Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
在为客户引入 Azure Lighthouse 之前,请务必了解 Microsoft Entra 租户、用户和角色的运作方式,以及它们如何在 Azure Lighthouse 场景中应用。
租户是Microsoft Entra ID的专用受信任实例。 通常,每个租户表示一个组织。 Azure Lighthouse启用从一个租户到另一个租户的资源逻辑投影。 管理租户中的用户(例如属于服务提供商的一个)可以访问客户租户中的委托资源。 具有多个租户的企业还可以使用Azure Lighthouse集中管理操作。
若要实现此逻辑投影,您必须在客户租户中将订阅(或订阅中的一个或多个资源组)接入到Azure Lighthouse上。 可以通过以下任一方式完成入门过程:使用 Azure 资源管理器 模板,或者 将公共或专用产品/服务发布到 Azure 市场。
使用任一载入方法,需要定义 授权。 每个授权都包含一个 principalId(位于管理租户中的 Microsoft Entra 用户、组或服务主体),并结合一个内置角色,该角色定义了授予委派资源的特定权限。
备注
除非明确指定,否则Azure Lighthouse文档中对“用户”的引用可以应用于授权中的Microsoft Entra用户、组或服务主体。
定义Azure Lighthouse用户和角色的最佳做法
创建授权时,请遵循以下最佳做法:
- 尽可能将权限分配给Microsoft Entra用户组或服务主体,而不是分配给一系列单独的用户帐户。 通过使用此方法,你可以通过租户的Microsoft Entra ID添加或删除单个用户的访问权限,而无需每次更改单个访问要求时更新委派。
- 遵循最小特权原则。 为了减少无意中出错的可能性,用户只应拥有执行其特定工作所需的权限。 有关详细信息,请参阅建议的安全做法。
- 包括具有托管服务注册分配删除角色的授权,让你能够在需要时删除对委派的访问权限。 如果未分配此角色,则只有客户租户中的用户才能删除对委派资源的访问权限。
- 确保任何需要在 Azure 门户中查看“我的客户”页面的用户具有 Reader 角色(或其他包含读者访问权限的内置角色)。
Azure Lighthouse的角色支持
定义授权时,请为每个用户帐户分配一个 Azure 内置角色。 Azure Lighthouse 不支持自定义角色或classic 订阅管理员角色。
Azure Lighthouse支持除以下角色之外的所有内置角色:
不支持所有者角色。
支持用户访问管理员角色,但仅限用于向客户租户中的托管标识分配角色。 没有其他通常由此角色授予的权限适用。 如果定义具有此角色的用户,则还必须指定此用户可以分配给托管标识的角色。
不支持具有
DataActions权限的角色。不支持包含以下任何操作的角色:
- Microsoft/授权/*
- Microsoft。Authorization/*/write
- Microsoft。Authorization/*/delete
- Microsoft。Authorization/roleAssignments/write
- Microsoft。Authorization/roleAssignments/delete
- Microsoft。Authorization/roleDefinitions/write
- Microsoft。Authorization/roleDefinitions/delete
- Microsoft。Authorization/classicAdministrators/write
- Microsoft。Authorization/classicAdministrators/delete
- Microsoft。授权/锁定/写入
- Microsoft。授权/锁定/删除
- Microsoft。Authorization/denyAssignments/write
- Microsoft。Authorization/denyAssignments/delete
重要
分配角色时,请查看为每个角色指定的 操作 。 尽管Azure Lighthouse不支持具有 DataActions 权限的角色,但受支持角色中包含的某些操作可能允许访问数据。 这种访问通常发生在数据通过访问密钥公开时,而不是通过用户的身份进行访问。 例如,虚拟机参与者角色包括 Microsoft.Storage/storageAccounts/listKeys/action 操作,该操作返回可用于检索某些客户数据的存储帐户访问密钥。
在某些情况下,Azure Lighthouse之前支持的角色会变得不可用。 例如,如果将 DataActions 权限添加到以前没有该权限的角色,则无法在载入新委派时使用该角色。 已分配该角色的用户仍可处理以前委派的资源,但他们无法执行使用该 DataActions 权限的任何任务。
Microsoft一旦向Azure添加新的适用内置角色,您就可以在使用 Azure 资源管理器 模板为客户进行入门时分配该角色。 在合作伙伴中心中,发布托管服务报价时,新添加的角色可能会有延迟才会可用。 同样,如果某个角色不可用,你仍可能在合作伙伴中心看到它一段时间,但你无法发布使用此类角色的新产品/服务。
在Microsoft Entra租户之间转移委托订阅
如果将订阅转到另一个Microsoft Entra租户帐户,由Azure Lighthouse加入过程创建的注册定义和注册分配资源将保持不变。 此保留意味着,通过 Azure Lighthouse 授予的访问权限继续用于管理租户,适用于该订阅(或该订阅中的委派资源组)。
唯一的例外是,订阅被转移到以前委托的Microsoft Entra租户。 在这种情况下,将删除该租户的委派资源,并且通过Azure Lighthouse授予的访问权限不再适用,因为订阅现在直接属于该租户(而不是通过Azure Lighthouse委托给该租户)。 但是,如果该订阅也委派给了其他管理租户,则其他管理租户将保留对订阅的相同访问权限。
后续步骤
- 了解 适用于 Azure Lighthouse 的建议安全实践。
- 将客户加入 Azure Lighthouse,可以使用 Azure 资源管理器 模板,或者在 Azure 市场 发布专用或公共托管服务。