Inquilinos, roles y usuarios en escenarios de Azure LighthouseTenants, roles, and users in Azure Lighthouse scenarios

Antes de incorporar clientes para la administración de recursos delegados de Azure, es importante comprender cómo funcionan los inquilinos, los usuarios y los roles de Azure Active Directory (Azure AD), así como la forma en que se pueden usar en escenarios de Azure Lighthouse.Before onboarding customers for Azure delegated resource management, it's important to understand how Azure Active Directory (Azure AD) tenants, users, and roles work, as well as how they can be used in Azure Lighthouse scenarios.

Un inquilino es una instancia dedicada y de confianza de Azure AD.A tenant is a dedicated and trusted instance of Azure AD. Normalmente, cada inquilino representa una organización individual.Typically, each tenant represents a single organization. La administración de recursos delegados de Azure permite la proyección lógica de recursos de un inquilino a otro.Azure delegated resource management enables logical projection of resources from one tenant to another tenant. Esto permite a los usuarios del inquilino de administración (por ejemplo, uno perteneciente a un proveedor de servicios) acceder a los recursos delegados en el inquilino de un cliente, o bien permite que las empresas con varios inquilinos centralicen sus operaciones de administración.This allows users in the managing tenant (such as one belonging to a service provider) to access delegated resources in a customer's tenant, or lets enterprises with multiple tenants centralize their management operations.

Para lograr esta proyección lógica, una suscripción (o uno o varios grupos de recursos dentro de una suscripción) en el inquilino del cliente debe estar incorporada para la administración de recursos delegados de Azure.In order to achieve this logical projection, a subscription (or one or more resource groups within a subscription) in the customer tenant must be onboarded for Azure delegated resource management. Este proceso de incorporación puede realizarse a través de plantillas de Azure Resource Manager o mediante la publicación de una oferta pública o privada en Azure Marketplace.This onboarding process can be done either through Azure Resource Manager templates or by publishing a public or private offer to Azure Marketplace.

Sea cual sea el método de incorporación que elija, tendrá que definir las autorizaciones.Whichever onboarding method you choose, you will need to define authorizations. Cada autorización especifica una cuenta de usuario en el inquilino de administración que tendrá acceso a los recursos delegados y a un rol integrado que establece los permisos que cada uno de estos usuarios tendrá en relación con estos recursos.Each authorization specifies a user account in the managing tenant which will have access to the delegated resources, and a built-in role that sets the permissions that each of these users will have for these resources.

Compatibilidad con los roles para la administración de recursos delegados de AzureRole support for Azure delegated resource management

Al definir una autorización, cada cuenta de usuario debe tener asignado uno de los roles integrados para control de acceso basado en roles (RBAC).When defining an authorization, each user account must be assigned one of the role-based access control (RBAC) built-in roles. No se admiten los roles personalizados ni los roles de administrador de suscripciones clásicas.Custom roles and classic subscription administrator roles are not supported.

Todos los roles integrados son compatibles actualmente con la administración de recursos delegados de Azure, con las siguientes excepciones:All built-in roles are currently supported with Azure delegated resource management, with the following exceptions:

Prácticas recomendadas para definir usuarios y rolesBest practices for defining users and roles

Para crear las autorizaciones, se recomiendan las siguientes prácticas recomendadas:When creating your authorizations, we recommend the following best practices:

  • En la mayoría de los casos, querrá asignar permisos a una entidad de servicio o un grupo de usuarios de Azure AD, en lugar de a una serie de cuentas de usuario individuales.In most cases, you'll want to assign permissions to an Azure AD user group or service principal, rather than to a series of individual user accounts. Esto le permite agregar o quitar el acceso de usuarios individuales sin tener que actualizar y volver a publicar el plan cuando cambien los requisitos de acceso.This lets you add or remove access for individual users without having to update and republish the plan when your access requirements change.
  • Asegúrese de seguir el principio de privilegios mínimos para que los usuarios solo tengan los permisos necesarios para completar su trabajo, lo que ayuda a reducir la posibilidad de errores involuntarios.Be sure to follow the principle of least privilege so that users only have the permissions needed to complete their job, helping to reduce the chance of inadvertent errors. Para obtener más información, consulte Recommended security practices (Prácticas de seguridad recomendadas).For more info, see Recommended security practices.
  • Incluya un usuario con el rol de eliminación de asignaciones de registro de los servicios administrados para que pueda quitar el acceso a la delegación posteriormente si es necesario.Include a user with the Managed Services Registration Assignment Delete Role so that you can remove access to the delegation later if needed. Si este rol no está asignado, solo un usuario puede quitar los recursos delegados del inquilino del cliente.If this role is not assigned, delegated resources can only be removed by a user in the customer's tenant.
  • Asegúrese de que todos los usuarios que necesiten ver la página Mis clientes en Azure Portal tengan el rol de Lector (u otro rol integrado que incluya acceso de lectura).Be sure that any user who needs to view the My customers page in the Azure portal has the Reader role (or another built-in role which includes Reader access).

Pasos siguientesNext steps