Crear autorizaciones elegibles

Al incorporar clientes a Azure Lighthouse, puede crear autorizaciones para conceder roles integrados de Azure concretos a los usuarios del inquilino de administración. También puede crear autorizaciones aptas que usen Microsoft Entra Privileged Identity Management (PIM) para permitir que los usuarios del inquilino de administración tengan un rol superior temporalmente. Esta elevación de roles concede permisos adicionales justo a tiempo para que los usuarios solo tengan esos permisos durante una duración establecida.

Al crear autorizaciones aptas, se minimiza el número de asignaciones permanentes de usuarios a roles con privilegios. Este enfoque ayuda a reducir los riesgos de seguridad relacionados con el acceso con privilegios por parte de los usuarios del inquilino.

En este artículo se explica cómo funcionan las autorizaciones elegibles y cómo crearlas al incorporar a un cliente en Azure Lighthouse.

Requisitos de licencia

Dado que las autorizaciones aptas usan Microsoft Entra Privileged Identity Management, el arrendatario de administración debe tener una licencia de Gobierno de Microsoft Entra ID válida que admita la gestión de identidades privilegiadas para crear autorizaciones aptas.

Los costos adicionales asociados a un rol apto solo se aplican durante el período de tiempo en el que el usuario eleva su acceso a ese rol.

Nota

No se admite la creación de autorizaciones aptas en nubes nacionales.

Cómo funcionan las autorizaciones válidas

Una autorización apta define una asignación de roles que requiere que el usuario active el rol cuando necesite realizar tareas con privilegios. Cuando activan el rol apto, tienen el acceso total concedido por ese rol durante el período de tiempo especificado.

Los usuarios del inquilino del cliente pueden revisar todas las asignaciones de roles, incluidas las de las autorizaciones aptas, antes del proceso de incorporación.

Cuando un usuario activa un rol apto, obtiene ese rol elevado en el ámbito delegado durante un período de tiempo preconfigurado, además de sus asignaciones de roles permanentes para ese ámbito.

Los administradores de la entidad de administración pueden revisar todas las actividades de Privileged Identity Management consultando el registro de auditoría en dicha entidad. Los clientes pueden ver estas acciones en el registro de actividad de Azure para la suscripción delegada.

Elementos de autorización aptos

Puede crear una autorización apta al incorporar a los clientes mediante plantillas de Azure Resource Manager o mediante la publicación de una oferta de Servicios administrados para Microsoft Marketplace. Cada autorización apta debe incluir tres elementos: el usuario, el rol y la directiva de acceso.

Usuario

Para cada autorización apta, se proporciona el ID de entidad de seguridad para un usuario individual o un grupo de Microsoft Entra en el inquilino de administración. Junto con el ID principal, proporcione un nombre para mostrar para cada autorización.

Si asigna una autorización apta a un grupo, cualquier miembro de ese grupo puede elevar su propio acceso individual a ese rol, según la directiva de acceso.

No puede usar autorizaciones aptas con entidades de servicio, ya que actualmente no hay ninguna manera de que una cuenta de entidad de servicio eleve su acceso y use un rol apto. Tampoco puede usar autorizaciones aptas con delegatedRoleDefinitionIds que un administrador de acceso de usuarios puede asignar a identidades administradas.

Nota

Para cada autorización apta, asegúrese de crear también una autorización permanente (activa) para el mismo ID de entidad de seguridad con un rol diferente, como Lector (u otro rol integrado de Azure que incluya acceso de lectura). Si no incluye una autorización permanente con acceso lector, el usuario no puede elevar su rol en el portal de Azure.

Rol

Cada autorización apta debe incluir un rol integrado de Azure que el usuario pueda usar de manera justo a tiempo.

El rol puede ser cualquier rol integrado Azure que sea compatible con la administración de recursos delegados Azure, excepto para el administrador de acceso de usuario.

Importante

Si incluye varias autorizaciones aptas que usan el mismo rol, cada una de las autorizaciones aptas debe tener la misma configuración de directiva de acceso.

Directiva de acceso

La directiva de acceso define los requisitos de autenticación multifactor, el período de tiempo que un usuario tendrá el rol activo antes de que expire y si se requieren aprobadores.

Autenticación multifactor

Especifique si se debe requerir Microsoft Entra autenticación multifactor para activar un rol apto.

Duración máxima

Defina el período de tiempo total durante el que el usuario tendrá el rol apto. El valor mínimo es 30 minutos y el máximo es 8 horas.

Aprobadores

El elemento de aprobadores es opcional. Si lo incluye, puede especificar hasta 10 usuarios o grupos de usuarios del arrendatario administrador que pueden aprobar o denegar solicitudes de un usuario para activar el rol elegible.

No puede usar una cuenta de entidad de servicio como aprobador. Además, los aprobadores no pueden aprobar su propio acceso. Si un aprobador también se incluye como usuario en una autorización elegible, un aprobador diferente debe concederle acceso para que eleve su rol.

Si no incluye ningún aprobador, el usuario puede activar el rol apto siempre que elija.

Creación de autorizaciones aptas mediante ofertas de Servicios administrados

Puede incorporar el cliente a Azure Lighthouse publicando ofertas de Managed Services en Microsoft Marketplace. Al crear las ofertas en el Centro de partners, especifica si el tipo de acceso para cada autorización debe ser Activo o Apto.

Al seleccionar Apto, el usuario de la autorización puede activar el rol según la directiva de acceso que configure. Debe establecer una duración máxima entre 30 minutos y 8 horas y especificar si necesita autenticación multifactor. También puede agregar hasta 10 aprobadores si decide usarlos, proporcionando un nombre para mostrar y un ID principal para cada uno.

Asegúrese de comprender los elementos de autorización aptos al configurar las autorizaciones aptas en el Centro de partners.

Creación de autorizaciones aptas mediante plantillas de Azure Resource Manager

Puede incorporar clientes a Azure Lighthouse mediante una plantilla Azure Resource Manager junto con un archivo de parámetros correspondiente que modifique. La plantilla que elija depende de si va a incorporar una suscripción completa, un grupo de recursos o varios grupos de recursos dentro de una suscripción.

Para incluir autorizaciones elegibles al incorporar un cliente, utilice una de las plantillas de la sección delegated-resource-management-eligible-authorizations del repositorio de ejemplos. El repositorio proporciona plantillas con y sin aprobadores incluidos, de modo que pueda usar la que mejor funcione para su escenario.

Para incorporar esto (con autorizaciones aptas) Usar esta plantilla de Azure Resource Manager Y modifique este archivo de parámetros
Suscripción subscription.json subscription.parameters.json
Suscripción (con aprobadores) subscription-managing-tenant-approvers.json subscription-managing-tenant-approvers.parameters.json
Grupo de recursos rg.json rg.parameters.json
Grupo de recursos (con aprobadores) rg-managing-tenant-approvers.json rg-managing-tenant-approvers.parameters.json
Varios grupos de recursos de una suscripción multiple-rg.json multiple-rg.parameters.json
Varios grupos de recursos de una suscripción (con aprobadores) multiple-rg-managing-tenant-approvers.json multiple-rg-managing-tenant-approvers.parameters.json

Por ejemplo, esta es la plantilla subscription-managing-tenant-approvers.json, que incorpora una suscripción con autorizaciones aptas (incluidos los aprobadores).

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/subscriptionDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "type": "string",
            "metadata": {
                "description": "Specify a unique name for your offer"
            }
        },
        "mspOfferDescription": {
            "type": "string",
            "metadata": {
                "description": "Name of the Managed Service Provider offering"
            }
        },
        "managedByTenantId": {
            "type": "string",
            "metadata": {
                "description": "Specify the tenant id of the Managed Service Provider"
            }
        },
        "authorizations": {
            "type": "array",
            "metadata": {
                "description": "Specify an array of objects, containing tuples of Azure Active Directory principalId, a Azure roleDefinitionId, and an optional principalIdDisplayName. The roleDefinition specified is granted to the principalId in the provider's Active Directory and the principalIdDisplayName is visible to customers."
            }
        },
        "eligibleAuthorizations": {
            "type": "array",
            "metadata": {
                "description": "Provide the authorizations that will have just-in-time role assignments on customer environments with support for approvals from the managing tenant"
            }
        }
    },
        "variables": {
            "mspRegistrationName": "[guid(parameters('mspOfferName'))]",
            "mspAssignmentName": "[guid(parameters('mspOfferName'))]"
        },
        "resources": [
            {
                "type": "Microsoft.ManagedServices/registrationDefinitions",
                "apiVersion": "2020-02-01-preview",
                "name": "[variables('mspRegistrationName')]",
                "properties": {
                    "registrationDefinitionName": "[parameters('mspOfferName')]",
                    "description": "[parameters('mspOfferDescription')]",
                    "managedByTenantId": "[parameters('managedByTenantId')]",
                    "authorizations": "[parameters('authorizations')]",
                    "eligibleAuthorizations": "[parameters('eligibleAuthorizations')]"
                }
            },
            {
                "type": "Microsoft.ManagedServices/registrationAssignments",
                "apiVersion": "2020-02-01-preview",
                "name": "[variables('mspAssignmentName')]",
                "dependsOn": [
                    "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
                ],
                "properties": {
                    "registrationDefinitionId": "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
                }
            }
        ],
        "outputs": {
            "mspOfferName": {
                "type": "string",
                "value": "[concat('Managed by', ' ', parameters('mspOfferName'))]"
            },
            "authorizations": {
                "type": "array",
                "value": "[parameters('authorizations')]"
            },
            "eligibleAuthorizations": {
                "type": "array",
                "value": "[parameters('eligibleAuthorizations')]"
            }
        }
    }

Definición de autorizaciones aptas en el archivo de parámetros

El archivo de parámetros que corresponde a la plantilla de implementación define autorizaciones, incluidas las autorizaciones aptas.

Defina cada una de las autorizaciones elegibles en el parámetro eligibleAuthorizations. Por ejemplo, esta plantilla de ejemplo subscription-managing-tenant-approvers.parameters.json incluye una autorización apta. También incluye el managedbyTenantApprovers elemento , que agrega un principalId que debe aprobar todos los intentos de activar los roles aptos definidos en el eligibleAuthorizations elemento .

{
    "$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "value": "Relecloud Managed Services"
        },
        "mspOfferDescription": {
            "value": "Relecloud Managed Services"
        },
        "managedByTenantId": {
            "value": "<insert the managing tenant id>"
        },
        "authorizations": {
            "value": [
                { 
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
                    "principalIdDisplayName": "PIM group"
                }
            ]
        }, 
        "eligibleAuthorizations":{
            "value": [
                {
                        "justInTimeAccessPolicy": {
                            "multiFactorAuthProvider": "Azure",
                            "maximumActivationDuration": "PT8H",
                            "managedByTenantApprovers": [ 
                                { 
                                    "principalId": "00000000-0000-0000-0000-000000000000", 
                                    "principalIdDisplayName": "PIM-Approvers" 
                                } 
                            ]
                        },
                        "principalId": "00000000-0000-0000-0000-000000000000", 
                        "principalIdDisplayName": "Tier 2 Support",
                        "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"

                }
            ]
        }
    }
}

Cada entrada dentro del parámetro eligibleAuthorizations contiene tres elementos que definen una autorización apta: principalId, roleDefinitionId y justInTimeAccessPolicy.

principalId especifica el identificador del usuario o grupo de Microsoft Entra al que se aplica esta autorización apta.

roleDefinitionId contiene el ID de definición de rol para un rol integrado de Azure que el usuario podrá usar cuando sea necesario. Si incluye varias autorizaciones aptas que usen el mismo roleDefinitionId, todas ellas deben tener una configuración idéntica para justInTimeAccessPolicy.

justInTimeAccessPolicy especifica tres elementos:

  • multiFactorAuthProvider se puede establecer en Azure, lo que requiere autenticación mediante Microsoft Entra autenticación multifactor o en None si no se requiere autenticación multifactor.
  • maximumActivationDuration establece el período de tiempo total durante el que el usuario tendrá el rol apto. Este valor debe usar el formato de duración ISO 8601. El valor mínimo es PT30M (30 minutos) y el máximo, PT8H (8 horas). Para simplificar, use valores en incrementos de media hora, como PT6H durante 6 horas o PT6H30M durante 6,5 horas.
  • managedByTenantApprovers es opcional. Si lo incluye, debe contener una o varias combinaciones de un elemento principalId y un elemento principalIdDisplayName que serán necesarios para aprobar cualquier activación del rol apto.

Para obtener más información sobre estos elementos, consulte la sección Elementos de autorización aptos.

Proceso de escalamiento para usuarios

Después de incorporar un cliente a Azure Lighthouse, el usuario especificado (o usuarios de cualquier grupo especificado) puede acceder a los roles aptos que incluyó.

Cada usuario puede elevar su acceso en cualquier momento visitando la página My customers en el portal de Azure, seleccionando una delegación y seleccionando Administrar roles aptos. Después, pueden seguir los pasos para activar el rol en Microsoft Entra Privileged Identity Management.

Si especifica aprobadores, el usuario no puede acceder al rol hasta que un aprobador del inquilino administrador conceda la aprobación. Todos los aprobadores reciben una notificación cuando se solicita la aprobación y el usuario no puede usar el rol apto hasta que se conceda la aprobación. Los aprobadores también reciben notificaciones sobre cada aprobación.

Para obtener más información sobre el proceso de aprobación, consulte Aprobación o denegación de solicitudes de roles de recursos de Azure en Privileged Identity Management.

Una vez activado el rol apto, el usuario tendrá ese rol durante todo el tiempo especificado en la autorización apta. Después de ese período de tiempo, ya no podrán usar ese rol, a menos que repitan el proceso de elevación y eleven su acceso de nuevo.

Pasos siguientes

  • Last updated on