Azure açık senaryolarındaki kiracılar, kullanıcılar ve roller
azure 'u açık bir şekilde kullanmayabaşlamadan önce, Azure Active Directory (azure AD) kiracılarının, kullanıcıların ve rollerinin nasıl çalıştığını ve azure açık thouse senaryolarında nasıl kullanılabileceğini anlamak önemlidir.
Kiracı , Azure AD 'nin adanmış ve güvenilir bir örneğidir. Genellikle, her kiracı tek bir kuruluşu temsil eder. Azure ışıklı kullanımı, kaynakların bir kiracıdan başka bir kiracıya mantıksal olarak projeksiyonunu sağlar. Bu, yönetim kiracısındaki (bir hizmet sağlayıcısına ait olan) kullanıcıların, bir müşterinin kiracısındaki Temsilcili kaynaklara erişmesine olanak sağlar veya birden çok kiracıya sahip kuruluşların yönetim işlemlerini merkezileştirmelerinisağlar.
Bu mantıksal projeksiyonu başarmak için, müşteri kiracısındaki bir abonelik (veya bir abonelik içindeki bir veya daha fazla kaynak grubu), Azure açık eklendi olmalıdır. Bu ekleme işlemi, Azure Resource Manager şablonlar aracılığıyla veya Azure Market 'e genel veya özel bir teklif yayınlayarakyapılabilir.
Seçtiğiniz ekleme yöntemine ne olursa yetkilendirmeler tanımlamanız gerekecektir. Her yetkilendirme, temsilcili kaynaklara erişimi olacak bir PrincipalId ve bu kullanıcıların her birinin bu kaynaklar için sahip olacağı izinleri ayarlayan yerleşik bir rol belirler. Bu PrincipalId , yönetim kiracısında BIR Azure AD kullanıcısı, grubu veya hizmet sorumlusu tanımlar.
Not
Açıkça belirtilmedikçe, Azure Mathouse belgelerindeki bir "kullanıcıya" başvurular bir Azure AD kullanıcısına, grubuna veya hizmet sorumlusuna bir yetkilendirmede uygulanabilir.
Kullanıcıları ve rolleri tanımlamaya yönelik en iyi uygulamalar
Yetkilendirmeleri oluştururken aşağıdaki en iyi yöntemleri öneririz:
- Çoğu durumda, tek bir kullanıcı hesabı serisi yerine bir Azure AD kullanıcı grubuna veya hizmet sorumlusuna izin atamak isteyeceksiniz. Bu, erişim gereksinimleriniz değiştiğinde planı güncelleştirmek ve yeniden yayınlamak zorunda kalmadan bireysel kullanıcılar için erişim eklemenize veya kaldırmanıza olanak sağlar.
- Kullanıcıların yalnızca işini tamamlaması için gerekli izinlere sahip olması için en az ayrıcalık ilkesini izlediğinizden emin olun, böylece yanlışlıkla oluşan hatalar olasılığını azaltmaya yardımcı olur. Daha fazla bilgi için bkz. Önerilen güvenlik uygulamaları.
- Gerekirse, daha sonra temsilciye erişimi kaldırabilmeniz için , yönetilen hizmetler kayıt ataması silme rolüne sahip bir kullanıcı ekleyin. Bu rol atanmamışsa, atanan kaynaklar yalnızca müşterinin kiracısındaki bir kullanıcı tarafından kaldırılabilir.
- Azure Portal müşterileri sayfasını görüntülemesi gereken tüm kullanıcıların okuyucu rolüne (veya okuyucu erişimi de içeren başka bir yerleşik Role) sahip olduğundan emin olun.
Önemli
Bir Azure AD grubu için izinler eklemek üzere, Grup türü güvenlik olarak ayarlanmalıdır. Grup oluşturulduğunda bu seçenek seçilidir. Daha fazla bilgi için bkz. temel Grup oluşturma ve Azure Active Directory kullanarak üye ekleme.
Azure ışıklı kullanım için rol desteği
Bir yetkilendirme tanımlarken, her kullanıcı hesabına Azure yerleşik rollerininbiri atanmalıdır. Özel roller ve Klasik abonelik yöneticisi rolleri desteklenmez.
Aşağıdaki özel durumlarla birlikte, tüm yerleşik roller Şu anda Azure Kathouse ile desteklenmektedir:
- Sahip rolü desteklenmiyor.
- Dataactions iznine sahip yerleşik roller desteklenmez.
- Kullanıcı erişimi Yöneticisi yerleşik rolü desteklenir, ancak yalnızca Müşteri kiracısında yönetilen bir kimliğe rol atamanınsınırlı amacı için geçerlidir. Genellikle bu rol tarafından verilen başka hiçbir izin uygulanmaz. Bu rolle bir Kullanıcı tanımlarsanız, bu kullanıcının yönetilen kimliklere atayabileceği yerleşik rolleri de belirtmeniz gerekir.
Not
Azure 'a yeni bir ilgili yerleşik rol eklendikten sonra, Azure Resource Manager şablonları kullanarak bir müşteriyieklerken atanabilir. Yönetilen bir hizmet teklifi yayımlanırken, yeni eklenen rol Iş Ortağı Merkezi 'nde kullanılabilir hale gelmeden önce bir gecikme olabilir.
Azure AD kiracılar arasında Temsilcili abonelikler aktarılıyor
Abonelik başka bir Azure AD kiracı hesabına aktarıldıysanız, Azure açık bir ekleme işlemi aracılığıyla oluşturulan kayıt tanımı ve kayıt atama kaynakları korunur. Bu, kiracıları yönetmek için Azure Kathouse aracılığıyla verilen erişimin söz konusu abonelik (veya söz konusu abonelikte bulunan kaynak grupları için) geçerli olmaya devam edecek şekilde kalacağı anlamına gelir.
Tek özel durum, aboneliğin daha önce atanmış olduğu bir Azure AD kiracısına aktarılmasının nedeni olur. Bu durumda, bu kiracıya yönelik temsilci kaynakları kaldırılır ve Azure Mathouse aracılığıyla verilen erişim artık uygulanmaz çünkü abonelik artık doğrudan bu kiracıya aittir (Azure Mathouse üzerinden temsilci olarak kullanılmak yerine). Bununla birlikte, bu abonelik başka bir yönetim kiracılarına da atanmış ise, kiracıların yönetilmesi, aboneliğe aynı erişimi korur.
Sonraki adımlar
- Azure ışıklı kullanım için önerilen güvenlik uygulamalarıhakkında bilgi edinin.
- Azure Resource Manager şablonları kullanarak ya da Azure Market 'e özel veya genel olarak yönetilen bir hizmet teklifi yayımlayarak, müşterilerinizi Azure aydınlathouse 'a ekleyin.