Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Lorsque vous intégrez des clients à Azure Lighthouse, vous créez des autorisations pour accorder des rôles intégrés Azure spécifiés aux utilisateurs de votre locataire gérant. Vous pouvez également créer des autorisations éligibles qui utilisent Microsoft Entra Privileged Identity Management (PIM) pour permettre aux utilisateurs de votre locataire gérant d’élever temporairement leur rôle. Cette élévation de rôle accorde des autorisations supplémentaires en temps opportun afin que les utilisateurs aient uniquement ces autorisations pendant une période déterminée.
En créant des autorisations éligibles, vous réduisez le nombre d’affectations permanentes d’utilisateurs aux rôles privilégiés. Cette approche permet de réduire les risques de sécurité liés à l’accès privilégié par les utilisateurs de votre locataire.
Cet article explique comment les autorisations éligibles fonctionnent et comment les créer lors de l'intégration d'un client à Azure Lighthouse.
Conditions de licence :
Étant donné que les autorisations éligibles utilisent Microsoft Entra Privileged Identity Management, le locataire gérant doit disposer d’une licence valid Gouvernance Microsoft Entra ID qui prend en charge Privileged Identity management pour créer des autorisations éligibles.
Les coûts supplémentaires associés à un rôle éligible s’appliquent uniquement pendant la période pendant laquelle l’utilisateur élève son accès à ce rôle.
Note
La création d’autorisations éligibles n’est pas prise en charge dans les clouds nationaux.
Fonctionnement des autorisations éligibles
Une autorisation éligible définit une attribution de rôle qui oblige l’utilisateur à activer le rôle lorsqu’il doit effectuer des tâches privilégiées. Lorsqu’ils activent le rôle éligible, ils disposent de l’accès complet accordé par ce rôle pour la période spécifiée.
Les utilisateurs du locataire client peuvent passer en revue toutes les attributions de rôle, notamment celles des autorisations éligibles, avant le processus d’intégration.
Lorsqu’un utilisateur active un rôle éligible, il obtient ce rôle élevé sur l’étendue déléguée pour une période préconfigurée, en plus de ses attributions de rôles permanentes pour cette étendue.
Les administrateurs du locataire de gestion peuvent passer en revue toutes les activités de Privileged Identity Management en consultant le journal d’audit dans le locataire de gestion. Les clients peuvent afficher ces actions dans le journal d’activité Azure de l’abonnement délégué.
Éléments des autorisations éligibles
Vous pouvez créer une autorisation éligible lors de l’intégration des clients à l’aide de modèles Azure Resource Manager ou en publiant une offre Managed Services sur Microsoft Place de marché. Chaque autorisation éligible doit inclure trois éléments : l’utilisateur, le rôle et la stratégie d’accès.
Utilisateur
Pour chaque autorisation éligible, fournissez l’ID principal d’un utilisateur individuel ou d’un groupe Microsoft Entra dans le locataire gérant. En complément de l’ID principal, précisez un nom d’affichage pour chaque autorisation.
Si vous attribuez une autorisation éligible à un groupe, tout membre de ce groupe peut élever son propre accès individuel à ce rôle, conformément à la stratégie d’accès.
Vous ne pouvez pas utiliser d’autorisations éligibles avec des principaux de service, car il n’existe aucun moyen pour un compte de principal de service d’élever son accès et d’utiliser un rôle éligible. Vous ne pouvez pas non plus utiliser des autorisations éligibles avec delegatedRoleDefinitionIds qu'un administrateur d'accès utilisateur peut attribuer aux identités managées.
Note
Pour chaque autorisation éligible, veillez également à créer une autorisation permanente (active) pour le même ID principal avec un rôle différent, tel que Lecteur (ou un autre rôle intégré Azure qui inclut l’accès Lecteur). Si vous n'incluez pas d'autorisation permanente avec l'accès Lecteur, l'utilisateur ne peut pas élever son rôle dans le portail Azure.
Rôle
Chaque autorisation admissible doit intégrer un rôle Azure prédéfini que l’utilisateur peut activer selon le principe du « juste-à-temps ».
Le rôle peut être n'importe quel rôle intégré d'Azure pris en charge pour la gestion des ressources déléguées d'Azure, à l'exception de l'administrateur de l'accès utilisateur.
Important
Si vous incluez plusieurs autorisations éligibles qui utilisent le même rôle, chacune des autorisations éligibles doit avoir les mêmes paramètres de stratégie d’accès.
Stratégie d’accès
La stratégie d’accès définit l’authentification multifacteur requise, la durée pendant laquelle un utilisateur peut endosser le rôle avant que ce dernier n’expire et si des approbateurs sont nécessaires.
Authentification multifacteur
Spécifiez s'il faut exiger l'authentification multifacteur Microsoft Entra pour l'activation d'un rôle éligible.
Durée maximale
Définissez la durée totale pendant laquelle le rôle éligible est attribué à l’utilisateur. La valeur minimale est 30 minutes et la valeur maximale est 8 heures.
Approbateurs
L’élément des approbateurs est facultatif. Si vous l’incluez, vous pouvez spécifier jusqu’à dix utilisateurs ou groupes d’utilisateurs dans le locataire de gestion qui peuvent approuver ou refuser des demandes d’un utilisateur pour activer le rôle éligible.
Vous ne pouvez pas utiliser un compte principal de service comme approbateur. En outre, les approbateurs ne peuvent pas approuver leur propre accès. Si un approbateur est également inclus en tant qu’utilisateur dans une autorisation éligible, un autre approbateur doit lui accorder l’accès pour élever son rôle.
Si vous n’incluez aucun approbateur, l’utilisateur peut activer le rôle éligible chaque fois qu’il le choisit.
Créer des autorisations éligibles à l’aide d’offres Managed Services
Vous pouvez intégrer votre client à Azure Lighthouse en publiant des offres Managed Services sur Microsoft Place de marché. Lors de la création de vos offres dans l’Espace partenaires, vous spécifiez si le type d’accès de chaque autorisation doit être actif ou éligible.
Lorsque vous sélectionnez Éligible, l’utilisateur dans votre autorisation peut activer le rôle en fonction de la stratégie d’accès que vous configurez. Vous devez définir une durée maximale comprise entre 30 minutes et 8 heures, et spécifier si vous avez besoin d’une authentification multifacteur. Vous pouvez également ajouter jusqu’à 10 approbateurs si vous choisissez de les utiliser, en fournissant un nom complet et un ID de principal pour chacun d’entre eux.
Veillez à comprendre les éléments d’autorisation éligibles lors de la configuration de vos autorisations éligibles dans l’Espace partenaires.
Créer des autorisations éligibles à l’aide de modèles Azure Resource Manager
Vous pouvez intégrer des clients à Azure Lighthouse à l’aide d’un modèle Azure Resource Manager ainsi qu’un fichier de paramètres correspondant que vous modifiez. Le modèle que vous choisissez dépend de l’intégration d’un abonnement entier, d’un groupe de ressources ou de plusieurs groupes de ressources au sein d’un abonnement.
Pour inclure des autorisations éligibles lorsque vous intégrez un client, utilisez l’un des modèles de la section delegated-resource-management-eligible-authorizations de notre référentiel d’exemples. Le référentiel fournit des modèles avec et sans approbateurs inclus, afin que vous puissiez utiliser celui qui fonctionne le mieux pour votre scénario.
| Pour intégrer ceci (avec des autorisations éligibles) | Utiliser ce modèle Azure Resource Manager | Et modifier ce fichier de paramètres |
|---|---|---|
| Abonnement | subscription.json | subscription.parameters.json |
| Abonnement (avec approbateurs) | subscription-managing-tenant-approvers.json | subscription-managing-tenant-approvers.parameters.json |
| Groupe de ressources | rg.json | rg.parameters.json |
| Groupe de ressources (avec approbateurs) | rg-managing-tenant-approvers.json | rg-managing-tenant-approvers.parameters.json |
| Plusieurs groupes de ressources au sein d’un abonnement | multiple-rg.json | multiple-rg.parameters.json |
| Plusieurs groupes de ressources au sein d’un abonnement (avec approbateurs) | multiple-rg-managing-tenant-approvers.json | multiple-rg-managing-tenant-approvers.parameters.json |
Par exemple, il s’agit du modèle subscription-managing-tenant-approvers.json , qui intègre un abonnement avec des autorisations éligibles (y compris les approbateurs).
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/subscriptionDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mspOfferName": {
"type": "string",
"metadata": {
"description": "Specify a unique name for your offer"
}
},
"mspOfferDescription": {
"type": "string",
"metadata": {
"description": "Name of the Managed Service Provider offering"
}
},
"managedByTenantId": {
"type": "string",
"metadata": {
"description": "Specify the tenant id of the Managed Service Provider"
}
},
"authorizations": {
"type": "array",
"metadata": {
"description": "Specify an array of objects, containing tuples of Azure Active Directory principalId, a Azure roleDefinitionId, and an optional principalIdDisplayName. The roleDefinition specified is granted to the principalId in the provider's Active Directory and the principalIdDisplayName is visible to customers."
}
},
"eligibleAuthorizations": {
"type": "array",
"metadata": {
"description": "Provide the authorizations that will have just-in-time role assignments on customer environments with support for approvals from the managing tenant"
}
}
},
"variables": {
"mspRegistrationName": "[guid(parameters('mspOfferName'))]",
"mspAssignmentName": "[guid(parameters('mspOfferName'))]"
},
"resources": [
{
"type": "Microsoft.ManagedServices/registrationDefinitions",
"apiVersion": "2020-02-01-preview",
"name": "[variables('mspRegistrationName')]",
"properties": {
"registrationDefinitionName": "[parameters('mspOfferName')]",
"description": "[parameters('mspOfferDescription')]",
"managedByTenantId": "[parameters('managedByTenantId')]",
"authorizations": "[parameters('authorizations')]",
"eligibleAuthorizations": "[parameters('eligibleAuthorizations')]"
}
},
{
"type": "Microsoft.ManagedServices/registrationAssignments",
"apiVersion": "2020-02-01-preview",
"name": "[variables('mspAssignmentName')]",
"dependsOn": [
"[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
],
"properties": {
"registrationDefinitionId": "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
}
}
],
"outputs": {
"mspOfferName": {
"type": "string",
"value": "[concat('Managed by', ' ', parameters('mspOfferName'))]"
},
"authorizations": {
"type": "array",
"value": "[parameters('authorizations')]"
},
"eligibleAuthorizations": {
"type": "array",
"value": "[parameters('eligibleAuthorizations')]"
}
}
}
Définir des autorisations éligibles dans votre fichier de paramètres
Le fichier de paramètres qui correspond à votre modèle de déploiement définit les autorisations, y compris les autorisations éligibles.
Définissez chacune de vos autorisations éligibles dans le eligibleAuthorizations paramètre. Par exemple, cet exemple de modèle subscription-managing-tenant-approvers.parameters.json inclut une autorisation éligible. Il inclut également l’élément managedbyTenantApprovers , qui ajoute un principalId qui doit approuver toutes les tentatives d’activation des rôles éligibles définis dans l’élément eligibleAuthorizations .
{
"$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mspOfferName": {
"value": "Relecloud Managed Services"
},
"mspOfferDescription": {
"value": "Relecloud Managed Services"
},
"managedByTenantId": {
"value": "<insert the managing tenant id>"
},
"authorizations": {
"value": [
{
"principalId": "00000000-0000-0000-0000-000000000000",
"roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
"principalIdDisplayName": "PIM group"
}
]
},
"eligibleAuthorizations":{
"value": [
{
"justInTimeAccessPolicy": {
"multiFactorAuthProvider": "Azure",
"maximumActivationDuration": "PT8H",
"managedByTenantApprovers": [
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "PIM-Approvers"
}
]
},
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Tier 2 Support",
"roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
}
]
}
}
}
Chaque entrée dans le paramètre eligibleAuthorizations contient trois éléments qui définissent une autorisation éligible : principalId, roleDefinitionId et justInTimeAccessPolicy.
principalId spécifie l’ID de l’utilisateur ou du groupe Microsoft Entra auquel cette autorisation éligible s’applique.
roleDefinitionId inclut l’identifiant de définition de rôle correspondant à un rôle Azure intégré que l’utilisateur pourra utiliser au moment opportun. Si vous incluez plusieurs autorisations éligibles qui utilisent le même roleDefinitionId, elles doivent avoir des paramètres identiques pour justInTimeAccessPolicy.
justInTimeAccessPolicy spécifie trois éléments :
-
multiFactorAuthProviderpeut être défini sur Azure, ce qui nécessite l'authentification à l'aide de Microsoft Entra multifacteur authentification, ou sur None si aucune authentification multifacteur n'est requise. -
maximumActivationDurationdéfinit la durée totale pendant laquelle le rôle éligible sera attribué à l’utilisateur. Cette valeur doit respecter le format de durée ISO 8601. La valeur minimale est PT30M (30 minutes) et la valeur maximale est PT8H (8 heures). Par souci de simplicité, utilisez des valeurs par incréments d’une demi-heure, telles que PT6H pendant 6 heures ou PT6H30M pendant 6,5 heures. -
managedByTenantApproversest facultatif. Si vous l’incluez, il doit contenir une ou plusieurs combinaisons d’un principalId et d’un principalIdDisplayName qui doivent approuver toute activation du rôle éligible.
Pour plus d’informations sur ces éléments, consultez la section Éléments d’autorisation éligibles.
Processus d’élévation pour les utilisateurs
Une fois que vous avez intégré un client à Azure Lighthouse, l’utilisateur spécifié (ou les utilisateurs dans n’importe quel groupe spécifié) peut accéder aux rôles éligibles que vous avez inclus.
Chaque utilisateur peut élever son accès à tout moment en accédant à la page My clients dans le portail Azure, en sélectionnant une délégation, puis en sélectionnant Manage des rôles éligibles. Après cela, ils peuvent suivre les steps pour activer le rôle dans Microsoft Entra Privileged Identity Management.
Si vous spécifiez des approbateurs, l’utilisateur ne peut pas accéder au rôle tant qu’un approbateur de l'entité de gestion n’accorde pas l’approbation. Tous les approbateurs sont avertis lorsque l’approbation est demandée et l’utilisateur ne peut pas utiliser le rôle éligible tant que l’approbation n’est pas accordée. Les approbateurs sont également avertis de chaque approbation.
Pour plus d’informations sur le processus d’approbation, consultez Approuver ou refuser des demandes pour les rôles de ressources Azure dans la Gestion des identités privilégiées.
Lorsque le rôle éligible a été activé, il sera attribué à l’utilisateur durant toute la période spécifiée dans l’autorisation éligible. Après cette période, l’utilisateur ne sera plus en mesure d’utiliser ce rôle, sauf s’il répète le processus d’élévation et élève de nouveau son accès.
Étapes suivantes
- Découvrez comment intégrer des clients dans Azure Lighthouse à l’aide de modèles ARM.
- Découvrez comment intégrer des clients avec des offres de services managés.
- En savoir plus sur Microsoft Entra Privileged Identity Management.
- En savoir plus sur tenants, utilisateurs et rôles dans Azure Lighthouse.