إعداد Azure Lighthouse

مكتمل

الآن لديك فهم أفضل لفوائد وإمكانات استخدام Azure Lighthouse؛ لذا فأنت بدأت في معرفة كيف يمكن أن تساعدك Azure Lighthouse في تقديم الخدمات لعملائك الثلاثة الجدد.

لدى Contoso عمليات إلحاق وإدارة عملاء حالية. كنت ترغب في فهم ما هو مطلوب في إلحاق عميل باستخدام Azure Lighthouse.

في هذه الوحدة، ستلقي نظرة فاحصة على مستأجري Azure وكيفية عملهم مع Azure Lighthouse، واستخدام الأدوار والمستخدمين في الإدارة اليومية للعملاء. أخيرًا، ستتعرف على توصيات الأمان حول الوصول إلى منارة Azure واستخدامها. سيتم استخدام هذه المفاهيم والقرارات المرتبطة بها بصرف النظر عما إذا كنت تقوم بنشر Azure Lighthouse عبر قوالب Azure Resource Manager أو عروض Azure Marketplace الخاصة أو العالمية.

الشروع في العمل

إن استخدام Azure Lighthouse يغير بشكل أساسي الطريقة التي تتفاعل بها مع مستأجري عملاء Azure الجدد والمستقبليين وإدارتهم. مع عملاء Azure الحاليين، يحتاج كل مستخدم من مستخدمي مزود الخدمة لديك إلى حساب في مستأجر العميل للقيام بمهام الإدارة. بموجب Azure Lighthouse، هناك مستأجر واحد فقط لموظفي Contoso لاستخدامها. هذه ملكك.

من خلال إدارة الموارد المفوضة من Azure، يتم تعيين اشتراكات أو موارد Azure الخاصة بالعميل منطقيًا إلى مستأجر Azure الخاص بـ Contoso، وهو ما يتعلق بمستخدم مقدم الخدمة الذي قام بتسجيل الدخول. وهذا يعني أن مستخدم الخدمة المدارة في Contoso المعين لديه حق الوصول فقط لعرض وإدارة تلك الموارد المحددة التي قاموا بتفويض الوصول إليها. مع وضع ذلك في الاعتبار، يمكنك فصل فريقك ليشمل، على سبيل المثال:

  • مجموعة من موظفي مكتب المساعدة الذين يتمتعون بالوصول لعرض حالة الأجهزة الظاهرية للعميل
  • مجموعة من موظفي إدارة النسخ الاحتياطي الذين لديهم إمكانية الوصول إلى إدارة النسخ الاحتياطي في Azure لعملائك
  • مجموعة من موظفي المشروع الذين لديهم مستوى أعلى من الوصول إلى جميع الموارد داخل مجموعات موارد معينة في بيئة العميل لديك

يتم إنشاء هذا التعيين المنطقي تلقائيًا عندما يقبل العميل تقديم إدارة خدمة على Azure Marketplace. كما يحدث عند نشر أحد قوالب Azure Resource Manager على مستأجر Azure الخاص بهم، حيث ستقوم بتحديد مستويات الوصول ونطاق المكان الذي تنطبق عليه.

يتم تعريف مستويات الوصول هذه وفرضها باستخدام عنصر تحكم الوصول المستند إلى الدور في Azure. دعونا نلقي نظرة أعمق على تلك الأدوار والتصاريح.

الأدوار والتراخيص

بمجرد التأكد من كيفية هيكلة فرق الخدمة في Contoso، لتقديم متطلبات عقود خدمة العميل، تحتاج إلى تحديد الأدوار في Azure التي توفر أفضل مستويات الوصول هذه. يجب أن تكون الأدوار موجودة في قائمة تعريفات التحكم في الوصول المستندة إلى دور (RBAC) في Azure.

⁩العميل 1⁧⁩ طلب منا الإدارة والإشراف على اشتراك Azure بالكامل وجميع موارده. يبدو أن دور ⁧⁩المساهم⁧⁩ هو الخيار الواضح لأن هذا الدور له أوسع نطاق للاستخدام عبر اشتراك العميل. وبحكم أن هذا الدور يتمتع بمستوى عالٍ من الوصول، فستقتصر على مجموعة صغيرة من كبار الموظفين الفنيين في Contoso.

تلميح

يمكنك تطبيق أدوار على اسم مجموعة في قوالب Azure resource manager لإلحاق عميلك بـ Azure Lighthouse. ثم خلال مدة عقد الخدمات هذا، يمكنك إضافة وإزالة موظفي Contoso إلى تلك المجموعة كما هو مطلوب داخل مستأجر Azure الخاص بك، دون الحاجة إلى إجراء أي تغييرات على وصول المورد المفوض للعميل الخاص بك.

يقتصر عقد الخدمة الخاص بـ ⁧⁩العميل 2⁧⁩ على الموارد الموجودة داخل مجموعة موارد معينة فقط، تسمى "cust2-rg1". يحتاج موظفو Contoso فقط إلى وصول القارئ إلى مجموعة الموارد هذه ومواردها، لذلك دور القارئ والأذونات المقترنة به مناسبة هنا.

تلميح

سيتم تطبيق التصاريح المطبقة على مستوى مجموعة الموارد على كافة الموارد الموجودة في مجموعة الموارد هذه وسيتم توريثها بواسطة كافة الموارد الجديدة التي تم إنشاؤها في مجموعة الموارد هذه (بواسطة الأشخاص الذين لديهم الأذونات المناسبة لإنشاء الموارد).

بالنسبة إلى ⁧⁩العميل 3⁧⁩، يحتاج الموظفون في Contoso أيضًا إلى الوصول للقراءة فقط ولكن إلى مجموعتين مختلفتين من الموارد. مرة أخرى، دور القارئ هو الخيار الأنسب.

عند تطبيق هذه الأدوار على عرض الخدمة الخاص بك، لا تستخدم جزء إدارة الهوية والوصول في مدخل Azure كما تفعل عادة لمنح التحكم في الوصول المستند إلى الدور. بدلاً من ذلك، يمكنك إنشاء تصريح. كل تصريح يحدد المستخدم والدور الذي سيتم منحه للموارد المفوضة. كما أنه يشكل جزءًا مطلوبًا من قوالب Azure Resource Manager، إذا كنت تستخدمها لمساعدة عميل للالتحاق بـ Azure Lighthouse.

أفضل الممارسات

إذا كنت تفكر في المستخدمين والأدوار، خاصةً في إدارة الموارد المفوضة من Azure، فهناك إرشادات يجب عليك محاولة الالتزام بها:

  • تجنب تعيين مستخدم Contoso الفردية لدور. من الأفضل تعيين مجموعة مستخدمين Azure AD أو قاعدة خدمة، فهو يخفف من الحاجة إلى تحديث العرض في كل مرة يتغير فيها موظفو Contoso.
  • تأكد من منح مستخدم Contoso واحد على الأقل دور ⁧⁩حذف تعيين تسجيل الخدمات المدارة⁧⁩. يسمح لك بإزالة الوصول المفوض عند اكتمال عقد الخدمة الخاص بك، وإلا فإنه يجب على العميل إزالته من مستأجر Azure.
  • لا يمكنك استخدام تعريفات الأدوار المخصصة أو دور المالك. للحصول على قائمة بالأدوار المضمنة الحالية ومعرفاتها، قم بزيارة ⁧⁩أدوار Azure المضمنة⁧⁩.
  • ستحتاج أيضًا إلى تجنب استخدام أي أدوار مضمّن لها أذونات ⁧⁩DataAction.⁧

بنيات الأذونات

تستخدم Contoso بالفعل مجموعات مستخدمي Azure AD وأدوارهم للتحكم في الوصول إلى الأنظمة. لتبسيط التصاريح التي ستقوم بتعيينها لعروض الخدمة المُدارة، قررت إنشاء مجموعة مخصصة من مجموعات مستخدمي Azure AD والأدوار المرتبطة في المستأجر الخاص بك.

⁦⁧⁩⁩اسم المجموعة⁦⁧⁩⁩ النوع ⁧⁧⁩⁩⁧تعريف الدور⁧⁩⁩
Customer_Helpdesk مجموعة المستخدمين القارئ
Customer_Backup_Management مجموعة المستخدمين مساهم النسخ الاحتياطي
Customer_Subscription_Management مجموعة المستخدمين مساهم

ملاحظة

عند إنشاء كل من مجموعات المستخدمين هذه في Contoso Azure Active Directory الخاص بك، قم بتدوين معرف الكائن الخاص بهم. ستحتاج إلى ذلك من أجل عملية الإلحاق.

مع تحديد بنية الأذونات الخاصة بك، تحتاج إلى تعيين مستخدمين إلى هذه المجموعات. تذكر أن موظفي Contoso في هذه المجموعات سيتمكنون من الوصول إلى جميع العملاء، حيث تم استخدام هذه المجموعة في التفويض. إذا كان لديك عميل لديه متطلبات أمان معينة، حيث تحتاج إلى الحد من الوصول إلى بعض موظفي Contoso فقط (على سبيل المثال، الأشخاص الذين قاموا بتدريب معتمد معين)، ففكر في إنشاء مجموعات لهذا العميل فقط واستخدام هذه المجموعات فقط في تصريحهم.

الاعتبارات الأمنية

الأمان هو اعتبار دائم لأي من بيئات Azure Active Directory. عند تقديم إدارة الموارد المفوضة من Azure إلى المستأجر الخاص بك، يجب عليك أيضًا مراعاة أمان عملائك. يجب أن تشمل الاعتبارات ما يلي:

  • تنفيذ مصادقة Azure AD متعددة العوامل لجميع المستخدمين في مستأجر Conotoso الخاص بك، بما في ذلك أي مستخدمين يتحملون مسؤولية إدارة العملاء باستخدام Azure Lighthouse. يقلل أسلوب المصادقة هذا من احتمال وصول المهاجمين إلى موارد العميل عبر مستأجر Contoso Azure AD لديك.
  • قم بتطبيق ⁧⁩مبدأ الامتياز الأقل⁧⁩ عند منح الأذونات للمستخدمين - يجب أن يكون لدى مستخدمي Contoso أذونات كافية للقيام بعملهم وليس أكثر