Share via

إنشاء تفويضات مؤهلة

  • مقالة

عند إعداد العملاء في Azure Lighthouse، تقوم بإنشاء تراخيص لمنح أدوار Azure المضمنة المحددة للمستخدمين في المستأجر الإداري الخاص بك. يمكنك أيضا إنشاء تخويلات مؤهلة تستخدم Microsoft Entra إدارة الهويات المتميزة (PIM) للسماح للمستخدمين في المستأجر الإداري برفع دورهم مؤقتا. يتيح لك هذا منح أذونات إضافية على أساس الوقت المناسب بحيث يكون لدى المستخدمين هذه الأذونات فقط لمدة محددة.

يتيح لك إنشاء التراخيص المؤهلة تقليل عدد التعيينات الدائمة للمستخدمين إلى الأدوار المميزة، ما يساعد على تقليل مخاطر الأمان المتعلقة بالوصول المميز من قبل المستخدمين في المستأجر الخاص بك.

يشرح هذا الموضوع كيفية عمل التفويضات المؤهلة وكيفية إنشائها عند إعداد عميل على Azure Lighthouse.

متطلبات الترخيص

يتطلب إنشاء التخويلات المؤهلة ترخيص Enterprise Mobility + Security E5 (EMS E5) أو Microsoft Entra ID P2 .

يجب أن يحتفظ المستأجر الإداري بترخيص EMS E5 أو Microsoft Entra ID P2، وليس مستأجر العميل.

لن يتم تطبيق أي تكاليف إضافية مرتبطة بدور مؤهل إلا خلال الفترة الزمنية التي يرفع فيها المستخدم وصوله إلى هذا الدور.

للحصول على معلومات حول تراخيص المستخدمين، راجع أساسيات ترخيص Microsoft Entra ID Governance.

كيف تعمل التراخيص المؤهلة

يحدد التفويض المؤهل تعيين الدور الذي يتطلب من المستخدم تنشيط الدور عندما يحتاج إلى أداء المهام ذات الامتيازات. عند تنشيط الدور المؤهل، سيكون لديهم حق الوصول الكامل الممنوح بواسطة هذا الدور للفترة الزمنية المحددة.

يمكن للمستخدمين في مستأجر العميل مراجعة جميع تعيينات الأدوار، بما في ذلك تلك الموجودة في التراخيص المؤهلة، قبل عملية الإعداد.

بمجرد قيام المستخدم بتنشيط دور مؤهل بنجاح، سيكون لديه هذا الدور المرتفع في النطاق المفوض لفترة زمنية مُعدة مسبقاً، بالإضافة إلى تعيين (مهام) الدور الدائم لهذا النطاق.

يمكن للمسؤولين في المستأجر الإداري مراجعة جميع أنشطة Azure Active Directory Privileged Identity Management من خلال عرض سجل التدقيق في المستأجر المسؤول. يمكن للعملاء عرض هذه الإجراءات في سجل نشاط Azure للاشتراك المفوض.

عناصر التفويض المؤهلة

يمكنك إنشاء ترخيص مؤهل عند إعداد العملاء باستخدام قوالب Azure Resource Manager أو عن طريق نشر عرض الخدمات المُدارة في Azure Marketplace. يجب أن يشتمل كل ترخيص مؤهل على ثلاثة عناصر: المستخدم والدور ونهج الوصول.

المستخدم

لكل تخويل مؤهل، يمكنك توفير المعرف الأساسي إما لمستخدم فردي أو مجموعة Microsoft Entra في المستأجر الإداري. بالإضافة إلى المعرف الرئيسي، يجب عليك تقديم اسم عرض من اختيارك لكل ترخيص.

إذا تم توفير مجموعة في ترخيص مؤهل، فسيكون أي عضو في تلك المجموعة قادراً على رفع مستوى وصوله الفردي إلى هذا الدور، وفقاً لنهج الوصول.

لا يمكنك استخدام التفويضات المؤهلة مع مديري الخدمة، نظراً لعدم وجود طريقة حالياً لحساب رئيسي للخدمة لرفع مستوى وصوله واستخدام دور مؤهل. لا يمكنك أيضاً استخدام التفويضات المؤهلة مع delegatedRoleDefinitionIds التي يمكن لمسؤول وصول المستخدم تعيينها للهويات المدارة.

إشعار

لكل ترخيص مؤهل، تأكد أيضاً من إنشاء تخويل دائم (نشط) لنفس المعرف الأساسي مع دور مختلف، مثل القارئ (أو دور Azure مضمّن آخر يتضمن وصول القارئ). إذا لم تقم بتضمين ترخيص دائم مع وصول القارئ، فلن يتمكن المستخدم من رفع دوره في مدخل Microsoft Azure.

الدور

يحتاج كل ترخيص مؤهل إلى تضمين دور Azure المدمج الذي سيكون المستخدم مؤهلاً لاستخدامه في الوقت المناسب.

يمكن أن يكون الدور أي دور مضمن في Azure مدعوم لإدارة موارد Azure المفوضة، باستثناء مسؤول وصول المستخدم.

هام

إذا قمت بتضمين العديد من التراخيص المؤهلة التي تستخدم نفس الدور، يجب أن يكون لكل من التخويلات المؤهلة نفس إعدادات نهج الوصول.

نهج الوصول

يحدد نهج الوصول متطلبات المصادقة متعددة العوامل، ومدة تنشيط المستخدم في الدور قبل انتهاء صلاحيته، وما إذا كان المعتمدون مطلوبين.

المصادقة متعددة العوامل

حدد ما إذا كنت تريد طلب مصادقة متعددة العوامل من Microsoft Entra أم لا لتنشيط دور مؤهل.

المدة القصوى

حدد المدة الإجمالية التي سيحصل فيها المستخدم على الدور المؤهل. الحد الأدنى 30 دقيقة والحد الأقصى 8 ساعات.

الموافقون

عنصر الموافقين اختياري. إذا قمت بتضمينه، يمكنك تحديد ما يصل إلى 10 مستخدمين أو مجموعات مستخدمين في المستأجر الإداري الذي يمكنه الموافقة على الطلبات من مستخدم أو رفضها لتنشيط الدور المؤهل.

لا يمكنك استخدام حساب الخدمة الرئيسي كموافق. أيضاً، لا يمكن للموافقين الموافقة على وصولهم الخاص؛ إذا تم أيضاً تضمين أحد الموافقين كمستخدم في تفويض مؤهل، فسيتعين على مانح آخر منح حق الوصول حتى يتمكن من رفع دوره.

إذا لم تقم بتضمين أي من المعتمدين، فسيكون المستخدم قادراً على تنشيط الدور المؤهل متى شاء.

قم بإنشاء تراخيص مؤهلة باستخدام عروض الخدمات المدارة

لإرسال عميلك إلى Azure Lighthouse، يمكنك نشر عروض الخدمات المُدارة في Azure Marketplace. عند إنشاء عروضك في Partner Center، يمكنك الآن تحديد ما إذا كان Access type لكل Authorization يجب أن يكون Active أو Eligible.

عند تحديد Eligible، سيتمكن المستخدم في التفويض الخاص بك من تنشيط الدور وفقاً لنهج الوصول التي تقوم بتكوينها. يجب تعيين مدة قصوى بين 30 دقيقة و8 ساعات، وتحديد ما إذا كنت ستحتاج إلى مصادقة متعددة العوامل. يمكنك أيضاً إضافة ما يصل إلى 10 جهات اعتماد إذا اخترت استخدامها، مع توفير اسم عرض ومعرف رئيسي لكل منها.

تأكد من مراجعة التفاصيل في قسم عناصر التفويض المؤهلة عند تهيئة التفويضات المؤهلة في مركز الشركاء.

قم بإنشاء تراخيص مؤهلة باستخدام قوالب Azure Resource Manager

لإدخال عميلك إلى Azure Lighthouse، يمكنك استخدام قالب Azure Resource Manager جنباً إلى جنب مع ملف المعلمات المقابل الذي تعدله. سيعتمد القالب الذي تختاره على ما إذا كنت تقوم بإعداد اشتراك كامل أو مجموعة موارد أو مجموعات موارد متعددة ضمن اشتراك.

لتضمين التفويضات المؤهلة عند انضمامك إلى أحد العملاء، استخدم أحد القوالب من قسم التفويضات المؤهلة لإدارة الموارد المفوضة في عينات المستودع. نحن نقدم قوالب مع أو دون مانحين مدرجين، بحيث يمكنك استخدام القالب الذي يعمل بشكل أفضل مع السيناريو الخاص بك.

لإلحاق هذا (مع التخويلات المؤهلة) استخدم قالب Azure Resource Manager هذا ثم قم بتعديل ملف المعلمة هذا
الوصف subscription.json subscription.parameters.json
الاشتراك (مع الموافقين) subscription-managing-tenant-approvers.json subscription-managing-tenant-approvers.parameters.json
مجموعة الموارد rg.json rg.parameters.json
مجموعة الموارد (مع الموافقين) rg-managing-tenant-approvers.json rg-managing-tenant-approvers.parameters.json
مجموعات موارد متعددة ضمن اشتراك multiple-rg.json multiple-rg.parameters.json
مجموعات موارد متعددة داخل اشتراك (مع جهات اعتماد) multiple-rg-managing-tenant-approvers.json multiple-rg-managing-tenant-approvers.parameters.json

يظهر أدناه قالب subscription-management-tenant-approvers.json، الذي يمكن استخدامه لإعداد اشتراك باستخدام التراخيص المؤهلة (بما في ذلك المعتمدون).

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/subscriptionDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "type": "string",
            "metadata": {
                "description": "Specify a unique name for your offer"
            }
        },
        "mspOfferDescription": {
            "type": "string",
            "metadata": {
                "description": "Name of the Managed Service Provider offering"
            }
        },
        "managedByTenantId": {
            "type": "string",
            "metadata": {
                "description": "Specify the tenant id of the Managed Service Provider"
            }
        },
        "authorizations": {
            "type": "array",
            "metadata": {
                "description": "Specify an array of objects, containing tuples of Azure Active Directory principalId, a Azure roleDefinitionId, and an optional principalIdDisplayName. The roleDefinition specified is granted to the principalId in the provider's Active Directory and the principalIdDisplayName is visible to customers."
            }
        },
        "eligibleAuthorizations": {
            "type": "array",
            "metadata": {
                "description": "Provide the authorizations that will have just-in-time role assignments on customer environments with support for approvals from the managing tenant"
            }
        }
    },
        "variables": {
            "mspRegistrationName": "[guid(parameters('mspOfferName'))]",
            "mspAssignmentName": "[guid(parameters('mspOfferName'))]"
        },
        "resources": [
            {
                "type": "Microsoft.ManagedServices/registrationDefinitions",
                "apiVersion": "2020-02-01-preview",
                "name": "[variables('mspRegistrationName')]",
                "properties": {
                    "registrationDefinitionName": "[parameters('mspOfferName')]",
                    "description": "[parameters('mspOfferDescription')]",
                    "managedByTenantId": "[parameters('managedByTenantId')]",
                    "authorizations": "[parameters('authorizations')]",
                    "eligibleAuthorizations": "[parameters('eligibleAuthorizations')]"
                }
            },
            {
                "type": "Microsoft.ManagedServices/registrationAssignments",
                "apiVersion": "2020-02-01-preview",
                "name": "[variables('mspAssignmentName')]",
                "dependsOn": [
                    "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
                ],
                "properties": {
                    "registrationDefinitionId": "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
                }
            }
        ],
        "outputs": {
            "mspOfferName": {
                "type": "string",
                "value": "[concat('Managed by', ' ', parameters('mspOfferName'))]"
            },
            "authorizations": {
                "type": "array",
                "value": "[parameters('authorizations')]"
            },
            "eligibleAuthorizations": {
                "type": "array",
                "value": "[parameters('eligibleAuthorizations')]"
            }
        }
    }

تحديد التراخيص المؤهلة في ملف المعلمات الخاص بك

يمكن استخدام نموذج قالب نموذج subscription-managing-tenant-approvers.parameters.json لتحديد التخويلات، بما في ذلك التخويلات المؤهلة، عند إعداد اشتراك.

يجب تحديد كل تفويضات مؤهلة في معلمة eligibleAuthorizations. يتضمن هذا المثال تفويضاً واحداً مؤهلاً.

يتضمن هذا القالب أيضاً عنصر managedbyTenantApprovers، الذي يضيف principalId الذي ستُطلب منه الموافقة على جميع المحاولات لتنشيط الأدوار المؤهلة المحددة في عنصر eligibleAuthorizations.

{
    "$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "value": "Relecloud Managed Services"
        },
        "mspOfferDescription": {
            "value": "Relecloud Managed Services"
        },
        "managedByTenantId": {
            "value": "<insert the managing tenant id>"
        },
        "authorizations": {
            "value": [
                { 
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
                    "principalIdDisplayName": "PIM group"
                }
            ]
        }, 
        "eligibleAuthorizations":{
            "value": [
                {
                        "justInTimeAccessPolicy": {
                            "multiFactorAuthProvider": "Azure",
                            "maximumActivationDuration": "PT8H",
                            "managedByTenantApprovers": [ 
                                { 
                                    "principalId": "00000000-0000-0000-0000-000000000000", 
                                    "principalIdDisplayName": "PIM-Approvers" 
                                } 
                            ]
                        },
                        "principalId": "00000000-0000-0000-0000-000000000000", 
                        "principalIdDisplayName": "Tier 2 Support",
                        "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"

                }
            ]
        }
    }
}

يحتوي كل إدخال داخل المعلمة eligibleAuthorizations على ثلاثة عناصر تحدد ترخيصاً مؤهلاً: principalId وroleDefinitionId وjustInTimeAccessPolicy.

principalId يحدد معرف مستخدم Microsoft Entra أو المجموعة التي سيتم تطبيق هذا التخويل المؤهل عليها.

يحتويroleDefinitionId على معرف تعريف الدور لدور Azure المضمن الذي سيكون المستخدم مؤهلاً لاستخدامه في الوقت المناسب. إذا قمت بتضمين العديد من التراخيص المؤهلة التي تستخدم نفس roleDefinitionId، يجب أن تحتوي جميعها على إعدادات مماثلة لـ justInTimeAccessPolicy.

justInTimeAccessPolicy يحدد ثلاثة عناصر:

  • multiFactorAuthProviderيمكن تعيين إما إلى Azure، والذي سيتطلب مصادقة باستخدام مصادقة Microsoft Entra متعددة العوامل، أو على None إذا لم تكن هناك حاجة إلى مصادقة متعددة العوامل.
  • يحدد maximumActivationDuration الطول الإجمالي للوقت الذي سيحصل فيه المستخدم على الدور المؤهل. يجب أن تستخدم هذه القيمة تنسيق المدة ISO 8601. القيمة الدنيا هي PT30M (30 دقيقة) والقيمة القصوى هي PT8H (8 ساعات). للتبسيط، نوصي باستخدام القيم بزيادات نصف ساعة فقط، مثل PT6H لمدة 6 ساعات أو PT6H30M لمدة 6.5 ساعات.
  • managedByTenantApprovers اختياري. قمت بتضمينه، يجب أن يحتوي على مجموعة واحدة أو أكثر من principalId وprincipalIdDisplayName الذي سيُطلب منه الموافقة على أي تنشيط للدور المؤهل.

لمزيد من المعلومات حول هذه العناصر، راجع قسم عناصر التخويل المؤهلة.

عملية التصعيد للمستخدمين

بعد قيامك بضم عميل إلى Azure Lighthouse، ستتوفر أي أدوار مؤهلة قمت بتضمينها للمستخدم المحدد (أو للمستخدمين في أي مجموعات محددة).

يمكن لكل مستخدم رفع مستوى وصوله في أي وقت عن طريق زيارة صفحة My customers في مدخل Microsoft Azure، وتحديد تفويض، ثم تحديد Manage eligible roles. بعد ذلك، يمكنهم اتباع الخطوات لتنشيط الدور في Microsoft Entra إدارة الهويات المتميزة.

Screenshot showing the Manage eligible roles button in the Azure portal.

إذا تم تحديد جهات الاعتماد، فلن يتمكن المستخدم من الوصول إلى الدور حتى يتم منح الموافقة بواسطة موافق معين من المستأجر الإداري. سيتم إخطار جميع المعتمدين عند طلب الموافقة، ولن يتمكن المستخدم من استخدام الدور المؤهل حتى يتم منح الموافقة. سيتم أيضاً إخطار الموافقين عند حدوث ذلك. لمزيد من المعلومات بشأن عملية الموافقة، راجع الموافقة على الطلبات الخاصة بأدوار موارد Azure أو رفضها في إدارة الهوية المميزة.

بمجرد تنشيط الدور المؤهل، سيكون للمستخدم هذا الدور طوال المدة المحددة في التفويض المؤهل. بعد هذه الفترة الزمنية، لن يعودوا قادرين على استخدام هذا الدور، ما لم يكرروا عملية الرفع ورفع مستوى وصولهم مرة أخرى.

الخطوات التالية