Azure Lighthouse senaryolarındaki kiracılar, kullanıcılar ve roller

Azure Lighthouse için müşterileri eklemeden önce Microsoft Entra kiracılarının, kullanıcılarının ve rollerinin nasıl çalıştığını ve Bunların Azure Lighthouse senaryolarında nasıl kullanılabileceğini anlamak önemlidir.

Kiracı, Microsoft Entra Id'nin ayrılmış ve güvenilen bir örneğidir. Genellikle her kiracı tek bir kuruluşu temsil eder. Azure Lighthouse, kaynakların bir kiracıdan başka bir kiracıya mantıksal olarak tahminini sağlar. Bu, yönetici kiracıdaki kullanıcıların (örneğin, bir hizmet sağlayıcısına ait olan) bir müşterinin kiracısında temsilci kaynaklara erişmesini sağlar veya birden çok kiracısı olan kuruluşların yönetim işlemlerini merkezileştirmesine olanak tanır.

Bu mantıksal projeksiyonu gerçekleştirmek için müşteri kiracısında bir aboneliğin (veya abonelik içindeki bir veya daha fazla kaynak grubunun) Azure Lighthouse'a eklenmesi gerekir. Bu ekleme işlemi Azure Resource Manager şablonları aracılığıyla veya Azure Market genel veya özel bir teklif yayımlanarak gerçekleştirilebilir.

Her iki ekleme yöntemiyle de yetkilendirmeleri tanımlamanız gerekir. Her yetkilendirme, temsilci olarak atanan kaynaklar için verilecek belirli izinleri tanımlayan yerleşik bir rolle birlikte bir principalId (yönetim kiracısında Bir Microsoft Entra kullanıcısı, grubu veya hizmet sorumlusu) içerir.

Dekont

Açıkça belirtilmediği sürece, Azure Lighthouse belgelerindeki bir "kullanıcıya" yapılan başvurular, yetkilendirmedeki bir Microsoft Entra kullanıcısı, grubu veya hizmet sorumlusu için geçerli olabilir.

Kullanıcıları ve rolleri tanımlamak için en iyi yöntemler

Yetkilendirmelerinizi oluştururken aşağıdaki en iyi yöntemleri öneririz:

• Çoğu durumda, bir dizi bireysel kullanıcı hesabı yerine bir Microsoft Entra kullanıcı grubuna veya hizmet sorumlusuna izin atamak istersiniz. Bu, bireysel erişim gereksinimleriniz her değiştiğinde temsilciyi güncelleştirmek zorunda kalmak yerine kiracınızın Microsoft Entra Kimliği aracılığıyla tek tek kullanıcılar için erişim eklemenize veya kaldırmanıza olanak tanır.
• Kullanıcıların yalnızca işlerini tamamlamak için gereken izinlere sahip olması ve yanlışlıkla hata olasılığını azaltmaya yardımcı olması için en az ayrıcalık ilkesini izleyin. Daha fazla bilgi için bkz . Önerilen güvenlik uygulamaları.
• Gerekirse temsilciye erişimi daha sonra kaldırabilmek için Yönetilen Hizmetler Kayıt Ataması Silme Rolüne bir yetkilendirme ekleyin. Bu rol atanmamışsa, temsilci olarak atanan kaynaklara erişim yalnızca müşterinin kiracısında bulunan bir kullanıcı tarafından kaldırılabilir.
• Azure portalında Müşterilerim sayfasını görüntülemesi gereken tüm kullanıcıların Okuyucu rolüne (veya Okuyucu erişimi içeren başka bir yerleşik role) sahip olduğundan emin olun.

Önemli

Bir Microsoft Entra grubuna izin eklemek için Grup türü Güvenlik olarak ayarlanmalıdır. Grup oluşturulduğunda bu seçenek belirlenir. Daha fazla bilgi için bkz . Microsoft Entra Id kullanarak temel grup oluşturma ve üye ekleme.

Azure Lighthouse için rol desteği

Bir yetkilendirme tanımladığınızda, her kullanıcı hesabına Azure yerleşik rollerinden biri atanmalıdır. Özel roller ve klasik abonelik yöneticisi rolleri desteklenmez.

Şu anda aşağıdaki özel durumlar dışında tüm yerleşik roller Azure Lighthouse ile desteklenmektedir:

• Sahip rolü desteklenmez.

• Kullanıcı Erişimi Yönetici istrator rolü desteklenir, ancak yalnızca müşteri kiracısında yönetilen bir kimliğe rol atamak için sınırlıdır. Genellikle bu rol tarafından verilen başka hiçbir izin uygulanmaz. Bu role sahip bir kullanıcı tanımlarsanız, bu kullanıcının yönetilen kimliklere atayabileceği rolleri de belirtmeniz gerekir.

• İzinli DataActions roller desteklenmez.

• Aşağıdaki eylemlerden herhangi birini içeren roller desteklenmez:

  • */Yazmak
  • */Silmek
  • Microsoft.Authorization/*
  • Microsoft.Authorization/*/write
  • Microsoft.Authorization/*/delete
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete
  • Microsoft.Authorization/roleDefinitions/write
  • Microsoft.Authorization/roleDefinitions/delete
  • Microsoft.Authorization/classic Yönetici istrators/write
  • Microsoft.Authorization/classic Yönetici istrators/delete
  • Microsoft.Authorization/locks/write
  • Microsoft.Authorization/locks/delete
  • Microsoft.Authorization/denyAssignments/write
  • Microsoft.Authorization/denyAssignments/delete

Önemli

Rolleri atarken, her rol için belirtilen eylemleri gözden geçirmeyi unutmayın. Bazı durumlarda, izinli DataActions roller desteklenmese de, bir role dahil edilen eylemler verilere erişim izni verebilir ve burada veriler erişim anahtarları aracılığıyla sunulur ve kullanıcının kimliği üzerinden erişilmeyebilir. Örneğin, Sanal Makine Katkıda Bulunanı rolü, belirli müşteri verilerini almak için kullanılabilecek depolama hesabı erişim anahtarlarını döndüren eylemi içerir Microsoft.Storage/storageAccounts/listKeys/action .

Bazı durumlarda, daha önce Azure Lighthouse ile desteklenen bir rol kullanılamaz duruma gelebilir. Örneğin, izin daha önce bu izne sahip olmayan bir role eklenirse DataActions , yeni temsilciler eklenirken bu rol artık kullanılamaz. Role zaten atanmış olan kullanıcılar daha önce temsilci olarak atanan kaynaklarda çalışmaya devam eder, ancak izni kullanan DataActions görevleri gerçekleştiremezler.

Azure'a yeni bir uygulanabilir yerleşik rol eklenir eklenmez, Azure Resource Manager şablonları kullanılarak bir müşteri eklenirken atanabilir. Yönetilen hizmet teklifi yayımlanırken yeni eklenen rolün İş Ortağı Merkezi'nde kullanılabilir duruma gelmesinde bir gecikme olabilir. Benzer şekilde, bir rol kullanılamaz duruma gelirse, bunu bir süre için İş Ortağı Merkezi'nde görmeye devam edebilirsiniz; ancak bu tür rolleri kullanarak yeni teklifler yayımlayamazsınız.

Temsilci abonelikleri Microsoft Entra kiracıları arasında aktarma

Abonelik başka bir Microsoft Entra kiracı hesabına aktarılırsa, Azure Lighthouse ekleme işlemi aracılığıyla oluşturulan kayıt tanımı ve kayıt atama kaynakları korunur. Bu, kiracıları yönetmek için Azure Lighthouse aracılığıyla verilen erişimin söz konusu abonelik için (veya söz konusu abonelikteki temsilci kaynak grupları için) geçerli olduğu anlamına gelir.

Tek istisna, aboneliğin daha önce temsilci olarak atandığı bir Microsoft Entra kiracısına aktarılmasıdır. Bu durumda, abonelik artık doğrudan bu kiracıya ait olduğundan (Azure Lighthouse aracılığıyla temsilci olarak atanmak yerine) söz konusu kiracının temsilci kaynakları kaldırılır ve Azure Lighthouse aracılığıyla verilen erişim artık geçerli olmaz. Ancak, bu abonelik diğer yöneten kiracılara da devredildiyse, diğer yöneten kiracılar aboneliğe aynı erişimi korur.

Sonraki adımlar

• Azure Lighthouse için önerilen güvenlik uygulamaları hakkında bilgi edinin.
• Azure Resource Manager şablonlarını kullanarak veya Azure Market için özel veya genel yönetilen bir hizmet teklifi yayımlayarak müşterilerinizi Azure Lighthouse'a ekleyin.