Locatários, usuários e funções em cenários do Azure Lighthouse

Antes de integrar clientes no Azure Lighthouse, é importante entender como os locatários, os usuários e as funções do Azure AD (Azure Active Directory) funcionam e como eles podem ser usados em cenários do Azure Lighthouse.

Um locatário é uma instância dedicada e confiável do Azure AD. Normalmente, cada locatário representa uma única organização. O Azure Lighthouse habilita a projeção lógica de recursos de um locatário para outro locatário. Isso permite que os usuários no locatário de gerenciamento (como um que pertença a um provedor de serviços) acessem recursos delegados no locatário de um cliente ou permite que empresas com vários locatários centralizem suas operações de gerenciamento.

Para alcançar essa projeção lógica, uma assinatura (ou um ou mais grupos de recursos em uma assinatura) no locatário do cliente deve ser integrada ao Azure Lighthouse. Esse processo de integração pode ser feito por meio de modelos do Azure Resource Manager ou ao publicar uma oferta pública ou privada no Azure Marketplace.

Seja qual for o método de integração, você precisará definir autorizações. Cada autorização inclui um principalId (um usuário, grupo ou entidade de serviço do Azure AD no locatário de gerenciamento) combinado com uma função interna que define as permissões específicas que serão concedidas para os recursos delegados.

Observação

A menos que seja especificado explicitamente, as referências a um "usuário" na documentação do Azure Lighthouse podem ser aplicadas a um usuário, grupo ou entidade de serviço do Azure AD em uma autorização.

Práticas recomendadas para definir usuários e funções

Ao criar suas autorizações, recomendamos as melhores práticas abaixo:

  • Na maioria dos casos, é melhor atribuir permissões a um grupo de usuários ou entidade de serviço do Azure AD, em vez de a uma série de contas de usuário individuais. Isso permite que você adicione ou remova o acesso para usuários individuais por meio do Azure AD de seu locatário, em vez de atualizar a delegação sempre que seus requisitos de acesso individuais forem alterados.
  • Siga o princípio de privilégios mínimos para que os usuários tenham apenas as permissões necessárias para concluir seu trabalho, ajudando a reduzir a chance de erros acidentais. Para saber mais, confira Práticas de segurança recomendadas.
  • Inclua uma autorização com a Função Excluir Atribuição de Registro de Serviços Gerenciados para que você possa remover o acesso à delegação posteriormente, se necessário. Se essa função não for atribuída, o acesso aos recursos delegados só poderá ser removido por um usuário no locatário do cliente.
  • Certifique-se de que qualquer usuário que precise exibir a página Meus clientes no portal do Azure tenha a função Leitor (ou outra função interna que inclua acesso de leitura).

Importante

Para adicionar permissões para um grupo do Azure AD, o Tipo de grupo deve ser definido como Segurança. Essa opção é selecionada quando o grupo é criado. Para obter mais informações, consulte Criar um grupo básico e adicionar membros usando o Azure Active Directory.

Suporte de função para o Azure Lighthouse

Ao definir uma autorização, cada conta de usuário deve ser atribuída a uma das funções internas do Azure. As funções personalizadas e as funções de administrador de assinatura clássica não têm suporte.

Atualmente, todas as funções internas têm suporte no Azure Lighthouse, com as seguintes exceções:

Observação

Depois que uma nova função interna aplicável for adicionada ao Azure, ela poderá ser atribuída durante a integração de um cliente usando modelos do Azure Resource Manager. Pode haver um atraso antes que a função recém-adicionada fique disponível no Partner Center ao publicar uma oferta de serviço gerenciado.

Transferir assinaturas delegadas entre locatários do Azure AD

Se uma assinatura for transferida para a conta de outro locatário do Azure AD, os recursos de definição de registro e atribuição de registro criados durante o processo de integração do Azure Lighthouse será preservado. Isso significa que o acesso concedido por meio do Azure Lighthouse para gerenciar locatários permanecerá em vigor para essa assinatura (ou para grupos de recursos delegados dentro dessa assinatura).

A única exceção é se a assinatura for transferida para um locatário do Azure AD para o qual ela foi delegada anteriormente. Nesse caso, os recursos de delegação desse locatário serão removidos, e o acesso concedido por meio do Azure Lighthouse não será mais aplicado, pois a assinatura agora pertence diretamente a esse locatário (em vez de ser delegada a ele por meio do Azure Lighthouse). No entanto, se essa assinatura também tiver sido delegada a outros locatários de gerenciamento, os outros locatários de gerenciamento manterão o mesmo acesso à assinatura.

Próximas etapas