Klienti, uživatelé a role ve scénářích Azure Lighthouse

před zprovozněním zákazníků pro Azure Lighthouseje důležité pochopit, jak klienti a role Azure Active Directory (Azure AD) fungují a jak se dají použít ve scénářích azure Lighthouse.

Tenant je vyhrazená a důvěryhodná instance Azure AD. Každý tenant obvykle představuje jednu organizaci. Azure Lighthouse umožňuje logickou projekci prostředků z jednoho tenanta do jiného tenanta. To umožňuje uživatelům v tenantovi pro správu (například k jednomu poskytovateli služeb) získat přístup k delegovaným prostředkům v tenantovi zákazníka nebo umožňuje podnikům s více klienty centralizovat své operace správy.

Aby bylo možné dosáhnout této logické projekce, musí být předplatné (nebo jedna nebo víc skupin prostředků v rámci předplatného) v tenantovi zákazníka připojené do Azure Lighthouse. Tento proces připojování se dá provést buď prostřednictvím šablon Azure Resource Manager , nebo publikováním veřejné nebo soukromé nabídky k Azure Marketplace.

Podle toho, jakou metodu připojování zvolíte, budete muset definovat autorizaci. Každé autorizaci Určuje principalId , který bude mít přístup k delegovaným prostředkům, a předdefinovanou roli, která nastaví oprávnění, která budou mít tito uživatelé pro tyto prostředky. Tento principalId definuje uživatele, skupinu nebo instanční objekt služby Azure AD ve správě tenanta.

Poznámka

Pokud explicitně neurčíte, odkazy na uživatele v dokumentaci ke službě Azure Lighthouse se můžou vztahovat na uživatele, skupiny nebo instanční objekty služby Azure AD v rámci autorizace.

Osvědčené postupy pro definování uživatelů a rolí

Při vytváření autorizací doporučujeme následující osvědčené postupy:

  • Ve většině případů budete chtít přiřadit oprávnění k skupině uživatelů nebo instančnímu objektu služby Azure AD, a ne k řadě jednotlivých uživatelských účtů. To vám umožní přidat nebo odebrat přístup pro jednotlivé uživatele bez nutnosti aktualizace a opětovného publikování plánu, když se změní vaše požadavky na přístup.
  • Nezapomeňte postupovat podle principu minimálního oprávnění, aby uživatelé měli jenom oprávnění potřebná k dokončení své úlohy, což pomáhá snižovat pravděpodobnost neúmyslného výskytu chyb. Další informace najdete v tématu Doporučené postupy zabezpečení.
  • Zahrňte uživatele s přiřazením registrace spravovaných služeb odstranit roli , abyste mohli později v případě potřeby Odebrat přístup k delegování . Pokud tato role není přiřazená, delegované prostředky může odebrat jenom uživatel v tenantovi zákazníka.
  • Ujistěte se, že všichni uživatelé, kteří potřebují Zobrazit stránku Moji zákazníci v Azure Portal , mají roli Čtenář (nebo jinou předdefinovanou roli, která zahrnuje přístup ke čtenářům).

Důležité

Aby bylo možné přidat oprávnění pro skupinu Azure AD, musí být typ skupiny nastavený na zabezpečení. Tato možnost je vybrána při vytváření skupiny. Další informace najdete v tématu Vytvoření základní skupiny a přidání členů pomocí Azure Active Directory.

Podpora rolí pro Azure Lighthouse

Při definování autorizace musí být každému uživatelskému účtu přiřazená jedna z předdefinovaných rolí Azure. Vlastní role a role správců pro klasický odběr nejsou podporovány.

Všechny předdefinované role jsou v současné době podporované pomocí Azure Lighthouse, s následujícími výjimkami:

Poznámka

Po přidání nové příslušné předdefinované role do Azure ji můžete přiřadit při připojování zákazníka pomocí Azure Resource Manager šablon. Aby byla nově přidaná role k dispozici v partnerském centru při publikování nabídky spravované služby, může dojít ke zpoždění.

Přenos delegovaných předplatných mezi klienty Azure AD

Pokud je předplatné přenesené na jiný účet tenanta Azure AD, zachová se prostředky definice registrace a přiřazení registrace vytvořené prostřednictvím procesu registrace do Azure Lighthouse . To znamená, že přístup udělený prostřednictvím Azure Lighthouse ke správě tenantů zůstane v platnosti pro toto předplatné (nebo pro delegované skupiny prostředků v rámci tohoto předplatného).

Jedinou výjimkou je případ, kdy se předplatné přenáší do tenanta služby Azure AD, na který byl dřív delegovaný. V takovém případě se prostředky delegování pro tohoto tenanta odeberou a přístup udělený prostřednictvím Azure Lighthouse už nebude platit, protože předplatné teď patří přímo do tohoto tenanta (místo toho je delegované přes Azure Lighthouse). Pokud by ale toto předplatné bylo taky delegované na jiné klienty pro správu, ostatní uživatelé se správou klientů budou mít stejný přístup k předplatnému.

Další kroky