Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
При подключении клиентов к Azure Lighthouse вы создаете авторизацию для предоставления указанных Azure встроенных ролей пользователям в управляющем клиенте. Кроме того, можно создать соответствующие авторизации, использующие Microsoft Entra управление привилегированными пользователями (PIM), чтобы пользователи могли временно повысить свою роль в управляемом клиенте. Это повышение роли предоставляет дополнительные разрешения на основе своевременной (Just-In-Time) доставки, чтобы пользователи имели только эти разрешения на заданный период времени.
Создавая соответствующие разрешения, можно свести к минимуму количество постоянных назначений пользователей привилегированным ролям. Этот подход помогает снизить риски безопасности, связанные с привилегированным доступом пользователей в вашем арендаторе.
В этой статье объясняется, как работают соответствующие авторизации и как создавать их при подключении клиента к Azure Lighthouse.
Требования к лицензиям
Так как допустимые авторизации используют Microsoft Entra управление привилегированными пользователями, управляющий клиент должен иметь лицензию valid Управление Microsoft Entra ID, поддерживающую Privileged Identity management для создания соответствующих авторизации.
Любые дополнительные затраты, связанные с соответствующей ролью, применяются только в течение периода времени, в течение которого пользователь повышает доступ к этой роли.
Примечание.
Создание соответствующих разрешений не поддерживается в национальных облаках.
Принцип работы соответствующих авторизаций
Соответствующая авторизация определяет назначение ролей, при котором пользователь должен активировать роль тогда, когда возникнет необходимость выполнить привилегированные задачи. При активации соответствующей роли у них есть полный доступ, предоставленный этой ролью в течение указанного периода времени.
Перед процессом подключения пользователи в арендаторе клиента могут просмотреть все назначения ролей, включая те, которые входят в соответствующие авторизации.
Когда пользователь активирует подходящую роль, он получает повышенную роль в пределах делегированной области на предварительно настроенный период времени в дополнение к своим постоянным назначениям ролей для этой области.
Администраторы в управляющем клиенте могут просматривать все активности управление привилегированными пользователями, просматривая журнал аудита в клиенте управления. Клиенты могут просматривать эти действия в журнале действий Azure для делегированной подписки.
Соответствующие элементы авторизации
Вы можете создать доступную авторизацию при подключении клиентов с помощью шаблонов Azure Resource Manager или публикации предложения Управляемых служб в Майкрософт Marketplace. Все соответствующие авторизации нужно должны содержать три элемента — пользователя, роль и политику доступа.
Пользователь
Для каждой подходящей авторизации укажите Principal ID для отдельного пользователя или группы Microsoft Entra в управляющем арендаторе. Наряду с идентификатором субъекта укажите отображаемое имя для каждой авторизации.
При назначении соответствующей авторизации группе любой член этой группы может повысить свой собственный индивидуальный доступ к этой роли в соответствии с политикой доступа.
Нельзя использовать доступные разрешения с сервисными принципалами, так как в настоящее время нет возможности для учетной записи сервисного принципала повысить уровень доступа и использовать доступную роль. Вы также не можете использовать допустимые авторизации с delegatedRoleDefinitionIds правами администратора доступа пользователей, который может назначить их для управляемых удостоверений.
Примечание.
Для каждой соответствующей авторизации обязательно создайте постоянную (активную) авторизацию для одного и того же идентификатора пользователя с другой ролью, например, Читатель (или другую встроенную роль Azure, которая включает доступ Читателя). Если вы не включаете постоянную авторизацию с доступом читателя, пользователь не может повысить свою роль на портале Azure.
Роль
Каждая подходящая авторизация должна включать встроенную роль Azure, которую пользователь может использовать в режиме just-in-time.
Эта роль может быть любой встроенной ролью Azure, которая поддерживается для делегированного управления ресурсами Azure за исключением администратора доступа пользователей.
Внимание
Если включить несколько соответствующих авторизаций, использующих одну и ту же роль, то все они должны иметь одинаковые параметры политики доступа.
Политика доступа
Политика доступа определяет требования многофакторной аутентификации (МФА), продолжительность времени, в течение которого пользователь активирован в роли перед ее истечением, а также нужно ли привлекать утверждающих.
Многофакторная проверка подлинности
Укажите, требуется ли Microsoft Entra многофакторная проверка подлинности для активации соответствующей роли.
Максимальная длительность
Определите общий период времени, в течение которого у пользователя будет соответствующая роль. Минимальное значение составляет 30 минут, а максимальное — 8 часов.
Утверждающие
Элемент "Утверждающие" является необязательным. При его добавлении вы можете указать до 10 пользователей или групп пользователей в управляющем арендаторе, которые могут утверждать или отклонять запросы от пользователя для активации соответствующей роли.
Нельзя использовать учетную запись субъекта-службы в качестве утверждающего. Кроме того, утверждающие лица не могут утвердить свой собственный доступ. Если утверждающий также включен в качестве пользователя в допустимой авторизации, другой утверждающий должен предоставить доступ, чтобы они могли повысить свою роль.
Если вы не включаете утверждающих лиц, пользователь может активировать доступную роль в любое время, когда они захотят.
Создайте соответствующие разрешения с помощью предложений управляемых сервисов
Вы можете подключить клиента к Azure Lighthouse, публикуя предложения Управляемых служб в Майкрософт Marketplace. При создании предложений в Центре партнеров вы указываете, должен ли тип доступа для каждой авторизации быть активным или допустимым.
При выборе "Допустимый" пользователь с вашей авторизацией может активировать роль в соответствии с настроенной политикой доступа. Необходимо задать максимальную длительность от 30 минут до 8 часов и указать, требуется ли многофакторная проверка подлинности. Можно также добавить до 10 утверждающих, если вы решили их использовать, указав отображаемое имя и идентификатор субъекта для каждого из них.
При настройке прав авторизации в Центре партнеров обязательно ознакомьтесь с соответствующими элементами прав авторизации.
Создание соответствующих авторизации с помощью шаблонов Azure Resource Manager
Вы можете подключить клиентов к Azure Lighthouse с помощью шаблона Azure Resource Manager вместе с соответствующим файлом параметров, который вы изменяете. Выбор шаблона зависит от того, интегрируете ли вы всю подписку, группу ресурсов или несколько групп ресурсов в рамках подписки.
Чтобы включить соответствующие авторизации при подключении клиента, используйте один из шаблонов из раздела delegated-resource-management-eligible-authorizations нашего репозитория. Репозиторий предоставляет шаблоны как с утверждающими, так и без них, чтобы можно было использовать тот, который лучше подходит для вашего сценария.
| Чтобы подключить это (с соответствующими авторизациями) | Используйте этот шаблон Azure Resource Manager | И измените этот файл параметров |
|---|---|---|
| Подписка | subscription.json | subscription.parameters.json |
| Подписка (с утверждающими лицами) | subscription-managing-tenant-approvers.json | subscription-managing-tenant-approvers.parameters.json |
| Группа ресурсов | rg.json | rg.parameters.json |
| Группа ресурсов (с утверждающими) | rg-managing-tenant-approvers.json | rg-managing-tenant-approvers.parameters.json |
| Несколько групп ресурсов в подписке | multiple-rg.json | multiple-rg.parameters.json |
| Несколько групп ресурсов в рамках подписки (с утверждающими лицами) | multiple-rg-managing-tenant-approvers.json | multiple-rg-managing-tenant-approvers.parameters.json |
Например, это шаблон subscription-managing-tenant-approvers.json, который используется для подключения подписки с соответствующими разрешениями (включая утверждающих).
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/subscriptionDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mspOfferName": {
"type": "string",
"metadata": {
"description": "Specify a unique name for your offer"
}
},
"mspOfferDescription": {
"type": "string",
"metadata": {
"description": "Name of the Managed Service Provider offering"
}
},
"managedByTenantId": {
"type": "string",
"metadata": {
"description": "Specify the tenant id of the Managed Service Provider"
}
},
"authorizations": {
"type": "array",
"metadata": {
"description": "Specify an array of objects, containing tuples of Azure Active Directory principalId, a Azure roleDefinitionId, and an optional principalIdDisplayName. The roleDefinition specified is granted to the principalId in the provider's Active Directory and the principalIdDisplayName is visible to customers."
}
},
"eligibleAuthorizations": {
"type": "array",
"metadata": {
"description": "Provide the authorizations that will have just-in-time role assignments on customer environments with support for approvals from the managing tenant"
}
}
},
"variables": {
"mspRegistrationName": "[guid(parameters('mspOfferName'))]",
"mspAssignmentName": "[guid(parameters('mspOfferName'))]"
},
"resources": [
{
"type": "Microsoft.ManagedServices/registrationDefinitions",
"apiVersion": "2020-02-01-preview",
"name": "[variables('mspRegistrationName')]",
"properties": {
"registrationDefinitionName": "[parameters('mspOfferName')]",
"description": "[parameters('mspOfferDescription')]",
"managedByTenantId": "[parameters('managedByTenantId')]",
"authorizations": "[parameters('authorizations')]",
"eligibleAuthorizations": "[parameters('eligibleAuthorizations')]"
}
},
{
"type": "Microsoft.ManagedServices/registrationAssignments",
"apiVersion": "2020-02-01-preview",
"name": "[variables('mspAssignmentName')]",
"dependsOn": [
"[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
],
"properties": {
"registrationDefinitionId": "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
}
}
],
"outputs": {
"mspOfferName": {
"type": "string",
"value": "[concat('Managed by', ' ', parameters('mspOfferName'))]"
},
"authorizations": {
"type": "array",
"value": "[parameters('authorizations')]"
},
"eligibleAuthorizations": {
"type": "array",
"value": "[parameters('eligibleAuthorizations')]"
}
}
}
Определение соответствующих авторизаций в файле параметров
Файл параметров, соответствующий шаблону развертывания, определяет авторизацию, включая допустимые авторизации.
Определите каждую из соответствующих авторизации в параметре eligibleAuthorizations . Например, этот пример шаблона subscription-managing-tenant-approvers.parameters.json включает одну допустимую авторизацию. Также включается элемент managedbyTenantApprovers, который добавляет principalId, являющегося лицом, ответственным за утверждение всех попыток активировать доступные роли, определенные в элементе eligibleAuthorizations.
{
"$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mspOfferName": {
"value": "Relecloud Managed Services"
},
"mspOfferDescription": {
"value": "Relecloud Managed Services"
},
"managedByTenantId": {
"value": "<insert the managing tenant id>"
},
"authorizations": {
"value": [
{
"principalId": "00000000-0000-0000-0000-000000000000",
"roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
"principalIdDisplayName": "PIM group"
}
]
},
"eligibleAuthorizations":{
"value": [
{
"justInTimeAccessPolicy": {
"multiFactorAuthProvider": "Azure",
"maximumActivationDuration": "PT8H",
"managedByTenantApprovers": [
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "PIM-Approvers"
}
]
},
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Tier 2 Support",
"roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
}
]
}
}
}
Каждая запись в параметре eligibleAuthorizations содержит три элемента, определяющих соответствующую авторизацию: principalId, roleDefinitionId и justInTimeAccessPolicy.
principalId указывает идентификатор пользователя или группы Microsoft Entra, к которому применяется соответствующая авторизация.
roleDefinitionId содержит идентификатор определения роли для встроенной роли Azure, которую пользователь сможет использовать на основе подхода 'just-in-time'. Если добавляется несколько допустимых авторизаций, использующих один и тот же параметр roleDefinitionId, то у всех них должны быть одинаковые параметры для justInTimeAccessPolicy.
justInTimeAccessPolicy задает три элемента:
-
multiFactorAuthProviderможно задать для Azure, для которой требуется проверка подлинности Microsoft Entra с помощью многофакторной проверки подлинности или None если многофакторная проверка подлинности не требуется. -
maximumActivationDurationзадает общий период времени, в течение которого у пользователя будет соответствующая роль. Значение должно быть в формате длительности ISO 8601. Минимальное значение — PT30M (30 минут), а максимальное — PT8H (8 часов). Для простоты используйте значения в половинных часах, например PT6H для 6 часов или PT6H30M для 6,5 часов. -
managedByTenantApproversявляется необязательным. Если вы его включаете, он должен содержать одну или несколько комбинаций principalId и principalIdDisplayName, которые должны утвердить любую активацию подходящей роли.
Дополнительные сведения об этих элементах см. в разделе "Допустимые элементы авторизации".
Процесс повышения уровня доступа пользователей
После подключения клиента к Azure Lighthouse указанный пользователь (или пользователи в любой указанной группе) может получить доступ к соответствующим ролям, которые вы включили.
Каждый пользователь может повысить уровень доступа в любое время, перейдя на страницу Мои клиенты на портале Azure, выбрав делегирование, а затем выбрав Управление допущенными ролями. После этого они могут следовать шагам, чтобы активировать роль в Microsoft Entra управление привилегированными пользователями.
Если указать утверждающих, пользователь не сможет получить доступ к роли, пока утверждающий из управляющей организации не предоставит утверждение. Все утверждающие уведомляются при запросе утверждения, и пользователь не может использовать доступную роль до тех пор, пока не будет предоставлено утверждение. Одобряющие также получают уведомления о каждом утверждении.
Дополнительные сведения о процессе утверждения см. в разделе Утверждение или отклонение запросов на роли ресурсов Azure в управление привилегированными пользователями.
После активации роли она будет у пользователя в течение всего периода времени, указанного в соответствующей авторизации. По истечении этого периода пользователь больше не сможет использовать эту роль, если не повторит процесс повышения прав и не повысит уровень доступа еще раз.
Следующие шаги
- Узнайте, как подключить клиентов к Azure Lighthouse с помощью шаблонов ARM.
- Узнайте, как подключать клиентов, используя предложения для управляемых служб.
- Дополнительные сведения о Microsoft Entra управление привилегированными пользователями.
- Дополнительные сведения о тенантах, пользователях и ролях в Azure Lighthouse.