إعداد Azure Lighthouse

  • 5 دقائق

الآن لديك فهم أفضل لفوائد وإمكانات استخدام Azure Lighthouse؛ لذا فأنت بدأت في معرفة كيف يمكن أن تساعدك Azure Lighthouse في تقديم الخدمات لعملائك الثلاثة الجدد.

لدى Contoso عمليات إلحاق وإدارة عملاء حالية. كنت ترغب في فهم ما هو مطلوب في إلحاق عميل باستخدام Azure Lighthouse.

في هذه الوحدة، ستلقي نظرة فاحصة على مستأجري Azure وكيفية عملهم مع Azure Lighthouse، واستخدام الأدوار والمستخدمين في الإدارة اليومية للعملاء. وأخيرا، ستتعرف على توصيات الأمان حول الوصول إلى Azure Lighthouse واستخدامه. سيتم استخدام هذه المفاهيم والقرارات المرتبطة بها بغض النظر عما إذا كنت تنشر Azure Lighthouse عبر قوالب Azure Resource Manager أو من خلال عروض Azure Marketplace الخاصة أو العالمية.

الشروع في العمل

إن استخدام Azure Lighthouse يغير بشكل أساسي الطريقة التي تتفاعل بها مع مستأجري عملاء Azure الجدد والمستقبليين وإدارتهم. مع عملاء Azure الحاليين، يحتاج كل مستخدم من مستخدمي مزود الخدمة لديك إلى حساب في مستأجر العميل للقيام بمهام الإدارة. بموجب Azure Lighthouse، هناك مستأجر واحد فقط لموظفي Contoso لاستخدامها. هذه ملكك.

من خلال إدارة الموارد المفوضة من Azure، يتم تعيين اشتراكات أو موارد Azure الخاصة بالعميل منطقيًا إلى مستأجر Azure الخاص بـ Contoso، وهو ما يتعلق بمستخدم مقدم الخدمة الذي قام بتسجيل الدخول. وهذا يعني أن مستخدم الخدمة المدارة في Contoso المعين لديه حق الوصول فقط لعرض وإدارة تلك الموارد المحددة التي قاموا بتفويض الوصول إليها. مع وضع ذلك في الاعتبار، يمكنك فصل فريقك ليشمل، على سبيل المثال:

  • مجموعة من موظفي مكتب المساعدة الذين لديهم حق الوصول لعرض حالة الأجهزة الظاهرية للعملاء
  • مجموعة من موظفي إدارة النسخ الاحتياطي الذين لديهم حق الوصول لإدارة Azure Backup لعملائك
  • مجموعة من موظفي المشروع الذين لهم مستوى أعلى من الوصول إلى جميع الموارد داخل مجموعات موارد معينة في بيئة العميل

يتم إنشاء هذا التعيين المنطقي تلقائيًا عندما يقبل العميل تقديم إدارة خدمة على Azure Marketplace. يحدث أيضا عند توزيع أحد قوالب Azure Resource Manager على مستأجر Azure الخاص بهم، حيث ستحدد مستويات الوصول هذه ونطاق تطبيقها.

يتم تعريف مستويات الوصول هذه وفرضها باستخدام عنصر تحكم الوصول المستند إلى الدور في Azure. دعونا نلقي نظرة أعمق على تلك الأدوار والتصاريح.

الأدوار والتراخيص

بمجرد التأكد من كيفية هيكلة فرق الخدمة في Contoso، لتقديم متطلبات عقود خدمة العميل، تحتاج إلى تحديد الأدوار في Azure التي توفر أفضل مستويات الوصول هذه. يجب أن تكون الأدوار موجودة في قائمة تعريفات التحكم في الوصول المستندة إلى دور (RBAC) في Azure.

  • طلب العميل 1 أن ندير وندير اشتراك Azure بأكمله وجميع موارده. سيكون دور المساهم هو الخيار الأفضل هنا، لأن هذا الدور له أوسع نطاق للاستخدام عبر اشتراك العميل. وبحكم أن هذا الدور يتمتع بمستوى عالٍ من الوصول، فستقتصر على مجموعة صغيرة من كبار الموظفين الفنيين في Contoso.

تلميح

يمكنك تطبيق أدوار على اسم مجموعة في قوالب Azure resource manager لإلحاق عميلك بـ Azure Lighthouse. ثم خلال مدة عقد الخدمات هذا، يمكنك إضافة وإزالة موظفي Contoso إلى تلك المجموعة كما هو مطلوب داخل مستأجر Azure الخاص بك، دون الحاجة إلى إجراء أي تغييرات على وصول المورد المفوض للعميل الخاص بك.

  • يقتصر عقد خدمة العميل 2 على الموارد داخل مجموعة موارد معينة تسمى "cust2-rg1". يحتاج موظفو Contoso فقط إلى وصول القارئ إلى مجموعة الموارد هذه ومواردها، لذا فإن دور القارئ والأذونات المقترنة به مناسبان هنا.

تلميح

سيتم تطبيق التخويلات المطبقة على مستوى مجموعة الموارد على كافة الموارد الموجودة في مجموعة الموارد هذه وسيتم توريثها بواسطة كافة الموارد الجديدة التي تم إنشاؤها في مجموعة الموارد هذه.

  • بالنسبة للعميل 3، يحتاج الموظفون في Contoso أيضا إلى الوصول للقراءة ولكن لمجموعتي موارد مختلفتين. مرة أخرى، دور القارئ هو الخيار الأنسب.

عند تطبيق هذه الأدوار على عرض الخدمة الخاص بك، لا تستخدم جزء إدارة الهوية والوصول في مدخل Azure كما تفعل عادة لمنح التحكم في الوصول المستند إلى الدور. بدلاً من ذلك، يمكنك إنشاء تصريح. كل تصريح يحدد المستخدم والدور الذي سيتم منحه للموارد المفوضة. كما أنه يشكل جزءًا مطلوبًا من قوالب Azure Resource Manager، إذا كنت تستخدمها لمساعدة عميل للالتحاق بـ Azure Lighthouse.

أفضل الممارسات

إذا كنت تفكر في المستخدمين والأدوار، خاصةً في إدارة الموارد المفوضة من Azure، فهناك إرشادات يجب عليك محاولة الالتزام بها:

  • تجنب تعيين مستخدم Contoso الفردية لدور. من الأفضل تعيين مجموعة مستخدم Microsoft Entra أو كيان خدمة. فهو يخفف من الحاجة إلى تحديث العرض في كل مرة يتغير فيها موظفو Contoso.
  • تأكد من منح مستخدم Contoso واحد على الأقل دور حذف تعيين تسجيل الخدمات المدارة. يسمح لك بإزالة الوصول المفوض عند اكتمال عقد الخدمة الخاص بك، وإلا فإنه يجب على العميل إزالته من مستأجر Azure.
  • لا يمكنك استخدام تعريفات الأدوار المخصصة أو دور المالك. للحصول على قائمة بالأدوار المضمنة الحالية ومعرفها، تفضل بزيارة أدوار Azure المضمنة.
  • تحتاج أيضا إلى تجنب استخدام أي أدوار مضمنة لها أذونات DataAction .

بنيات الأذونات

تستخدم Contoso بالفعل مجموعات المستخدمين وأدوار Microsoft Entra للتحكم في الوصول إلى موارد Azure الخاصة بها. لتبسيط التخويلات التي ستقوم بتعيينها لعروض الخدمة المدارة، قررت إنشاء مجموعة مخصصة من مجموعات مستخدمي Microsoft Entra والأدوار المرتبطة بها في المستأجر الخاص بك.

اسم المجموعة النوع تعريف الدور
Customer_Helpdesk مجموعة المستخدمين القارئ
Customer_Backup_Management مجموعة المستخدمين مساهم النسخ الاحتياطي
Customer_Subscription_Management مجموعة المستخدمين المساهم

إشعار

عند إنشاء كل مجموعة من مجموعات المستخدمين هذه في معرف Contoso Microsoft Entra، قم بتدوين معرف الكائن الخاص بهم. ستحتاج إلى ذلك من أجل عملية الإلحاق.

مع تحديد بنية الأذونات الخاصة بك، تحتاج إلى تعيين مستخدمين إلى هذه المجموعات. تذكر أن موظفي Contoso في هذه المجموعات سيتمكنون من الوصول إلى جميع العملاء، حيث تم استخدام هذه المجموعة في التفويض. إذا كان لديك عميل لديه متطلبات أمان معينة، حيث تحتاج إلى الحد من الوصول إلى بعض موظفي Contoso فقط (على سبيل المثال، الأشخاص الذين قاموا بتدريب معتمد معين)، ففكر في إنشاء مجموعات لهذا العميل فقط واستخدام هذه المجموعات فقط في تصريحهم.

اعتبارات الأمان

الأمان هو اعتبار دائم لأي بيئة من بيئة Microsoft Entra. عند تقديم إدارة الموارد المفوضة من Azure إلى المستأجر الخاص بك، يجب عليك أيضًا مراعاة أمان عملائك. يجب أن تشمل الاعتبارات ما يلي:

  • تنفيذ مصادقة Microsoft Entra متعددة العوامل لجميع المستخدمين في مستأجر Contoso الخاص بك، بما في ذلك أي مستخدمين يتحملون مسؤولية إدارة العملاء باستخدام Azure Lighthouse. يقلل أسلوب المصادقة هذا من احتمالية وصول المهاجمين إلى موارد عملائك عبر مستأجر Contoso Microsoft Entra.
  • تطبيق مبدأ الامتياز الأقل عند منح أذونات للمستخدمين - يجب أن يكون لدى مستخدمي Contoso أذونات كافية للقيام بعملهم وليس أكثر.