In aanmerking komende autorisaties maken

  • Artikel
  • 10 minuten om te lezen

Wanneer u klanten onboardt voor Azure Lighthouse, maakt u autorisaties om opgegeven ingebouwde Azure-rollen te verlenen aan gebruikers in uw beherende tenant. U kunt ook in aanmerking komende autorisaties maken die gebruikmaken van Azure Active Directory (Azure AD) Privileged Identity Management (PIM) zodat gebruikers in uw beherende tenant hun rol tijdelijk kunnen verhogen. Hiermee kunt u just-in-time aanvullende machtigingen verlenen, zodat gebruikers alleen deze machtigingen hebben voor een vast tijdstip.

Door in aanmerking komende autorisaties te maken, kunt u het aantal permanente toewijzingen van gebruikers aan bevoorrechte rollen minimaliseren, waardoor de beveiligingsrisico's met betrekking tot bevoegde toegang door gebruikers in uw tenant worden verkleind.

In dit onderwerp wordt uitgelegd hoe in aanmerking komende autorisaties werken en hoe u deze kunt maken bij het onboardenvan een klant Azure Lighthouse .

Belangrijk

In aanmerking komende autorisaties zijn momenteel beschikbaar als openbare preview. Deze preview-versie wordt aangeboden zonder service level agreement en wordt niet aanbevolen voor productieworkloads. Misschien worden bepaalde functies niet ondersteund of zijn de mogelijkheden ervan beperkt. Zie Supplemental Terms of Use for Microsoft Azure Previews (Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews) voor meer informatie.

Licentievereisten

Voor het maken van in aanmerking komende autorisaties is Enterprise Mobility + Security E5 (EMS E5) of Azure AD Premium P2 vereist. Zie Algemeen beschikbare functies van de edities Gratis, Basic en Premium vergelijken als u een licentie zoekt die bij uw vereisten past.

De EMS E5- of Azure AD Premium P2-licentie moet worden vastgehouden door de tenant die het beheer heeft, niet de tenant van de klant.

Eventuele extra kosten die zijn gekoppeld aan een in aanmerking komende rol, zijn alleen van toepassing gedurende de periode waarin de gebruiker de toegang tot die rol verhoogt.

Zie Licentievereisten voor het gebruik van Privileged Identity Management voor informatie over licenties voor gebruikers.

Hoe in aanmerking komende autorisaties werken

Een in aanmerking komende autorisatie definieert een roltoewijzing die vereist dat de gebruiker de rol activeert wanneer deze bevoorrechte taken moet uitvoeren. Wanneer ze de in aanmerking komende rol activeren, hebben ze de volledige toegang die door die rol wordt verleend voor de opgegeven periode.

Gebruikers in de tenant van de klant kunnen alle roltoewijzingen, inclusief die in in aanmerking komende autorisaties, controleren vóór het onboardingproces.

Zodra een gebruiker een in aanmerking komende rol heeft geactiveerd, heeft deze die verhoogde rol voor het gedelegeerde bereik voor een vooraf geconfigureerde periode, naast de permanente roltoewijzing(en) voor dat bereik.

Beheerders in de beherende tenant kunnen alle Privileged Identity Management controleren door het auditlogboek in de beherende tenant te bekijken. Klanten kunnen deze acties bekijken in het Azure-activiteitenlogboek voor het gedelegeerde abonnement.

In aanmerking komende autorisatie-elementen

U kunt een in aanmerking komende autorisatie maken bij het onboarden van klanten Azure Resource Manager sjablonen of door een Managed Services-aanbieding te publiceren op Azure Marketplace. Elke in aanmerking komende autorisatie moet drie elementen bevatten: de gebruiker, de rol en het toegangsbeleid.

Gebruiker

Voor elke in aanmerking komende autorisatie geeft u de principal-id op voor een afzonderlijke gebruiker of een Azure AD-groep in de beherende tenant. Naast de principal-id moet u een weergavenaam van uw keuze voor elke autorisatie geven.

Als een groep wordt verstrekt in een in aanmerking komende autorisatie, kan elk lid van die groep zijn eigen individuele toegang tot die rol verhogen volgens het toegangsbeleid.

U kunt geen in aanmerking komende autorisaties gebruiken met service-principals, omdat er momenteel geen manier is voor een service-principal-account om de toegang te verhogen en een in aanmerking komende rol te gebruiken. U kunt ook geen in aanmerking komende autorisaties gebruiken met die een beheerder voor delegatedRoleDefinitionIds gebruikerstoegang kan toewijzen aan beheerde identiteiten.

Notitie

Zorg er voor elke in aanmerking komende autorisatie voor dat u ook een permanente (actieve) autorisatie maakt voor dezelfde Principal-id met een andere rol, zoals Lezer (of een andere ingebouwde Azure-rol met leestoegang). Als u geen permanente autorisatie met Lezer-toegang op te nemen, kan de gebruiker zijn of haar rol niet verhogen in de Azure Portal.

Rol

Elke in aanmerking komende autorisatie moet een ingebouwde Azure-rol bevatten die de gebruiker op een Just-In-Time-basis kan gebruiken.

De rol kan elke ingebouwde Rol van Azure zijn die wordt ondersteund voor gedelegeerd Azure-resourcebeheer,met uitzondering van Gebruikerstoegangbeheerder.

Belangrijk

Als u meerdere in aanmerking komende autorisaties op nemen die dezelfde rol gebruiken, moeten alle in aanmerking komende autorisaties dezelfde instellingen voor toegangsbeleid hebben.

Toegangsbeleid

Het toegangsbeleid definieert de vereisten voor meervoudige verificatie, de tijdsduur dat een gebruiker in de rol wordt geactiveerd voordat deze verloopt en of goedkeurders vereist zijn.

Meervoudige verificatie

Geef op of Azure AD Multi-Factor Authentication moet worden vereist om een in aanmerking komende rol te activeren.

Maximumduur

Definieer de totale tijdsduur waarvoor de gebruiker de in aanmerking komende rol heeft. De minimumwaarde is 30 minuten en het maximum is 8 uur.

Goedkeurders

Het element goedkeurders is optioneel. Als u deze opgeeft, kunt u maximaal tien gebruikers of gebruikersgroepen in de beherende tenant opgeven die aanvragen van een gebruiker kunnen goedkeuren of weigeren om de in aanmerking komende rol te activeren.

U kunt een service-principal-account niet gebruiken als goedkeurder. Ook kunnen goedkeurders hun eigen toegang niet goedkeuren; Als een goedkeurder ook is opgenomen als de gebruiker in een in aanmerking komende autorisatie, moet een andere goedkeurder toegang verlenen om zijn of haar rol te kunnen verhogen.

Als u geen goedkeurders op neemt, kan de gebruiker de in aanmerking komende rol activeren wanneer deze wordt gekozen.

In aanmerking komende autorisaties maken met behulp van Managed Services-aanbiedingen

Als u uw klant wilt onboarden voor Azure Lighthouse, kunt u Managed Services-aanbiedingen publiceren naar Azure Marketplace. Wanneer u uw aanbiedingen maakt in Partner Center, kunt u nu opgeven of het toegangstype voor elke autorisatie Actief of In aanmerking komend moet zijn.

Wanneer u In aanmerking komend selecteert, kan de gebruiker in uw autorisatie de rol activeren volgens het toegangsbeleid dat u configureert. U moet een maximale duur instellen tussen 30 minuten en 8 uur en opgeven of u Meervoudige verificatie van Azure nodig hebt. U kunt ook maximaal 10 goedkeurders toevoegen als u ervoor kiest om ze te gebruiken, door een weergavenaam en een principal-id voor elke id op te geven.

Lees de details in de sectie In aanmerking komende autorisatie-elementen bij het configureren van uw in aanmerking komende autorisaties in Partner Center.

In aanmerking komende autorisaties maken met Azure Resource Manager sjablonen

Als u uw klant wilt onboarden voor Azure Lighthouse, gebruikt u een Azure Resource Manager en een bijbehorend parametersbestand dat u wijzigt. De sjabloon die u kiest, is afhankelijk van of u een volledig abonnement, een resourcegroep of meerdere resourcegroepen binnen een abonnement onboardt.

Als u in aanmerking komende autorisaties wilt opnemen wanneer u een klant onboardt, gebruikt u een van de sjablonen uit de sectie gedelegeerd-resourcebeheer-in aanmerking komende autorisaties van onze voorbeelden-repo. We bieden sjablonen met en zonder goedkeurders, zodat u de sjablonen kunt gebruiken die het beste bij uw scenario past.

Om dit te onboarden (met in aanmerking komende autorisaties) Gebruik deze Azure Resource Manager sjabloon En wijzig dit parameterbestand
Abonnement subscription.jsaan subscription.parameters.jsaan
Abonnement (met goedkeurders) subscription-managing-tenant-approvers.jsaan subscription-managing-tenant-approvers.parameters.jsaan
Resourcegroep rg.jsaan rg.parameters.jsaan
Resourcegroep (met goedkeurders) rg-managing-tenant-approvers.jsaan rg-managing-tenant-approvers.parameters.jsaan
Meerdere resourcegroepen binnen een abonnement multiple-rg.jsaan multiple-rg.parameters.jsaan
Meerdere resourcegroepen binnen een abonnement (met goedkeurders) multiple-rg-managing-tenant-approvers.jsaan multiple-rg-managing-tenant-approvers.parameters.jsaan

De subscription-managing-tenant-approvers.jssjabloon, die kan worden gebruikt voor onboarding van een abonnement met in aanmerking komende autorisaties (inclusief goedkeurders), wordt hieronder weergegeven.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/subscriptionDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "type": "string",
            "metadata": {
                "description": "Specify a unique name for your offer"
            }
        },
        "mspOfferDescription": {
            "type": "string",
            "metadata": {
                "description": "Name of the Managed Service Provider offering"
            }
        },
        "managedByTenantId": {
            "type": "string",
            "metadata": {
                "description": "Specify the tenant id of the Managed Service Provider"
            }
        },
        "authorizations": {
            "type": "array",
            "metadata": {
                "description": "Specify an array of objects, containing tuples of Azure Active Directory principalId, a Azure roleDefinitionId, and an optional principalIdDisplayName. The roleDefinition specified is granted to the principalId in the provider's Active Directory and the principalIdDisplayName is visible to customers."
            }
        },
        "eligibleAuthorizations": {
            "type": "array",
            "metadata": {
                "description": "Provide the authorizations that will have just-in-time role assignments on customer environments with support for approvals from the managing tenant"
            }
        }
    },
        "variables": {
            "mspRegistrationName": "[guid(parameters('mspOfferName'))]",
            "mspAssignmentName": "[guid(parameters('mspOfferName'))]"
        },
        "resources": [
            {
                "type": "Microsoft.ManagedServices/registrationDefinitions",
                "apiVersion": "2020-02-01-preview",
                "name": "[variables('mspRegistrationName')]",
                "properties": {
                    "registrationDefinitionName": "[parameters('mspOfferName')]",
                    "description": "[parameters('mspOfferDescription')]",
                    "managedByTenantId": "[parameters('managedByTenantId')]",
                    "authorizations": "[parameters('authorizations')]",
                    "eligibleAuthorizations": "[parameters('eligibleAuthorizations')]"
                }
            },
            {
                "type": "Microsoft.ManagedServices/registrationAssignments",
                "apiVersion": "2020-02-01-preview",
                "name": "[variables('mspAssignmentName')]",
                "dependsOn": [
                    "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
                ],
                "properties": {
                    "registrationDefinitionId": "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
                }
            }
        ],
        "outputs": {
            "mspOfferName": {
                "type": "string",
                "value": "[concat('Managed by', ' ', parameters('mspOfferName'))]"
            },
            "authorizations": {
                "type": "array",
                "value": "[parameters('authorizations')]"
            },
            "eligibleAuthorizations": {
                "type": "array",
                "value": "[parameters('eligibleAuthorizations')]"
            }
        }
    }

In aanmerking komende autorisaties definiëren in uw parametersbestand

De subscription-managing-tenant-approvers.Parameters.jsvoorbeeldsjabloon kan worden gebruikt voor het definiëren van autorisaties, inclusief in aanmerking komende autorisaties, bij het onboarden van een abonnement.

Al uw in aanmerking komende autorisaties moeten worden gedefinieerd in de eligibleAuthorizations parameter . Dit voorbeeld bevat één in aanmerking komende autorisatie.

Deze sjabloon bevat ook het element , waarmee een wordt toegevoegd die alle pogingen moet goedkeuren om de in aanmerking komende rollen te activeren managedbyTenantApprovers die in het element zijn principalId eligibleAuthorizations gedefinieerd.

{
    "$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "value": "Relecloud Managed Services"
        },
        "mspOfferDescription": {
            "value": "Relecloud Managed Services"
        },
        "managedByTenantId": {
            "value": "<insert the managing tenant id>"
        },
        "authorizations": {
            "value": [
                { 
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
                    "principalIdDisplayName": "PIM group"
                }
            ]
        }, 
        "eligibleAuthorizations":{
            "value": [
                {
                        "justInTimeAccessPolicy": {
                            "multiFactorAuthProvider": "Azure",
                            "maximumActivationDuration": "PT8H",
                            "managedByTenantApprovers": [ 
                                { 
                                    "principalId": "00000000-0000-0000-0000-000000000000", 
                                    "principalIdDisplayName": "PIM-Approvers" 
                                } 
                            ]
                        },
                        "principalId": "00000000-0000-0000-0000-000000000000", 
                        "principalIdDisplayName": "Tier 2 Support",
                        "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"

                }
            ]
        }
    }
}

Elke vermelding in de parameter bevat drie elementen die een in aanmerking eligibleAuthorizations komende autorisatie definiëren: , en principalId roleDefinitionId justInTimeAccessPolicy .

principalId hiermee geeft u de id op voor de Azure AD-gebruiker of -groep waarop deze in aanmerking komende autorisatie van toepassing is.

roleDefinitionId bevat de roldefinitie-id voor een ingebouwde Azure-rol die de gebruiker just-in-time kan gebruiken. Als u meerdere in aanmerking komende autorisaties op nemen die dezelfde gebruiken, moeten roleDefinitionId deze allemaal identieke instellingen hebben voor justInTimeAccessPolicy .

justInTimeAccessPolicy geeft drie elementen op:

  • multiFactorAuthProviderkan worden ingesteld op Azure, waarvoor verificatie met behulp van Azure AD Multi-Factor Authentication is vereist, of op Geen als er geen meervoudige verificatie vereist is.
  • maximumActivationDuration stelt de totale tijdsduur in waarvoor de gebruiker de in aanmerking komende rol heeft. Deze waarde moet de ISO 8601-duurnotatie gebruiken. De minimumwaarde is PT30M (30 minuten) en de maximumwaarde is PT8H (8 uur). Voor het gemak raden we u aan waarden alleen in stappen van een half uur te gebruiken (bijvoorbeeld PT6H voor 6 uur of PT6H30M voor 6,5 uur).
  • managedByTenantApprovers is optioneel. Als u deze op neemt, moet deze een of meer combinaties van een principalId en een principalIdDisplayName bevatten die nodig zijn om activering van de in aanmerking komende rol goed te keuren.

Zie de sectie In aanmerking komende autorisatie-elementen hierboven voor meer informatie over deze elementen.

Proces voor verhoging van bevoegdheden voor gebruikers

Nadat u onboarding van een klant Azure Lighthouse, zijn alle in aanmerking komende rollen die u hebt opgenomen beschikbaar voor de opgegeven gebruiker (of voor gebruikers in een opgegeven groep).

Elke gebruiker kan zijn of haar toegang op elk moment verhogen door naar de pagina Mijn klanten in de Azure Portal te gaan, een delegering te selecteren en vervolgens In aanmerking komende rollen beheren te selecteren. Daarna kunnen ze de stappen volgen om de rol in Azure AD-Privileged Identity Management.

Schermopname van de knop In aanmerking komende rollen beheren in Azure Portal.

Als er goedkeurders zijn opgegeven, heeft de gebruiker geen toegang tot de rol totdat goedkeuring is verleend door een aangewezen goedkeurder. Alle goedkeurders worden op de hoogte gesteld wanneer goedkeuring wordt aangevraagd en de gebruiker kan de in aanmerking komende rol pas gebruiken als goedkeuring is verleend. Goedkeurders worden ook op de hoogte gesteld wanneer dit gebeurt. Zie Aanvragen voor Azure-resourcerollengoedkeuren of weigeren in Privileged Identity Management voor meer informatie over het goedkeuringsproces.

Zodra de in aanmerking komende rol is geactiveerd, heeft de gebruiker die rol voor de volledige duur die is opgegeven in de in aanmerking komende autorisatie. Na deze periode kunnen ze die rol niet meer gebruiken, tenzij ze het proces voor verhoging van bevoegdheden herhalen en hun toegang opnieuw verhogen.

Volgende stappen