthouse على مستخدم Microsoft Entra أو مجموعة أو كيان خدمة في تخويل ما ما لم يتم تحديده صراحة.
أفضل الممارسات لتحديد المستخدمين والأدوار
عند إنشاء التراخيص الخاصة بك، نوصي بأفضل الممارسات التالية:
- في معظم الحالات، ستحتاج إلى تعيين أذونات لمجموعة مستخدم Microsoft Entra أو كيان الخدمة، بدلا من تعيينها إلى سلسلة من حسابات المستخدمين الفردية. يتيح لك هذا إضافة أو إزالة الوصول للمستخدمين الفرديين من خلال معرف Microsoft Entra الخاص بالمستأجر، بدلا من الاضطرار إلى تحديث التفويض في كل مرة تتغير فيها متطلبات الوصول الفردية.
- اتبع كيان الامتياز الأقل بحيث لا يمتلك المستخدمون سوى الأذونات اللازمة لإكمال عملهم، ما يساعد على تقليل فرصة حدوث أخطاء غير مقصودة. لمزيد من المعلومات، راجع ممارسات الأمان الموصى بها.
- قم بتضمين تخويل مع دور حذف تعيين تسجيل الخدمات المُدارة بحيث يمكنك إزالة الوصول إلى التخويل لاحقاً إذا لزم الأمر. إذا لم يتم تعيين هذا الدور، فلا يمكن إزالة الوصول إلى الموارد المفوضة إلا من قبل مستخدم في مستأجر العميل.
- تأكد من أن أي مستخدم يحتاج إلى عرض صفحة عملائي في مدخل Microsoft Azure لديه دور القارئ (أو دور مضمن آخر يتضمن وصول القارئ).
هام
لإضافة أذونات لمجموعة Microsoft Entra، يجب تعيين نوع المجموعة إلى الأمان. يتم تحديد هذا الخيار عند إنشاء المجموعة. لمزيد من المعلومات، راجع إنشاء مجموعة أساسية وإضافة أعضاء باستخدام معرف Microsoft Entra.
دعم الدور لAzure Lighthouse
عند تعريف تخويل، يجب تعيين أحد الأدوار المضمنة في Azure لكل حساب مستخدم. الأدوار المخصصة وأدوار مسؤول الاشتراك الكلاسيكي غير مدعومة.
يتم حالياً دعم جميع الأدوار المضمنة مع Azure Lighthouse، مع الاستثناءات التالية:
لا يتم دعم دور المالك.
يتم دعم دور المستخدم Access مسؤول istrator، ولكن فقط لغرض محدود وهو تعيين أدوار إلى هوية مدارة في مستأجر العميل. لن يتم تطبيق أي أذونات أخرى يمنحها هذا الدور عادةً. إذا قمت بتعريف مستخدم بهذا الدور، يجب عليك أيضا تحديد الدور (الأدوار) الذي يمكن لهذا المستخدم تعيينه للهويات المدارة.
أي أدوار بإذن
DataActionsغير مدعومة.الأدوار التي تتضمن أيا من الإجراءات التالية غير مدعومة:
- */كتابه
- */delete
- Microsoft.Authorization/*
- Microsoft.Authorization/*/write
- Microsoft.Authorization/*/delete
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
- Microsoft.Authorization/roleDefinitions/write
- Microsoft.Authorization/roleDefinitions/delete
- Microsoft.Authorization/classic مسؤول istrators/write
- Microsoft.Authorization/classic مسؤول istrators/delete
- Microsoft.Authorization/locks/write
- Microsoft.Authorization/locks/delete
- Microsoft.Authorization/denyAssignments/write
- Microsoft.Authorization/denyAssignments/delete
هام
عند تعيين الأدوار، تأكد من مراجعة الإجراءات المحددة لكل دور. في بعض الحالات، على الرغم من أن الأدوار ذات DataActions الإذن غير مدعومة، فقد تسمح الإجراءات المضمنة في الدور بالوصول إلى البيانات، حيث يتم عرض البيانات من خلال مفاتيح الوصول ولا يتم الوصول إليها عبر هوية المستخدم. على سبيل المثال، يتضمن Microsoft.Storage/storageAccounts/listKeys/action دور مساهم الجهاز الظاهري الإجراء، الذي يقوم بإرجاع مفاتيح الوصول إلى حساب التخزين التي يمكن استخدامها لاسترداد بيانات عملاء معينة.
في بعض الحالات، قد يصبح الدور الذي تم دعمه مسبقا مع Azure Lighthouse غير متوفر. على سبيل المثال، إذا DataActions تمت إضافة الإذن إلى دور لم يكن لديه هذا الإذن من قبل، فلن يمكن استخدام هذا الدور بعد الآن عند إعداد التفويضات الجديدة. سيظل بإمكان المستخدمين الذين تم تعيين الدور لهم بالفعل العمل على الموارد المفوضة مسبقًا، ولكن لن يتمكنوا من تنفيذ المهام التي تستخدم DataActions الإذن.
بمجرد إضافة دور مضمن جديد قابل للتطبيق إلى Azure، يمكن تعيينه عند إلحاق عميل باستخدام قوالب Azure Resource Manager. قد يكون هناك تأخير قبل أن يصبح الدور المضاف حديثا متاحا في مركز الشركاء عند نشر عرض خدمة مدارة. وبالمثل، إذا أصبح الدور غير متوفر، فقد يستمر ظهوره في مركز الشركاء لفترة من الوقت؛ ومع ذلك، لن تتمكن من نشر عروض جديدة باستخدام مثل هذه الأدوار.
نقل الاشتراكات المفوضة بين مستأجري Microsoft Entra
إذا تم نقل اشتراك إلى حساب مستأجر Microsoft Entra آخر، يتم الاحتفاظ بتعريف التسجيل وموارد تعيين التسجيل التي تم إنشاؤها من خلال عملية إلحاق Azure Lighthouse. وهذا يعني أن الوصول الممنوح من خلال Azure Lighthouse لإدارة المستأجرين يظل ساريا لهذا الاشتراك (أو لمجموعات الموارد المفوضة ضمن هذا الاشتراك).
الاستثناء الوحيد هو إذا تم نقل الاشتراك إلى مستأجر Microsoft Entra الذي تم تفويضه إليه مسبقا. في هذه الحالة، تتم إزالة موارد التفويض لهذا المستأجر ولم يعد الوصول الممنوح من خلال Azure Lighthouse ينطبق، حيث ينتمي الاشتراك الآن مباشرة إلى هذا المستأجر (بدلا من تفويضه إليه من خلال Azure Lighthouse). ومع ذلك، إذا تم تفويض هذا الاشتراك أيضا إلى المستأجرين الإداريين الآخرين، فسيحتفظ هؤلاء المستأجرون الآخرون بالإدارة بنفس الوصول إلى الاشتراك.
الخطوات التالية
- تعرف على ممارسات الأمان الموصى بها لـAzure Lighthouse .
- إلحاق عملائك بـ Azure Lighthouse، إما باستخدام قوالب Azure Resource Manager أو عن طريق نشر عرض خدمات مدارة خاصة أو عامة Azure Marketplace.