Penyewa, pengguna, dan peran dalam skenario Azure Lighthouse

Sebelum onboarding pelanggan untuk Azure Lighthouse, penting untuk memahami cara kerja penyewa, pengguna, dan peran Microsoft Entra, dan bagaimana mereka dapat digunakan dalam skenario Azure Lighthouse.

Penyewa adalah instans khusus dan tepercaya dari ID Microsoft Entra. Biasanya, masing-masing penyewa mewakili satu organisasi. Azure Lighthouse memungkinkan proyeksi logis sumber daya dari satu penyewa ke penyewa lain. Hal ini memungkinkan pengguna dalam penyewa pengelola (seperti milik penyedia layanan) untuk mengakses sumber daya yang didelegasikan dalam penyewa pelanggan, atau memungkinkan perusahaan dengan beberapa penyewa memusatkan operasi manajemen mereka.

Untuk mencapai proyeksi logis ini, langganan (atau satu atau beberapa grup sumber daya dalam langganan) di penyewa pelanggan harus disetorkan ke Azure Lighthouse. Proses onboarding ini dapat dilakukan baik melalui templat Azure Resource Manager atau dengan menerbitkan penawaran publik atau privat ke Marketplace Azure.

Dengan salah satu metode onboarding, Anda harus menentukan otorisasi. Setiap otorisasi mencakup principalId (pengguna, grup, atau perwakilan layanan Microsoft Entra dalam penyewa pengelola) yang dikombinasikan dengan peran bawaan yang menentukan izin tertentu yang akan diberikan untuk sumber daya yang didelegasikan.

Catatan

Kecuali ditentukan secara eksplisit, referensi ke "pengguna" dalam dokumentasi Azure Lighthouse dapat berlaku untuk pengguna, grup, atau perwakilan layanan Microsoft Entra dalam otorisasi.

Praktik terbaik untuk mendefinisikan pengguna dan peran

Saat membuat otorisasi Anda, kami menyarankan praktik terbaik berikut:

• Dalam kebanyakan kasus, Anda mungkin ingin menetapkan izin ke grup pengguna atau perwakilan layanan Microsoft Entra, bukan ke serangkaian akun pengguna individual. Ini memungkinkan Anda menambahkan atau menghapus akses untuk pengguna individual melalui ID Microsoft Entra penyewa Anda, daripada harus memperbarui delegasi setiap kali persyaratan akses individual Anda berubah.
• Pastikan untuk mengikuti prinsip hak istimewa paling sedikit sehingga pengguna hanya memiliki izin yang diperlukan untuk menyelesaikan pekerjaan, hal ini membantu mengurangi kemungkinan kesalahan yang tidak disengaja. Untuk mengetahui informasi selengkapnya, lihat Praktik keamanan yang disarankan.
• Sertakan otorisasi dengan Peran untuk Menghapus Penetapan Pendaftaran Layanan Terkelola sehingga Anda dapat menghapus akses ke delegasi nanti jika diperlukan. Jika peran ini tidak ditetapkan, akses ke sumber daya yang didelegasikan hanya dapat dihapus oleh pengguna di penyewa pelanggan.
• Pastikan bahwa setiap pengguna yang perlu melihat halaman Pelanggan saya di portal Azure memiliki peran Pembaca (atau peran bawaan lain yang menyertakan akses Pembaca).

Penting

Untuk menambahkan izin untuk grup Microsoft Entra, jenis Grup harus diatur ke Keamanan. Opsi ini dipilih saat grup dibuat. Untuk informasi selengkapnya, lihat Membuat grup dasar dan menambahkan anggota menggunakan ID Microsoft Entra.

Dukungan peran untuk Azure Lighthouse

Saat Anda menentukan otorisasi, setiap akun pengguna harus diberi salah satu peran bawaan Azure. Peran kustom dan peran administrator langganan klasik tidak didukung.

Semua peran bawaan saat ini didukung dengan Azure Lighthouse, dengan pengecualian berikut:

• Peran Pemilik tidak didukung.

• Peran Administrator Akses Pengguna didukung, tetapi hanya untuk tujuan terbatas menetapkan peran ke identitas terkelola di penyewa pelanggan. Tidak ada izin lain yang biasanya diberikan oleh peran ini yang akan berlaku. Jika Anda menentukan pengguna dengan peran ini, Anda juga harus menentukan peran yang dapat ditetapkan pengguna ini ke identitas terkelola.

• Peran apa pun dengan DataActions izin tidak didukung.

• Peran yang menyertakan salah satu tindakan berikut tidak didukung:

  • */Menulis
  • */hapus
  • Microsoft.Authorization/*
  • Microsoft.Authorization/*/write
  • Microsoft.Authorization/*/delete
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete
  • Microsoft.Authorization/roleDefinitions/write
  • Microsoft.Authorization/roleDefinitions/delete
  • Microsoft.Authorization/classicAdministrators/write
  • Microsoft.Authorization/classicAdministrators/delete
  • Microsoft.Authorization/locks/write
  • Microsoft.Authorization/locks/delete
  • Microsoft.Authorization/denyAssignments/write
  • Microsoft.Authorization/denyAssignments/delete

Penting

Saat menetapkan peran, pastikan untuk meninjau tindakan yang ditentukan untuk setiap peran. Dalam beberapa kasus, meskipun peran dengan DataActions izin tidak didukung, tindakan yang disertakan dalam peran dapat memungkinkan akses ke data, di mana data diekspos melalui kunci akses dan tidak diakses melalui identitas pengguna. Misalnya, peran Kontributor Komputer Virtual menyertakan Microsoft.Storage/storageAccounts/listKeys/action tindakan, yang mengembalikan kunci akses akun penyimpanan yang dapat digunakan untuk mengambil data pelanggan tertentu.

Dalam beberapa kasus, peran yang sebelumnya didukung dengan Azure Lighthouse mungkin menjadi tidak tersedia. Misalnya, jika izin DataActions ditambahkan ke peran yang sebelumnya tidak memiliki izin tersebut, peran tersebut tidak dapat lagi digunakan saat onboarding delegasi baru. Pengguna yang perannya telah ditetapkan tetap dapat mengerjakan sumber daya yang didelegasikan sebelumnya, tetapi mereka tidak akan dapat melakukan tugas yang menggunakan izin DataActions tersebut.

Segera setelah peran bawaan baru yang berlaku ditambahkan ke Azure, peran tersebut dapat ditetapkan saat onboarding pelanggan menggunakan templat Azure Resource Manager. Mungkin ada penundaan sebelum peran yang baru ditambahkan tersedia di Pusat Mitra saat menerbitkan penawaran layanan terkelola. Demikian pula, jika peran menjadi tidak tersedia, Anda mungkin masih melihatnya di Pusat Mitra untuk sementara waktu; namun, Anda tidak akan dapat menerbitkan penawaran baru menggunakan peran tersebut.

Mentransfer langganan yang didelegasikan antara penyewa Microsoft Entra

Jika langganan ditransfer ke akun penyewa Microsoft Entra lain, definisi pendaftaran dan sumber daya penetapan pendaftaran yang dibuat melalui proses onboarding Azure Lighthouse dipertahankan. Ini berarti bahwa akses yang diberikan melalui Azure Lighthouse untuk mengelola penyewa tetap berlaku untuk langganan tersebut (atau untuk grup sumber daya yang didelegasikan dalam langganan tersebut).

Satu-satunya pengecualian adalah jika langganan ditransfer ke penyewa Microsoft Entra yang sebelumnya telah didelegasikan. Dalam hal ini, sumber daya delegasi untuk penyewa tersebut dihapus dan akses yang diberikan melalui Azure Lighthouse tidak lagi berlaku, karena langganan sekarang milik langsung penyewa tersebut (daripada didelegasikan melalui Azure Lighthouse). Namun, jika langganan tersebut juga didelegasikan ke penyewa pengelola lain, penyewa pengelola lainnya akan mempertahankan akses yang sama ke langganan.

Langkah berikutnya

• Pelajari tentang praktik keamanan yang disarankan untuk Azure Lighthouse.
• Orientasikan pelanggan Anda ke Azure Lighthouse, baik dengan menggunakan templat Azure Resource Manager atau dengan menerbitkan penawaran layanan pribadi atau publik yang dikelola ke Azure Marketplace.