Tenanti, uživatelé a role ve scénářích Azure Lighthouse

Před onboardingem zákazníků pro Azure Lighthouse je důležité pochopit, jak fungují tenanti, uživatelé a role Microsoftu Entra a jak je můžete používat ve scénářích Azure Lighthouse.

Tenant je vyhrazená a důvěryhodná instance ID Microsoft Entra. Každý tenant obvykle představuje jednu organizaci. Azure Lighthouse umožňuje logickou projekci prostředků z jednoho tenanta do jiného tenanta. To umožňuje uživatelům ve správě tenanta (například jednoho patřícího poskytovateli služeb) přistupovat k delegovaným prostředkům v tenantovi zákazníka nebo umožňuje podnikům s více tenanty centralizovat operace správy.

Aby bylo možné tuto logickou projekci dosáhnout, musí být předplatné (nebo jedna nebo více skupin prostředků v rámci předplatného) v tenantovi zákazníka nasazené do služby Azure Lighthouse. Tento proces onboardingu je možné provést buď prostřednictvím šablon Azure Resource Manageru, nebo publikováním veřejné nebo privátní nabídky na Azure Marketplace.

U obou metod onboardingu budete muset definovat autorizace. Každá autorizace zahrnuje principalId (uživatele Microsoft Entra, skupinu nebo instanční objekt v tenantovi pro správu) v kombinaci s předdefinovanou rolí, která definují konkrétní oprávnění, která budou udělena pro delegované prostředky.

Poznámka:

Pokud není výslovně uvedeno, můžou odkazy na uživatele v dokumentaci ke službě Azure Lighthouse platit pro uživatele, skupinu nebo instanční objekt Microsoftu v autorizaci.

Osvědčené postupy pro definování uživatelů a rolí

Při vytváření autorizací doporučujeme následující osvědčené postupy:

• Ve většině případů budete chtít přiřadit oprávnění skupině uživatelů nebo instančnímu objektu Microsoft Entra, nikoli k řadě jednotlivých uživatelských účtů. To vám umožní přidávat nebo odebírat přístup pro jednotlivé uživatele prostřednictvím ID Microsoft Entra vašeho tenanta, a nemusíte aktualizovat delegování pokaždé, když se změní požadavky na individuální přístup.
• Dodržujte zásadu nejnižších oprávnění, aby uživatelé měli oprávnění potřebná pouze k dokončení své úlohy, což pomáhá snížit riziko neúmyslných chyb. Další informace najdete v tématu Doporučené postupy zabezpečení.
• Přiřazovat autorizaci k roli Odstranění přiřazení registrace spravovaných služeb, abyste mohli později v případě potřeby odebrat přístup k delegování . Pokud tato role není přiřazená, může přístup k delegovaným prostředkům odebrat jenom uživatel v tenantovi zákazníka.
• Ujistěte se, že každý uživatel, který potřebuje zobrazit stránku Moji zákazníci na webu Azure Portal , má roli Čtenář (nebo jinou integrovanou roli, která zahrnuje přístup čtenáře).

Důležité

Chcete-li přidat oprávnění pro skupinu Microsoft Entra, musí být typ skupiny nastaven na zabezpečení. Tato možnost je vybrána při vytvoření skupiny. Další informace naleznete v tématu Vytvoření základní skupiny a přidání členů pomocí Microsoft Entra ID.

Podpora rolí pro Azure Lighthouse

Při definování autorizace musí být každému uživatelskému účtu přiřazena jedna z předdefinovaných rolí Azure. Vlastní role a klasické role správce předplatného se nepodporují.

Azure Lighthouse v současné době podporuje všechny předdefinované role s následujícími výjimkami:

• Role Vlastník není podporována.

• Role User Access Správa istrator je podporovaná, ale pouze pro omezený účel přiřazování rolí spravované identitě v tenantovi zákazníka. Nebudou platit žádná další oprávnění, která tato role obvykle uděluje. Pokud definujete uživatele s touto rolí, musíte také určit role, které může tento uživatel přiřadit ke spravovaným identitám.

• Žádné role s oprávněními DataActions nejsou podporovány.

• Role, které zahrnují některou z následujících akcí , se nepodporují:

  • */Zápis
  • */Odstranit
  • Microsoft.Authorization/*
  • Microsoft.Authorization/*/write
  • Microsoft.Authorization/*/delete
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete
  • Microsoft.Authorization/roleDefinitions/write
  • Microsoft.Authorization/roleDefinitions/delete
  • Microsoft.Authorization/classic Správa istrators/write
  • Microsoft.Authorization/classic Správa istrators/delete
  • Microsoft.Authorization/locks/write
  • Microsoft.Authorization/locks/delete
  • Microsoft.Authorization/denyAssignments/write
  • Microsoft.Authorization/denyAssignments/delete

Důležité

Při přiřazování rolí nezapomeňte zkontrolovat akce zadané pro každou roli. V některých případech, i když nejsou podporované role s oprávněním DataActions , můžou akce zahrnuté v roli umožnit přístup k datům, kde jsou data zpřístupněna prostřednictvím přístupových klíčů a nejsou přístupná prostřednictvím identity uživatele. Role Přispěvatel virtuálních počítačů například zahrnuje Microsoft.Storage/storageAccounts/listKeys/action akci, která vrací přístupové klíče účtu úložiště, které se dají použít k načtení určitých zákaznických dat.

V některých případech může být role, kterou služba Azure Lighthouse dříve podporovala, nedostupná. Pokud DataActions je například oprávnění přidáno do role, která dříve toto oprávnění neměla, tato role se už nedá použít při připojování nových delegování. Uživatelé, kteří už měli přiřazenou roli, budou moct dál pracovat na dříve delegovaných prostředcích, ale nebudou moct provádět úlohy, které oprávnění používají DataActions .

Jakmile se do Azure přidá nová použitelná předdefinovaná role, můžete ji přiřadit při připojování zákazníka pomocí šablon Azure Resource Manageru. Před zpřístupněním nově přidané role v Partnerském centru při publikování nabídky spravovaných služeb může dojít ke zpoždění. Podobně platí, že pokud se role stane nedostupnou, může se ještě nějakou dobu zobrazit v Partnerském centru; Nebudete ale moct publikovat nové nabídky pomocí těchto rolí.

Převod delegovaných předplatných mezi tenanty Microsoft Entra

Pokud se předplatné převede na jiný účet tenanta Microsoft Entra, zachovají se prostředky definice registrace a přiřazení registrace vytvořené prostřednictvím procesu onboardingu služby Azure Lighthouse. To znamená, že přístup udělený prostřednictvím Služby Azure Lighthouse pro správu tenantů zůstává pro toto předplatné (nebo pro delegovaná skupiny prostředků v rámci tohoto předplatného).

Jedinou výjimkou je, že se předplatné přenese do tenanta Microsoft Entra, do kterého bylo dříve delegováno. V tomto případě se prostředky delegování pro tohoto tenanta odeberou a přístup udělený prostřednictvím služby Azure Lighthouse už neplatí, protože předplatné teď patří přímo k tomuto tenantovi (nikoli k němu delegováno prostřednictvím Azure Lighthouse). Pokud se ale toto předplatné delegovalo také na jiné spravované tenanty, tyto ostatní spravované tenanty si zachovají stejný přístup k předplatnému.

Další kroky

• Seznamte se s doporučenými postupy zabezpečení pro Azure Lighthouse.
• Připojte zákazníky ke službě Azure Lighthouse, a to buď pomocí šablon Azure Resource Manageru, nebo publikováním nabídky privátních nebo veřejných spravovaných služeb na Azure Marketplace.