Uygun yetkilendirmeler oluşturma

  • Makale
  • Okumak için 8 dakika

Müşterileri yönetim kiracınıza Azure Lighthouse, yönetici kiracınız üzerindeki kullanıcılara belirli Azure yerleşik rollerini vermek için yetkilendirmeler oluşturabilirsiniz. Ayrıca, yöneten kiracınıza sahip kullanıcıların rollerini geçici Azure Active Directory için Privileged Identity Management (PIM) Azure Active Directory (PIM) kullanan uygun yetkilendirmeler oluşturabilirsiniz. Bu, kullanıcıların yalnızca bir süre boyunca bu izinlere sahip olacak şekilde tam zamanında ek izinler atamaya olanak sağlar.

Uygun yetkilendirmeler oluşturmak, kiracınız kullanıcıları tarafından ayrıcalıklı erişimle ilgili güvenlik risklerinin azaltılmasına yardımcı olarak kullanıcıların ayrıcalıklı rollere kalıcı atama sayısını en aza indirmenize olanak sağlar.

Bu konu başlığında, uygun yetkilendirmelerin nasıl iş ve bir müşteri tarafından Azure Lighthouse.

Önemli

Uygun yetkilendirmeler şu anda genel önizlemededir. Önizleme sürümü bir hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yüklerinde kullanılması önerilmez. Bazı özellikler desteklenmiyor olabileceği gibi özellikleri sınırlandırılmış da olabilir. Daha fazla bilgi için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Lisans gereksinimleri

Uygun yetkilendirmelerin oluşturulması için bir Enterprise Mobility + Security E5 (EMS E5) veya Azure AD Premium P2 gerekir. Gereksinimlerinize uygun lisansı bulmak için bkz. Ücretsiz, Temel ve Premium sürümlerinin genel olarak sağlanan özelliklerini karşılaştırma.

EMS E5 veya Azure AD Premium P2 lisansı, müşteri kiracısı tarafından değil, yöneten kiracı tarafından tutulacak.

Uygun bir rolle ilişkili ek maliyetler yalnızca kullanıcının bu role erişimini yükseltt olduğu süre boyunca geçerli olur.

Kullanıcıların lisansları hakkında daha fazla bilgi için bkz. Kullanıcı lisanslarını Privileged Identity Management.

Uygun yetkilendirmeler nasıl çalışır?

Uygun yetkilendirme, kullanıcının ayrıcalıklı görevleri gerçekleştirmesi gereken zaman rolü etkinleştirmesi gereken bir rol ataması tanımlar. Uygun rolü etkinleştiren kullanıcılar, belirtilen süre boyunca bu rol tarafından verilen tam erişime sahip olur.

Müşteri kiracısı kullanıcıları, ekleme işlemi öncesinde uygun yetkilendirmeler dahil olmak üzere tüm rol atamalarını gözden geçirebilirsiniz.

Bir kullanıcı uygun rolü başarıyla etkinleştirmiş olduktan sonra, bu kapsam için kalıcı rol atamalarına ek olarak önceden yapılandırılmış bir zaman dönemi için temsilci kapsamında yükseltilmiş role sahip olur.

Yöneten kiracıda yöneticiler, yönetici kiracıda denetim günlüğünü Privileged Identity Management tüm yönetim etkinliklerini gözden geçirebilir. Müşteriler bu eylemleri, temsilci aboneliğinin Azure etkinlik günlüğünde görüntülemenizi sağlar.

Uygun yetkilendirme öğeleri

Müşteri ekleme şablonlarıyla müşteri ekleme veya Azure Resource Manager yönetilen hizmetler teklifi yayımlarken uygun yetkilendirme Azure Market. Her uygun yetkilendirmenin üç öğe içermesi gerekir: kullanıcı, rol ve erişim ilkesi.

Kullanıcı

Her uygun yetkilendirme için, tek bir kullanıcı veya yöneten kiracıda bir Azure AD grubu için Sorumlu Kimliğini sağlarsiniz. Sorumlu Kimliği ile birlikte, her yetkilendirme için tercih istediğiniz bir görünen ad sağlanız gerekir.

Bir grup uygun yetkilendirmede sağlanırsa, o grubun herhangi bir üyesi erişim ilkesine göre kendi bireysel erişimini bu role yükseltecek.

Hizmet sorumlusu hesabının erişimini yükseltmesi ve uygun bir rol kullanması şu anda hiç yol göstermeyebilirsiniz çünkü hizmet sorumluları için uygun yetkilendirmeleri kullanasınız. Ayrıca, kullanıcı erişimi yöneticisinin yönetilen kimliklere delegatedRoleDefinitionIds atayabilecek uygun yetkilendirmeleri de kullanılamaz.

Not

Her uygun yetkilendirme için, Okuyucu (veya Okuyucu erişimi içeren başka bir Azure yerleşik rolü) gibi farklı bir role sahip aynı Asıl Kimlik için de kalıcı (etkin) yetkilendirmesi 7.000. Okuyucu erişimine kalıcı bir yetkilendirme dahil etmeyersiniz, kullanıcı bu oturumda rolünü Azure portal.

Rol

Her uygun yetkilendirmenin, kullanıcının tam zamanında kullanmaya uygun olduğu bir Azure yerleşik rolü içermesi gerekir.

Rol, Kullanıcı Erişimi Yöneticisi dışında Azure'ın temsilci olarak kaynak yönetimi için desteklenen herhangi bir yerleşik Azurerolü olabilir.

Önemli

Aynı rolü kullanan birden çok uygun yetkilendirme dahil ediyorsanız, uygun yetkilendirmelerin her biri aynı erişim ilkesi ayarlarına sahip olması gerekir.

Erişim ilkesi

Erişim ilkesi çok faktörlü kimlik doğrulama gereksinimlerini, kullanıcının rol süresi dolmadan önce rolde etkinleştirilme süresini ve onaylayanların gerekli olup olmadığını tanımlar.

Çok faktörlü kimlik doğrulaması

Uygun rolün etkinleştirilmesi için Azure AD Multi-Factor Authentication'ın gerekli olup olmadığını belirtin.

En uzun süre

Kullanıcının uygun role sahip olduğu toplam süre uzunluğunu tanımlayın. Minimum değer 30 dakika, maksimum değer ise 8 saattir.

Onaylayanlar

Approvers öğesi isteğe bağlıdır. Dahil ediyorsanız, uygun rolü etkinleştirmek için bir kullanıcıdan gelen istekleri onaylayan veya reddeden en fazla on kullanıcı veya kullanıcı grubu yönetim kiracısında belirtebilirsiniz.

Hizmet sorumlusu hesabını onaylayan olarak kullanasınız. Ayrıca, onaylayanlar kendi erişimini onaylamıyor; Bir onaylayan uygun yetkilendirmeye kullanıcı olarak da dahil edilirse, rolünü yükseltmesi için farklı bir onaylayana erişim izni verilmesi gerekir.

Herhangi bir onaylayan dahil değilsanız, kullanıcı her seçimde uygun rolü etkinleştirecek.

Yönetilen Hizmetler tekliflerini kullanarak uygun yetkilendirmeler oluşturma

Müşterinizi Azure Lighthouse'a Azure Lighthouse Yönetilen Hizmetler tekliflerini Azure Market. tekliflerinizi 'de İş Ortağı Merkezi,artık her Yetkilendirme için Erişim türünün Etkin mi yoksa Uygun mu olacağını belirterek.

Uygun'u seçerek yetkilendirmesi yapılan kullanıcı, yapılandırılan erişim ilkesine göre rolü etkinleştirecek. En fazla 30 dakika ile 8 saat arasında bir süre ayarlamalı ve Azure çok faktörlü kimlik doğrulaması gerekip gerektirmezseniz belirtmeniz gerekir. Ayrıca, her biri için bir görünen ad ve sorumlu kimliği sağlayarak, bunları kullanmayı tercih ediyorsanız en fazla 10 onaylayan eklersiniz.

Uygun yetkilendirme öğeleri bölümünde, uygun yetkilendirmelerinizi yapılandırma bölümündeki ayrıntıları gözden geçirmeyi İş Ortağı Merkezi.

Azure Resource Manager şablonlarını kullanarak uygun yetkilendirmeler oluşturma

Müşterinizi bir Azure Lighthouse için, Azure Resource Manager ilgili parametre dosyasıyla birlikte bir şablon kullanırsınız. Seçtiğiniz şablon aboneliğin tamamını mı, kaynak grubunu mu yoksa bir abonelik içindeki birden çok kaynak grubunu mu dahil ediyorsanız o şablona bağlıdır.

Bir müşteriyi dahil edinken uygun yetkilendirmeleri dahil etmek için örnek depomuza temsilci-kaynak-yönetimi-uygun yetkilendirmeler bölümündeki şablonlardan birini kullanın. Senaryolarınız için en uygun şablonu kullanasınız diye, onaylayanlar dahil edildi ve bu şablonlar dahil olmadan şablonları sağlarsınız.

Bunu ekleme (uygun yetkilendirmelerle) Bu Azure Resource Manager kullanın Ve bu parametre dosyasını değiştir
Abonelik subscription.js subscription.parameters.js
Abonelik (onaylayanlarla) subscription-managing-tenant-approvers.js subscription-managing-tenant-approvers.parameters.js
Kaynak grubu rg.js rg.parameters.js
Kaynak grubu (onaylayanlarla) rg-managing-tenant-approvers.js rg-managing-tenant-approvers.parameters.js
Bir abonelikte birden fazla kaynak grubu multiple-rg.js multiple-rg.parameters.js
Bir abonelik içindeki birden çok kaynak grubu (onaylayanlarla) multiple-rg-managing-tenant-approvers.js multiple-rg-managing-tenant-approvers.parameters.js

Uygun subscription-managing-tenant-approvers.js (onaylayanlar dahil) bir aboneliğin eklemesi için kullanılan şablonda yer alan şablonlar aşağıda gösterilmiştir.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/subscriptionDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "type": "string",
            "metadata": {
                "description": "Specify a unique name for your offer"
            }
        },
        "mspOfferDescription": {
            "type": "string",
            "metadata": {
                "description": "Name of the Managed Service Provider offering"
            }
        },
        "managedByTenantId": {
            "type": "string",
            "metadata": {
                "description": "Specify the tenant id of the Managed Service Provider"
            }
        },
        "authorizations": {
            "type": "array",
            "metadata": {
                "description": "Specify an array of objects, containing tuples of Azure Active Directory principalId, a Azure roleDefinitionId, and an optional principalIdDisplayName. The roleDefinition specified is granted to the principalId in the provider's Active Directory and the principalIdDisplayName is visible to customers."
            }
        },
        "eligibleAuthorizations": {
            "type": "array",
            "metadata": {
                "description": "Provide the authorizations that will have just-in-time role assignments on customer environments with support for approvals from the managing tenant"
            }
        }
    },
        "variables": {
            "mspRegistrationName": "[guid(parameters('mspOfferName'))]",
            "mspAssignmentName": "[guid(parameters('mspOfferName'))]"
        },
        "resources": [
            {
                "type": "Microsoft.ManagedServices/registrationDefinitions",
                "apiVersion": "2020-02-01-preview",
                "name": "[variables('mspRegistrationName')]",
                "properties": {
                    "registrationDefinitionName": "[parameters('mspOfferName')]",
                    "description": "[parameters('mspOfferDescription')]",
                    "managedByTenantId": "[parameters('managedByTenantId')]",
                    "authorizations": "[parameters('authorizations')]",
                    "eligibleAuthorizations": "[parameters('eligibleAuthorizations')]"
                }
            },
            {
                "type": "Microsoft.ManagedServices/registrationAssignments",
                "apiVersion": "2020-02-01-preview",
                "name": "[variables('mspAssignmentName')]",
                "dependsOn": [
                    "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
                ],
                "properties": {
                    "registrationDefinitionId": "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
                }
            }
        ],
        "outputs": {
            "mspOfferName": {
                "type": "string",
                "value": "[concat('Managed by', ' ', parameters('mspOfferName'))]"
            },
            "authorizations": {
                "type": "array",
                "value": "[parameters('authorizations')]"
            },
            "eligibleAuthorizations": {
                "type": "array",
                "value": "[parameters('eligibleAuthorizations')]"
            }
        }
    }

Parametre dosyanıza uygun yetkilendirmeleri tanımlama

Bir subscription-managing-tenant-approvers.Parameters.jseklemeye uygun yetkilendirmeler de dahil olmak üzere yetkilendirmeleri tanımlamak için örnek şablon üzerindeki örnek şablon kullanılabilir.

Uygun yetkilendirmelerin her biri parametresinde eligibleAuthorizations tanımlanmalıdır. Bu örnek bir uygun yetkilendirme içerir.

Bu şablon, öğesinde tanımlanan uygun rolleri etkinleştirmeye yönelik tüm girişimleri onaylaması gereken bir ekleyen managedbyTenantApprovers principalId öğesini de eligibleAuthorizations içerir.

{
    "$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "value": "Relecloud Managed Services"
        },
        "mspOfferDescription": {
            "value": "Relecloud Managed Services"
        },
        "managedByTenantId": {
            "value": "<insert the managing tenant id>"
        },
        "authorizations": {
            "value": [
                { 
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
                    "principalIdDisplayName": "PIM group"
                }
            ]
        }, 
        "eligibleAuthorizations":{
            "value": [
                {
                        "justInTimeAccessPolicy": {
                            "multiFactorAuthProvider": "Azure",
                            "maximumActivationDuration": "PT8H",
                            "managedByTenantApprovers": [ 
                                { 
                                    "principalId": "00000000-0000-0000-0000-000000000000", 
                                    "principalIdDisplayName": "PIM-Approvers" 
                                } 
                            ]
                        },
                        "principalId": "00000000-0000-0000-0000-000000000000", 
                        "principalIdDisplayName": "Tier 2 Support",
                        "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"

                }
            ]
        }
    }
}

parametresi içindeki her eligibleAuthorizations giriş uygun yetkilendirmeyi tanımlayan üç öğe içerir: principalId , ve roleDefinitionId justInTimeAccessPolicy .

principalId , bu uygun yetkilendirmenin geçerli olduğu Azure AD kullanıcı veya grubunun kimliğini belirtir.

roleDefinitionId , kullanıcının tam zamanında kullanmaya uygun olduğu bir Azure yerleşik rolünün rol tanımı kimliğini içerir. Aynı kullanan birden çok uygun yetkilendirme dahil roleDefinitionId ediyorsanız, bunların her biri için aynı ayarlara sahip justInTimeAccessPolicy olmalıdır.

justInTimeAccessPolicy üç öğe belirtir:

  • multiFactorAuthProvider, Azure AD Multi-Factor Authentication kullanılarak kimlik doğrulaması gerektiren Azure olarak veya çok faktörlü kimlik doğrulaması gerekli olmayacaksa Hiçbiri olarak ayarlanmış olabilir.
  • maximumActivationDuration , kullanıcının uygun role sahip olduğu toplam süre uzunluğunu ayarlar. Bu değerin ISO 8601 süre biçimini kullanması gerekir. En küçük değer PT30M (30 dakika) ve en büyük değer PT8H (8 saat). Basitlik sağlamak için değerleri yalnızca yarı saat artışlarına (örneğin, 6 saat için PT6H veya 6,5 saat için PT6H30M) kullanmanızı öneririz.
  • managedByTenantApprovers isteğe bağlıdır. Dahil ederseniz, bir PrincipalId 'nin bir veya daha fazla birleşimi ve uygun rolün etkinleştirilmesini onaylaması gereken bir Prenaliddisplayname içermelidir.

Bu öğeler hakkında daha fazla ayrıntı için yukarıdaki uygun yetkilendirme öğeleri bölümüne bakın.

Kullanıcılar için yükseltme işlemi

Azure 'da bir müşteri ekledikten sonra, eklediğiniz uygun roller belirtilen kullanıcı tarafından (veya belirtilen gruplardaki kullanıcılara) kullanılabilir.

Her Kullanıcı, Azure portal müşteriler sayfasını ziyaret ederek, bir temsilciyi seçip uygun rolleri Yönet' i seçerek istedikleri zaman erişimleri yükseltebilir. Bundan sonra, Azure AD Privileged Identity Management 'de rolü etkinleştirmek için bu adımları takip edebilir.

Azure portal uygun rolleri Yönet düğmesini gösteren ekran görüntüsü.

Onaylayanlar belirtilmişse, belirlenen onaylayan tarafından onay verilene kadar kullanıcı role erişemez. Onay istendiğinde tüm onaylayanlara bildirim gönderilir ve Kullanıcı onay verilene kadar uygun rolü kullanamaz. Bu durumda onaylayanlara de bir bildirim gönderilir. Onay süreci hakkında daha fazla bilgi için bkz. Privileged Identity Management Azure Kaynak rolleri için Istekleri onaylama veya reddetme.

Uygun rol etkinleştirildikten sonra, Kullanıcı uygun yetkilendirmede belirtilen tam süre için bu role sahip olur. Bu zaman süresinden sonra, yükseltme işlemini tekrarlarsa ve erişimini yeniden yükseltemediği sürece, bu rolü artık kullanamaz.

Sonraki adımlar