Skapa berättigade auktoriseringar
När du registrera kunder för Azure Lighthouse skapar du auktoriseringar för att bevilja angivna inbyggda Azure-roller till användare i din hanterande klientorganisation. Du kan också skapa berättigade auktoriseringar som använder Azure Active Directory (Azure AD) Privileged Identity Management (PIM) för att låta användare i din hanterande klient tillfälligt utöka sin roll. På så sätt kan du bevilja ytterligare behörigheter enligt just-in-time-principen så att användarna bara har dessa behörigheter under en a tidsperiod.
Genom att skapa berättigade auktoriseringar kan du minimera antalet permanenta tilldelningar av användare till privilegierade roller, vilket bidrar till att minska säkerhetsrisker relaterade till privilegierad åtkomst för användare i din klientorganisation.
Det här avsnittet beskriver hur berättigade auktoriseringar fungerar och hur du skapar dem när du registrera en kund för att Azure Lighthouse.
Viktigt
Berättigade auktoriseringar finns för närvarande i offentlig förhandsversion. Den här förhandsversionen tillhandahålls utan serviceavtal och rekommenderas inte för produktionsarbetsbelastningar. Vissa funktioner kanske inte stöds eller kan vara begränsade. Mer information finns i Kompletterande villkor för användning av Microsoft Azure-förhandsversioner.
Licenskrav
För att skapa berättigade auktoriseringar krävs Enterprise Mobility + Security E5 (EMS E5) eller Azure AD Premium P2 licens. Hitta rätt licens för dina behov i Jämför allmänt tillgängliga funktioner i Free, Basic och Premium-utgåvorna.
EMS E5 eller Azure AD Premium P2 licensen måste finnas hos den hanterande klientorganisationen, inte av kundens klientorganisation.
Eventuella extra kostnader som är kopplade till en berättigad roll gäller endast under den tidsperiod då användaren utökar sin åtkomst till rollen.
Information om licenser för användare finns i Licenskrav för att använda Privileged Identity Management.
Så här fungerar berättigade auktoriseringar
En berättigad auktorisering definierar en rolltilldelning som kräver att användaren aktiverar rollen när de behöver utföra privilegierade uppgifter. När de aktiverar den berättigade rollen får de fullständig åtkomst som tilldelats av rollen under den angivna tidsperioden.
Användare i kundklientorganisationen kan granska alla rolltilldelningar, inklusive de som ingår i berättigade auktoriseringar, före registreringsprocessen.
När en användare har aktiverat en berättigad roll får han eller hon den utökade rollen i det delegerade omfånget under en förkonfigurerad tidsperiod, utöver sina permanenta rolltilldelningar för det omfånget.
Administratörer i den hanterande klientorganisationen kan granska alla Privileged Identity Management aktiviteter genom att visa granskningsloggen i den hanterande klientorganisationen. Kunder kan visa dessa åtgärder i Azure-aktivitetsloggen för den delegerade prenumerationen.
Berättigade auktoriseringselement
Du kan skapa en berättigad auktorisering när du publicerar kunder med Azure Resource Manager-mallar eller genom att publicera ett Erbjudande om hanterade tjänster till Azure Marketplace. Varje berättigad auktorisering måste innehålla tre element: användaren, rollen och åtkomstprincipen.
Användare
För varje berättigad auktorisering anger du huvudnamns-ID för antingen en enskild användare eller en Azure AD-grupp i den hanterande klientorganisationen. Tillsammans med huvudnamns-ID:t måste du ange ett visningsnamn för varje auktorisering.
Om en grupp tillhandahålls i en berättigad auktorisering, kommer en medlem i gruppen att kunna höja sin egen individuella åtkomst till den rollen enligt åtkomstprincipen.
Du kan inte använda berättigade auktoriseringar med tjänstens huvudnamn, eftersom det för närvarande inte finns något sätt för ett tjänsthuvudnamnskonto att höja sin behörighet och använda en berättigad roll. Du kan inte heller använda berättigade auktoriseringar med som delegatedRoleDefinitionIds en administratör för användaråtkomst kan tilldela till hanterade identiteter.
Anteckning
För varje berättigad auktorisering måste du också skapa en permanent (aktiv) auktorisering för samma huvudnamns-ID med en annan roll, till exempel Läsare (eller en annan inbyggd Azure-roll som innehåller läsaråtkomst). Om du inte inkluderar en permanent auktorisering med läsaråtkomst kan användaren inte höja sin roll i Azure Portal.
Roll
Varje berättigad auktorisering måste innehålla en inbyggd Azure-roll som användaren kan använda just-in-time.
Rollen kan vara valfri inbyggd Azure-roll som stöds för Azure-delegerad resurshantering,förutom Administratör för användaråtkomst.
Viktigt
Om du inkluderar flera berättigade auktoriseringar som använder samma roll måste var och en av de berättigade auktoriseringarna ha samma inställningar för åtkomstprincip.
Åtkomstprincip
Åtkomstprincipen definierar kraven för multifaktorautentisering, hur lång tid en användare ska aktiveras i rollen innan den upphör att gälla och om godkännare krävs.
Multifaktorautentisering
Ange om du vill kräva Azure AD Multi-Factor Authentication för att en berättigad roll ska aktiveras.
Maximal varaktighet
Definiera den totala längden på den tid som användaren har den berättigade rollen. Det minsta värdet är 30 minuter och det högsta värdet är 8 timmar.
Godkännare
Godkännarelementet är valfritt. Om du inkluderar den kan du ange upp till tio användare eller användargrupper i den hanterande klientorganisationen som kan godkänna eller neka begäranden från en användare om att aktivera den berättigade rollen.
Du kan inte använda ett konto för tjänstens huvudnamn som godkännare. Dessutom kan godkännare inte godkänna sin egen åtkomst; Om en godkännare också ingår som användare i en berättigad auktorisering måste en annan godkännare bevilja åtkomst för att kunna höja sin roll.
Om du inte inkluderar några godkännare kommer användaren att kunna aktivera den berättigade rollen när de väljer.
Skapa berättigade auktoriseringar med hjälp av erbjudanden för hanterade tjänster
Om du vill registrera din Azure Lighthouse kan du publicera erbjudanden om hanterade tjänster till Azure Marketplace. När du skapar dina erbjudanden i Partnercenterkan du nu ange om åtkomsttypen för varje auktorisering ska vara Aktiv eller Berättigad.
När du väljer Berättigad kan användaren i auktoriseringen aktivera rollen enligt den åtkomstprincip som du konfigurerar. Du måste ange en maximal varaktighet mellan 30 minuter och 8 timmar och ange om du behöver Azure MultiFactor-autentisering. Du kan också lägga till upp till 10 godkännare om du väljer att använda dem, vilket ger ett visningsnamn och ett huvudnamns-ID för var och en.
Läs informationen i avsnittet Berättigade auktoriseringselement när du konfigurerar dina berättigade auktoriseringar i Partnercenter.
Skapa berättigade auktoriseringar med hjälp Azure Resource Manager mallar
Om du vill registrera din Azure Lighthouse kan du använda en Azure Resource Manager mall tillsammans med en motsvarande parameterfil som du ändrar. Vilken mall du väljer beror på om du ska registrera en hel prenumeration, en resursgrupp eller flera resursgrupper i en prenumeration.
Om du vill inkludera berättigade auktoriseringar när du registrera en kund använder du en av mallarna från avsnittet delegated-resource-management-eligible-authorizations på vår lagringsplatsen för exempel. Vi tillhandahåller mallar med och utan att godkännare ingår, så att du kan använda den som fungerar bäst för ditt scenario.
| Registrera detta (med berättigade auktoriseringar) | Använd den här Azure Resource Manager mallen | Och ändra den här parameterfilen |
|---|---|---|
| Prenumeration | subscription.jspå | subscription.parameters.jspå |
| Prenumeration (med godkännare) | subscription-managing-tenant-approvers.jspå | subscription-managing-tenant-approvers.parameters.jspå |
| Resursgrupp | rg.jspå | rg.parameters.jspå |
| Resursgrupp (med godkännare) | rg-managing-tenant-approvers.jspå | rg-managing-tenant-approvers.parameters.jspå |
| Flera resursgrupper i en prenumeration | multiple-rg.jspå | multiple-rg.parameters.jspå |
| Flera resursgrupper i en prenumeration (med godkännare) | multiple-rg-managing-tenant-approvers.jspå | multiple-rg-managing-tenant-approvers.parameters.jspå |
Mallen subscription-managing-tenant-approvers.jssom kan användas för att registrera en prenumeration med berättigade auktoriseringar (inklusive godkännare) visas nedan.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/subscriptionDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mspOfferName": {
"type": "string",
"metadata": {
"description": "Specify a unique name for your offer"
}
},
"mspOfferDescription": {
"type": "string",
"metadata": {
"description": "Name of the Managed Service Provider offering"
}
},
"managedByTenantId": {
"type": "string",
"metadata": {
"description": "Specify the tenant id of the Managed Service Provider"
}
},
"authorizations": {
"type": "array",
"metadata": {
"description": "Specify an array of objects, containing tuples of Azure Active Directory principalId, a Azure roleDefinitionId, and an optional principalIdDisplayName. The roleDefinition specified is granted to the principalId in the provider's Active Directory and the principalIdDisplayName is visible to customers."
}
},
"eligibleAuthorizations": {
"type": "array",
"metadata": {
"description": "Provide the authorizations that will have just-in-time role assignments on customer environments with support for approvals from the managing tenant"
}
}
},
"variables": {
"mspRegistrationName": "[guid(parameters('mspOfferName'))]",
"mspAssignmentName": "[guid(parameters('mspOfferName'))]"
},
"resources": [
{
"type": "Microsoft.ManagedServices/registrationDefinitions",
"apiVersion": "2020-02-01-preview",
"name": "[variables('mspRegistrationName')]",
"properties": {
"registrationDefinitionName": "[parameters('mspOfferName')]",
"description": "[parameters('mspOfferDescription')]",
"managedByTenantId": "[parameters('managedByTenantId')]",
"authorizations": "[parameters('authorizations')]",
"eligibleAuthorizations": "[parameters('eligibleAuthorizations')]"
}
},
{
"type": "Microsoft.ManagedServices/registrationAssignments",
"apiVersion": "2020-02-01-preview",
"name": "[variables('mspAssignmentName')]",
"dependsOn": [
"[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
],
"properties": {
"registrationDefinitionId": "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
}
}
],
"outputs": {
"mspOfferName": {
"type": "string",
"value": "[concat('Managed by', ' ', parameters('mspOfferName'))]"
},
"authorizations": {
"type": "array",
"value": "[parameters('authorizations')]"
},
"eligibleAuthorizations": {
"type": "array",
"value": "[parameters('eligibleAuthorizations')]"
}
}
}
Definiera berättigade auktoriseringar i parameterfilen
Mallen subscription-managing-tenant-approvers.Parameters.jspå exempelmallen kan användas för att definiera auktoriseringar, inklusive berättigade auktoriseringar, när du skapar en prenumeration.
Var och en av dina berättigade auktoriseringar måste definieras i eligibleAuthorizations parametern . Det här exemplet innehåller en berättigad auktorisering.
Den här mallen innehåller också -elementet, som lägger till en som kommer att krävas för att godkänna alla försök att aktivera de berättigade roller managedbyTenantApprovers principalId som definieras i elementet eligibleAuthorizations .
{
"$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mspOfferName": {
"value": "Relecloud Managed Services"
},
"mspOfferDescription": {
"value": "Relecloud Managed Services"
},
"managedByTenantId": {
"value": "<insert the managing tenant id>"
},
"authorizations": {
"value": [
{
"principalId": "00000000-0000-0000-0000-000000000000",
"roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
"principalIdDisplayName": "PIM group"
}
]
},
"eligibleAuthorizations":{
"value": [
{
"justInTimeAccessPolicy": {
"multiFactorAuthProvider": "Azure",
"maximumActivationDuration": "PT8H",
"managedByTenantApprovers": [
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "PIM-Approvers"
}
]
},
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Tier 2 Support",
"roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
}
]
}
}
}
Varje post i eligibleAuthorizations parametern innehåller tre element som definierar en berättigad auktorisering: principalId , och roleDefinitionId justInTimeAccessPolicy .
principalId anger ID:t för den Azure AD-användare eller -grupp som den här berättigade auktoriseringen gäller för.
roleDefinitionId innehåller rolldefinitions-ID:t för en inbyggd Azure-roll som användaren kan använda just-in-time. Om du inkluderar flera berättigade auktoriseringar som använder samma roleDefinitionId måste var och en av dessa ha identiska inställningar för justInTimeAccessPolicy .
justInTimeAccessPolicy anger tre element:
multiFactorAuthProviderkan antingen anges till Azure, vilket kräver autentisering med hjälp av Azure AD Multi-Factor Authentication eller till Ingen om ingen multifaktorautentisering krävs.maximumActivationDurationanger den totala längden på den tid som användaren har rätt roll. Det här värdet måste använda varaktighetsformatet ISO 8601. Det minsta värdet är PT30M (30 minuter) och det högsta värdet är PT8H (8 timmar). För enkelhetens skull rekommenderar vi att du endast använder värden i steg om en halvtimme (till exempel PT6H i 6 timmar eller PT6H30M i 6,5 timmar).managedByTenantApproversär valfritt. Om du inkluderar det måste det innehålla en eller flera kombinationer av ett principalId och ett principalIdDisplayName som måste godkänna aktivering av den berättigade rollen.
Mer information om de här elementen finns i avsnittet Berättigade auktoriseringselement ovan.
Processen för utökade privilegier för användare
När du har introducerat en Azure Lighthouse kommer alla berättigade roller som du har inkluderat att vara tillgängliga för den angivna användaren (eller för användare i alla angivna grupper).
Varje användare kan höja sin behörighet när som helst genom att gå till sidan Mina kunder i Azure Portal, välja en delegering och sedan välja Hantera berättigade roller. Därefter kan de följa stegen för att aktivera rollen i Azure AD Privileged Identity Management.
Om godkännare har angetts har användaren inte åtkomst till rollen förrän godkännande har beviljats av en utsedd godkännare. Alla godkännare meddelas när godkännande begärs och användaren kan inte använda den berättigade rollen förrän godkännandet har beviljats. Godkännare meddelas också när detta sker. Mer information om godkännandeprocessen finns i Godkänn eller neka begäranden för Azure-resursroller i Privileged Identity Management.
När den berättigade rollen har aktiverats har användaren den rollen under hela den tid som anges i den berättigade auktoriseringen. Efter den tidsperioden kommer de inte längre att kunna använda den rollen, såvida de inte upprepar höjningsprocessen och höjer sin åtkomst igen.
Nästa steg
- Lär dig hur du kan registrera kunder för Azure Lighthouse med arm-mallar.
- Lär dig hur du kan registrera kunder med hjälp av Erbjudanden för hanterade tjänster.
- Läs mer om Azure AD Privileged Identity Management.
- Läs mer om klienter, användare och roller i Azure Lighthouse.