Klienter, användare och roller i Azure Lighthouse scenarier
Innan du börjar registrera kunder för Azure Lighthouseär det viktigt att förstå hur Azure Active Directory-klienter (Azure AD), användare och roller fungerar, samt hur de kan användas i Azure Lighthouse scenarier.
En klientorganisation är en dedikerad och betrodd instans av Azure AD. Vanligtvis representerar varje klientorganisation en enda organisation. Azure Lighthouse möjliggör logisk projektion av resurser från en klientorganisation till en annan klientorganisation. Detta gör att användare i den hanterande klientorganisationen (till exempel en som tillhör en tjänstleverantör) kan komma åt delegerade resurser i en kunds klientorganisation eller låta företag med flera klienter centralisera sina hanteringsåtgärder.
För att uppnå den här logiska projektionen måste en prenumeration (eller en eller flera resursgrupper i en prenumeration) i kundens klientorganisation publiceras till Azure Lighthouse. Den här registreringsprocessen kan göras antingen via Azure Resource Manager mallar eller genom att publicera ett offentligt eller privat erbjudande för att Azure Marketplace.
Oavsett vilken onboarding-metod du väljer måste du definiera auktoriseringar. Varje auktorisering anger ett principalId som har åtkomst till de delegerade resurserna och en inbyggd roll som anger de behörigheter som var och en av dessa användare har för dessa resurser. Detta principalId definierar en Azure AD-användare, grupp eller tjänstens huvudnamn i den hanterande klientorganisationen.
Anteckning
Om det inte uttryckligen anges kan referenser till en "användare" i Azure Lighthouse-dokumentationen gälla för en Azure AD-användare, grupp eller tjänstens huvudnamn i en auktorisering.
Metodtips för att definiera användare och roller
När du skapar dina auktoriseringar rekommenderar vi följande metodtips:
- I de flesta fall vill du tilldela behörigheter till en Azure AD-användargrupp eller tjänstens huvudnamn, i stället för till en serie med enskilda användarkonton. På så sätt kan du lägga till eller ta bort åtkomst för enskilda användare utan att behöva uppdatera och publicera planen igen när dina åtkomstkrav ändras.
- Se till att följa principen om minsta behörighet så att användarna bara har de behörigheter som krävs för att slutföra sitt jobb, vilket minskar risken för oavsiktliga fel. Mer information finns i Rekommenderade säkerhetsmetoder.
- Inkludera en användare med rollen Ta bort roll för tilldelning av hanterad tjänstregistrering så att du kan ta bort åtkomsten till delegeringen senare om det behövs. Om den här rollen inte har tilldelats kan delegerade resurser endast tas bort av en användare i kundens klientorganisation.
- Se till att alla användare som behöver visa sidan Mina kunder i Azure Portal har rollen Läsare (eller en annan inbyggd roll som omfattar läsaråtkomst).
Viktigt
För att kunna lägga till behörigheter för en Azure AD-grupp måste Grupptyp anges till Säkerhet. Det här alternativet väljs när gruppen skapas. Mer information finns i Skapa en grundläggande grupp och lägga till medlemmar med hjälp av Azure Active Directory.
Rollstöd för Azure Lighthouse
När du definierar en auktorisering måste varje användarkonto tilldelas en av de inbyggda Azure-rollerna. Anpassade roller och administratörsroller för klassiska prenumerationer stöds inte.
Alla inbyggda roller stöds för närvarande med Azure Lighthouse, med följande undantag:
- Ägarrollen stöds inte.
- Inbyggda roller med behörigheten DataActions stöds inte.
- Den inbyggda rollen Administratör för användaråtkomst stöds, men endast för det begränsade syftet att tilldela roller till en hanterad identitet i kundens klientorganisation. Inga andra behörigheter som vanligtvis beviljas av den här rollen gäller. Om du definierar en användare med den här rollen måste du också ange de inbyggda roller som den här användaren kan tilldela till hanterade identiteter.
Anteckning
När en ny tillämplig inbyggd roll läggs till i Azure kan den tilldelas när en kund publiceras med hjälp av Azure Resource Manager mallar. Det kan uppstå en fördröjning innan den nyligen tillagda rollen blir tillgänglig i Partnercenter när du publicerar ett hanterat tjänsterbjudande.
Överföra delegerade prenumerationer mellan Azure AD-klienter
Om en prenumeration överförs till ett annat Azure AD-klientkontobevaras registreringsdefinitionen och tilldelningsresurserna för registrering som skapats Azure Lighthouse registreringsprocessen. Det innebär att åtkomst som beviljas via Azure Lighthouse till att hantera klientorganisationer fortsätter att gälla för den prenumerationen (eller för delegerade resursgrupper i prenumerationen).
Det enda undantaget är om prenumerationen överförs till en Azure AD-klientorganisation som den tidigare har delegerats till. I det här fallet tas delegeringsresurserna för klientorganisationen bort och den åtkomst som beviljas via Azure Lighthouse kommer inte längre att gälla eftersom prenumerationen nu tillhör den klientorganisationen direkt (i stället för att delegeras till den via Azure Lighthouse). Men om prenumerationen också hade delegerats till andra hanterande klienter behåller de andra hanterande klienterna samma åtkomst till prenumerationen.
Nästa steg
- Lär dig mer om rekommenderade säkerhetsmetoder för Azure Lighthouse.
- Registrera dina kunder för Azure Lighthouse, antingen med hjälp Azure Resource Manager mallar eller genom att publicera ett privat eller offentligt hanterat tjänsterbjudande för att Azure Marketplace.