Vytvoření oprávněných autorizací

  • Článek
  • 8 min ke čtení

Při připojování zákazníků do Azure Lighthouse vytvoříte autorizaci pro udělení zadaných předdefinovaných rolí Azure uživatelům ve správě tenanta. můžete také vytvořit opravňující autorizaci, která používá Azure Active Directory (Azure AD) Privileged Identity Management (PIM) , aby uživatelé ve vaší organizaci mohli dočasně zvýšit jejich roli. To vám umožní udělit další oprávnění na základě za běhu, aby uživatelé měli oprávnění pouze k nastavené době trvání.

Vytváření oprávněných autorizací umožňuje minimalizovat počet trvalých přiřazení uživatelů k privilegovaným rolím, což pomáhá snižovat rizika zabezpečení související s privilegovaným přístupem uživatelů ve vašem tenantovi.

Toto téma vysvětluje, jak oprávněná autorizace funguje a jak je vytvořit při připojování zákazníka k Azure Lighthouse.

Důležité

Oprávněná autorizace jsou momentálně ve verzi Public Preview. Tato verze Preview se poskytuje bez smlouvy o úrovni služeb a nedoporučuje se pro úlohy v produkčním prostředí. Některé funkce se nemusí podporovat nebo mohou mít omezené možnosti. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.

Licenční požadavky

vytváření oprávněných autorizací vyžaduje Enterprise Mobility + Security E5 (EMS E5) nebo Azure AD Premium P2 licenci. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si porovnání obecně dostupných funkcí edic Free, Basic a Premium.

licenci na EMS E5 nebo Azure AD Premium P2 musí uchovávat tenant, nikoli tenant zákazníka.

Veškeré dodatečné náklady spojené s oprávněnou rolí budou platit jenom během období, kdy uživatel bude mít přístup k této roli.

Informace o licencích pro uživatele najdete v tématu licenční požadavky pro použití Privileged Identity Management.

Jak oprávněná autorizace funguje

Opravňující autorizace definuje přiřazení role, které vyžaduje, aby uživatel aktivoval roli, když potřebují provádět privilegované úlohy. Když aktivuje oprávněnou roli, budou mít po zadanou dobu plný přístup udělený touto rolí.

Uživatelé v tenantovi zákazníka můžou před procesem registrace zkontrolovat všechna přiřazení rolí, včetně těch v oprávněných autorizacích.

Jakmile uživatel úspěšně aktivuje oprávněnou roli, bude tato role mít zvýšenou roli v delegovaném oboru pro předem nakonfigurované časové období kromě jejich trvalých přiřazení rolí pro daný obor.

správci ve spravovaném tenantovi mohou kontrolovat všechny aktivity Privileged Identity Management zobrazením protokolu auditu v tenantovi správa. Zákazníci si můžou tyto akce zobrazit v protokolu aktivit Azure pro delegované předplatné.

Opravňující autorizační prvky

Můžete vytvořit opravňující autorizaci při připojování zákazníků pomocí šablon Azure Resource Manager nebo publikováním nabídky spravované služby Azure Marketplace. Každá oprávněná autorizace musí zahrnovat tři prvky: uživatel, role a zásady přístupu.

Uživatel

Pro každou oprávněnou autorizaci zadejte hlavní ID pro jednotlivé uživatele nebo skupiny Azure AD ve správě tenanta. Spolu s ID objektu zabezpečení musíte zadat zobrazovaný název pro každou autorizaci.

Pokud je skupina k dispozici v oprávněné autorizaci, všichni členové této skupiny budou moci zvýšit svůj vlastní individuální přístup k této roli na základě zásad přístupu.

S instančními objekty nemůžete použít opravňující autorizaci, protože účet instančního objektu momentálně nijak nezvyšuje přístup a využívá oprávněnou roli. Nemůžete také použít opravňující autorizaci s delegatedRoleDefinitionIds tím, že správce přístupu uživatele může přiřazovat ke spravovaným identitám.

Poznámka

Pro každou opravňující autorizaci Nezapomeňte také vytvořit trvalou (aktivní) autorizaci pro stejné ID objektu zabezpečení s jinou rolí, jako je čtenář (nebo jiná integrovaná role Azure, která zahrnuje přístup ke čtenářům). Pokud nezadáte trvalé autorizaci s přístupem ke čtenářům, uživatel nebude moci zvýšit úroveň role v Azure Portal.

Role

Každá oprávněná autorizace musí zahrnovat integrovanou roli Azure , kterou bude mít uživatel nárok na použití na základě za běhu.

Role může být libovolná integrovaná role Azure, která je podporovaná pro správu delegovaných prostředků Azure, s výjimkou správce uživatelského přístupu.

Důležité

Pokud zahrnete více opravňujících autorizací, které používají stejnou roli, musí mít každé z oprávněných autorizací stejné nastavení zásad přístupu.

Zásady přístupu

Zásady přístupu definují vícefaktorové požadavky na ověření, dobu, po kterou bude uživatel v roli aktivován, než vyprší jeho platnost, a zda jsou vyžadováni schvalovatelé.

Vícefaktorové ověřování

Určete, jestli se má v případě, že chcete aktivovat oprávněnou roli, vyžadovat Multi-Factor Authentication služby Azure AD .

Maximální doba trvání

Zadejte celkovou dobu, po kterou bude mít uživatel oprávněnou roli. Minimální hodnota je 30 minut a maximum je 8 hodin.

Schvalovatelé

Element schvalovatelé je nepovinný. Pokud ho zadáte, můžete zadat až deset uživatelů nebo skupin uživatelů ve správě tenanta, kteří můžou schvalovat nebo odmítat žádosti uživatelů o aktivaci oprávněné role.

Jako schvalovatele nemůžete použít hlavní účet služby. Schvalovatelé taky nemůžou schvalovat svůj vlastní přístup; Pokud je schvalovatel také zahrnut jako uživatel v oprávněné autorizaci, bude muset jiný schvalovatel udělit přístup, aby mohl zvýšit jejich roli.

Pokud žádné schvalovatele nezahrnete, uživatel bude moci aktivovat oprávněnou roli, kdykoli si zvolí.

Vytváření oprávněných autorizací pomocí nabídek spravovaných služeb

Pokud chcete začlenit zákazníka do Azure Lighthouse, můžete publikovat nabídky spravovaných služeb na Azure Marketplace. Při vytváření nabídek v partnerském centruteď můžete určit, jestli má být typ přístupu pro každé autorizaci aktivní nebo způsobilý.

Když vyberete možnost oprávněný, uživatel v autorizaci bude moci roli aktivovat v závislosti na zásadách přístupu, které nakonfigurujete. Je nutné nastavit maximální dobu mezi 30 minutami a 8 hodinami a určit, zda budete vyžadovat Azure vícefaktorového ověřování. Pokud se rozhodnete je použít, můžete také přidat až 10 schvalovatelů, a to tak, že pro každé z nich zadáte zobrazované jméno a ID objektu zabezpečení.

Nezapomeňte si projít podrobnosti v části opravňující autorizační prvky při konfiguraci oprávněných autorizací v partnerském centru.

Vytvoření oprávněných autorizací pomocí šablon Azure Resource Manager

Pokud chcete začlenit zákazníka do Azure Lighthouse, použijte šablonu Azure Resource Manager spolu s odpovídajícím souborem parametrů , který upravíte. Šablona, kterou zvolíte, bude záviset na tom, jestli se chystáte zaregistrovat celé předplatné, skupinu prostředků nebo několik skupin prostředků v rámci předplatného.

Pokud chcete při registraci zákazníka zahrnout oprávněné autorizace, použijte jednu ze šablon z části delegované-Resource-Management-opravňující-authorizationes v našem úložišti ukázek. Poskytujeme šablony s přidanými schvalovateli a, abyste mohli používat ten, který nejlépe vyhovuje vašemu scénáři.

Postup připojení (s oprávněnými autorizacemi) Použít tuto šablonu Azure Resource Manager A upravit tento soubor parametrů
Předplatné subscription.jsna subscription.parameters.jsna
Předplatné (se schvalovateli) subscription-managing-tenant-approvers.jsna subscription-managing-tenant-approvers.parameters.jsna
Skupina prostředků rg.jsna rg.parameters.jsna
Skupina prostředků (s schvalovateli) rg-managing-tenant-approvers.jsna rg-managing-tenant-approvers.parameters.jsna
Více skupin prostředků v předplatném multiple-rg.jsna multiple-rg.parameters.jsna
Několik skupin prostředků v rámci předplatného (s schvalovateli) multiple-rg-managing-tenant-approvers.jsna multiple-rg-managing-tenant-approvers.parameters.jsna

Níže je uveden subscription-managing-tenant-approvers.jsv šabloně, která se dá použít k zaregistrování předplatného s oprávněnými autorizacemi (včetně schvalovatelů).

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/subscriptionDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "type": "string",
            "metadata": {
                "description": "Specify a unique name for your offer"
            }
        },
        "mspOfferDescription": {
            "type": "string",
            "metadata": {
                "description": "Name of the Managed Service Provider offering"
            }
        },
        "managedByTenantId": {
            "type": "string",
            "metadata": {
                "description": "Specify the tenant id of the Managed Service Provider"
            }
        },
        "authorizations": {
            "type": "array",
            "metadata": {
                "description": "Specify an array of objects, containing tuples of Azure Active Directory principalId, a Azure roleDefinitionId, and an optional principalIdDisplayName. The roleDefinition specified is granted to the principalId in the provider's Active Directory and the principalIdDisplayName is visible to customers."
            }
        },
        "eligibleAuthorizations": {
            "type": "array",
            "metadata": {
                "description": "Provide the authorizations that will have just-in-time role assignments on customer environments with support for approvals from the managing tenant"
            }
        }
    },
        "variables": {
            "mspRegistrationName": "[guid(parameters('mspOfferName'))]",
            "mspAssignmentName": "[guid(parameters('mspOfferName'))]"
        },
        "resources": [
            {
                "type": "Microsoft.ManagedServices/registrationDefinitions",
                "apiVersion": "2020-02-01-preview",
                "name": "[variables('mspRegistrationName')]",
                "properties": {
                    "registrationDefinitionName": "[parameters('mspOfferName')]",
                    "description": "[parameters('mspOfferDescription')]",
                    "managedByTenantId": "[parameters('managedByTenantId')]",
                    "authorizations": "[parameters('authorizations')]",
                    "eligibleAuthorizations": "[parameters('eligibleAuthorizations')]"
                }
            },
            {
                "type": "Microsoft.ManagedServices/registrationAssignments",
                "apiVersion": "2020-02-01-preview",
                "name": "[variables('mspAssignmentName')]",
                "dependsOn": [
                    "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
                ],
                "properties": {
                    "registrationDefinitionId": "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
                }
            }
        ],
        "outputs": {
            "mspOfferName": {
                "type": "string",
                "value": "[concat('Managed by', ' ', parameters('mspOfferName'))]"
            },
            "authorizations": {
                "type": "array",
                "value": "[parameters('authorizations')]"
            },
            "eligibleAuthorizations": {
                "type": "array",
                "value": "[parameters('eligibleAuthorizations')]"
            }
        }
    }

Definování oprávněných autorizací v souboru parametrů

Pro definování autorizací, včetně oprávněných autorizací, se při připojování předplatného dá použít Ukázková šablonasubscription-managing-tenant-approvers.Parameters.js .

Každá z vašich oprávněných autorizací musí být definovaná v eligibleAuthorizations parametru. Tento příklad zahrnuje jednu oprávněnou autorizaci.

Tato šablona také obsahuje managedbyTenantApprovers element, který přidá, principalId který bude nutné ke schválení všech pokusů o aktivaci oprávněných rolí, které jsou definovány v eligibleAuthorizations elementu.

{
    "$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "value": "Relecloud Managed Services"
        },
        "mspOfferDescription": {
            "value": "Relecloud Managed Services"
        },
        "managedByTenantId": {
            "value": "<insert the managing tenant id>"
        },
        "authorizations": {
            "value": [
                { 
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
                    "principalIdDisplayName": "PIM group"
                }
            ]
        }, 
        "eligibleAuthorizations":{
            "value": [
                {
                        "justInTimeAccessPolicy": {
                            "multiFactorAuthProvider": "Azure",
                            "maximumActivationDuration": "PT8H",
                            "managedByTenantApprovers": [ 
                                { 
                                    "principalId": "00000000-0000-0000-0000-000000000000", 
                                    "principalIdDisplayName": "PIM-Approvers" 
                                } 
                            ]
                        },
                        "principalId": "00000000-0000-0000-0000-000000000000", 
                        "principalIdDisplayName": "Tier 2 Support",
                        "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"

                }
            ]
        }
    }
}

Každá položka v eligibleAuthorizations parametru obsahuje tři prvky , které definují oprávněnou autorizaci: principalId , roleDefinitionId a justInTimeAccessPolicy .

principalId Určuje ID uživatele nebo skupiny Azure AD, pro kterou bude tato oprávněná autorizace platit.

roleDefinitionId obsahuje ID definice role pro předdefinovanou roli Azure , které bude mít uživatel nárok na použití na základě za běhu. Pokud zahrnete více oprávněných autorizačních oprávnění, která používají stejné roleDefinitionId , musí mít každý z nich stejné nastavení pro justInTimeAccessPolicy .

justInTimeAccessPolicy Určuje tři prvky:

  • multiFactorAuthProvider může být nastavená na Azure, která bude vyžadovat ověřování pomocí služby azure AD Multi-Factor Authentication, nebo na žádné , pokud se nevyžaduje žádné vícefaktorové ověřování.
  • maximumActivationDuration Nastaví celkovou dobu, po kterou bude mít uživatel oprávněnou roli. Tato hodnota musí používat formát doby trvání ISO 8601. Minimální hodnota je PT30M (30 minut) a maximální hodnota je PT8H (8 hodin). Pro zjednodušení doporučujeme používat hodnoty pouze v půlhodinových přírůstcích (například PT6H po dobu 6 hodin nebo PT6H30M po dobu 6,5 hodiny).
  • Parametr managedByTenantApprovers je volitelný. Pokud ho zahrníte, musí obsahovat jednu nebo více kombinací principalId a principalIdDisplayName, které budou požadováno ke schválení jakékoli aktivace oprávněné role.

Další podrobnosti o těchto prvcích najdete výše v části Oprávněné autorizační prvky.

Proces zvýšení oprávnění pro uživatele

Po připojení zákazníka k Azure Lighthouse budou všechny oprávněné role, které jste zahrnuli, dostupné zadanému uživateli (nebo uživatelům v jakékoli zadané skupině).

Každý uživatel může kdykoli zvýšit svůj přístup tak, že na stránce Mí zákazníci v Azure Portal, vybere delegování a pak vybere Spravovat oprávněné role. Potom může postupovat podle pokynů k aktivaci role v Azure AD Privileged Identity Management.

Snímek obrazovky s tlačítkem Spravovat oprávněné role v Azure Portal

Pokud jste určili schvalovatelé, uživatel nebude mít k roli přístup, dokud ho neudělí určený schvalovatel. Všichni schvalovateři budou upozorněni na žádost o schválení a uživatel nebude moct používat oprávněnou roli, dokud se schválení neudělí. Jakmile k tomu dojde, schvalovateři budou také upozorněni. Další podrobnosti o schvalovacím procesu najdete v tématu Schválení nebo zamítnutí žádostí pro role prostředků Azure v Privileged Identity Management.

Po aktivaci oprávněné role bude mít uživatel roli po celou dobu určenou v rámci oprávněné autorizace. Po uplynutí tohoto časového období už nebudou moct tuto roli používat, pokud proces zvýšení oprávnění neopakují a znovu nezvýší přístup.

Další kroky