Tenants, gebruikers en rollen in Azure Lighthouse scenario's
Voordat u klanten onboardt voor Azure Lighthouse,is het belangrijk om te begrijpen hoe Azure Active Directory(Azure AD)-tenants, -gebruikers en -rollen werken en hoe ze kunnen worden gebruikt in Azure Lighthouse scenario's.
Een tenant is een toegewezen en vertrouwd exemplaar van Azure AD. Normaal gesproken vertegenwoordigt elke tenant één organisatie. Azure Lighthouse maakt logische projectie van resources van de ene tenant naar een andere tenant mogelijk. Hierdoor hebben gebruikers in de beherende tenant (zoals een tenant die bij een serviceprovider hoort) toegang tot gedelegeerde resources in de tenant van een klant of kunnen ondernemingen met meerdere tenants hun beheerbewerkingen centraliseren.
Als u deze logische projectie wilt bereiken, moet een abonnement (of een of meer resourcegroepen binnen een abonnement) in de tenant van de klant worden onboarding voor Azure Lighthouse. Dit onboardingproces kan worden uitgevoerd via Azure Resource Manager sjablonen of door een openbare of persoonlijke aanbieding te publiceren op Azure Marketplace.
Welke onboardingmethode u ook kiest, u moet autorisaties definiëren. Elke autorisatie geeft een principalId op die toegang heeft tot de gedelegeerde resources en een ingebouwde rol waarmee de machtigingen worden bepaald die elk van deze gebruikers voor deze resources heeft. Deze principalId definieert een Azure AD-gebruiker, -groep of -service-principal in de beherende tenant.
Notitie
Tenzij expliciet opgegeven, kunnen verwijzingen naar een 'gebruiker' in de Azure Lighthouse-documentatie van toepassing zijn op een Azure AD-gebruiker, -groep of -service-principal in een autorisatie.
Best practices voor het definiëren van gebruikers en rollen
Bij het maken van uw autorisaties raden we de volgende best practices aan:
- In de meeste gevallen wilt u machtigingen toewijzen aan een Azure AD-gebruikersgroep of service-principal, in plaats van aan een reeks afzonderlijke gebruikersaccounts. Hiermee kunt u toegang voor afzonderlijke gebruikers toevoegen of verwijderen zonder dat u het abonnement moet bijwerken en opnieuw publiceren wanneer uw toegangsvereisten veranderen.
- Zorg ervoor dat u het principe van de minste bevoegdheden volgt, zodat gebruikers alleen de machtigingen hebben die nodig zijn om hun taak te voltooien, waardoor de kans op onbedoelde fouten wordt verkleind. Zie Aanbevolen beveiligingsprocedures voor meer informatie.
- Neem een gebruiker op met de rol Registratietoewijzing beheerde services verwijderen, zodat u de toegang tot de overdracht later, indien nodig, kunt verwijderen. Als deze rol niet is toegewezen, kunnen gedelegeerde resources alleen worden verwijderd door een gebruiker in de tenant van de klant.
- Zorg ervoor dat elke gebruiker die de pagina Mijn klanten in de Azure Portal moet bekijken, de rol Lezer heeft (of een andere ingebouwde rol die lezerstoegang bevat).
Belangrijk
Als u machtigingen voor een Azure AD-groep wilt toevoegen, moet het groepstype worden ingesteld op Beveiliging. Deze optie wordt geselecteerd wanneer de groep wordt gemaakt. Zie Een basisgroep maken en leden toevoegen met behulp van Azure Active Directory voor meer informatie.
Rolondersteuning voor Azure Lighthouse
Bij het definiëren van een autorisatie moet aan elk gebruikersaccount een van de ingebouwde Azure-rollen worden toegewezen. Aangepaste rollen en klassieke abonnementsbeheerdersrollen worden niet ondersteund.
Alle ingebouwde rollen worden momenteel ondersteund met Azure Lighthouse, met de volgende uitzonderingen:
- De rol Eigenaar wordt niet ondersteund.
- Ingebouwde rollen met dataactions-machtigingen worden niet ondersteund.
- De ingebouwde rol Gebruikerstoegangbeheerder wordt ondersteund, maar alleen voor het beperkte doel om rollen toe te wijzen aan een beheerde identiteit in de tenant van de klant. Andere machtigingen die doorgaans door deze rol worden verleend, zijn niet van toepassing. Als u een gebruiker met deze rol definieert, moet u ook de ingebouwde rol(en) opgeven die deze gebruiker kan toewijzen aan beheerde identiteiten.
Notitie
Zodra een nieuwe toepasselijke ingebouwde rol is toegevoegd aan Azure, kan deze worden toegewezen bij het onboarden van een klant met behulp Azure Resource Manager sjablonen. Er kan een vertraging zijn voordat de zojuist toegevoegde rol beschikbaar komt in Partner Center bij het publiceren van een beheerde-serviceaanbieding.
Gedelegeerde abonnementen overdragen tussen Azure AD-tenants
Als een abonnement wordt overgedragen naar een ander Azure AD-tenantaccount,blijven de resources voor registratiedefinitie en registratietoewijzing die zijn gemaakt via het Azure Lighthouse onboarding-proces behouden. Dit betekent dat toegang die wordt verleend via Azure Lighthouse voor het beheren van tenants van kracht blijft voor dat abonnement (of voor gedelegeerde resourcegroepen binnen dat abonnement).
De enige uitzondering hierop is als het abonnement wordt overgedragen naar een Azure AD-tenant waaraan het eerder is gedelegeerd. In dit geval worden de delegeringsbronnen voor die tenant verwijderd en is de toegang die via Azure Lighthouse wordt verleend, niet meer van toepassing, omdat het abonnement nu rechtstreeks tot die tenant behoort (in plaats van er via een Azure Lighthouse aan te Azure Lighthouse). Als dat abonnement echter ook was gedelegeerd aan andere beherende tenants, behouden die andere beherende tenants dezelfde toegang tot het abonnement.
Volgende stappen
- Meer informatie over aanbevolen beveiligingsprocedures voor Azure Lighthouse.
- Onboard uw klanten voor Azure Lighthouse, hetzij met behulp van Azure Resource Manager-sjablonen of door een aanbieding voor persoonlijke of openbare beheerde services te publiceren op Azure Marketplace.