Skapa berättigade auktoriseringar

När du tar ombord kunder i Azure Lighthouse skapar du behörigheter för att bevilja angivna inbyggda Azure-roller till användare i din administrativa klientorganisation. Du kan också skapa berättigade auktoriseringar som använder Microsoft Entra Privileged Identity Management (PIM) för att låta användare i din hanteringsklient tillfälligt höja sin roll. Den här rollhöjningen ger ytterligare behörigheter på just-in-time-basis så att användarna bara har dessa behörigheter under en viss varaktighet.

Genom att skapa berättigade auktoriseringar minimerar du antalet permanenta tilldelningar av användare till privilegierade roller. Den här metoden hjälper till att minska säkerhetsrisker som rör privilegierad åtkomst för användare i din klientorganisation.

Den här artikeln beskriver hur godkända auktoriseringar fungerar och hur du skapar dem när du registrerar en kund till Azure Lighthouse.

Licenskrav

Eftersom berättigade auktoriseringar använder Microsoft Entra Privileged Identity Management måste den hanterande klienten ha en valid Microsoft Entra ID Governance licens som stöder Privileged Identity management för att skapa berättigade auktoriseringar.

Eventuella extra kostnader som är kopplade till en berättigad roll gäller endast under den tidsperiod då användaren höjer sin åtkomst till den rollen.

Kommentar

Det går inte att skapa berättigade auktoriseringar i nationella moln.

Så här fungerar berättigade auktoriseringar

En berättigad auktorisering definierar en rolltilldelning som kräver att användaren aktiverar rollen när de behöver utföra privilegierade uppgifter. När de aktiverar den berättigade rollen har de den fullständiga åtkomsten som beviljats av den rollen under den angivna tidsperioden.

Användare i kundklientorganisationen kan granska alla rolltilldelningar, inklusive de i berättigade auktoriseringar, före registreringsprocessen.

När en användare aktiverar en berättigad roll får de den upphöjda rollen i det delegerade omfånget för en förkonfigurerad tidsperiod, utöver deras permanenta rolltilldelningar för det omfånget.

Administratörer i den hanterande klientorganisationen kan granska alla Privileged Identity Management aktiviteter genom att visa granskningsloggen i den hanterande klientorganisationen. Kunder kan visa dessa åtgärder i Azure aktivitetsloggen för den delegerade prenumerationen.

Berättigade auktoriseringselement

Du kan skapa en berättigad auktorisering när du registrerar kunder med hjälp av Azure Resource Manager mallar eller genom att publicera ett managed services-erbjudande till Microsoft Marketplace. Varje berättigad auktorisering måste innehålla tre element: användaren, rollen och åtkomstprincipen.

Användare

För varje berättigad auktorisering anger du huvud-ID:t för en enskild användare eller en Microsoft Entra grupp i den hanterande klientorganisationen. Tillsammans med huvud-ID:t anger du ett visningsnamn för varje auktorisering.

Om du tilldelar en berättigad auktorisering till en grupp kan alla medlemmar i gruppen utöka sin egen individuella åtkomst till den rollen enligt åtkomstprincipen.

Du kan inte använda berättigade auktoriseringar med tjänstens huvudnamn, eftersom det för närvarande inte finns något sätt för ett konto för tjänstens huvudnamn att höja åtkomsten och använda en berättigad roll. Du kan inte heller använda berättigade auktoriseringar med delegatedRoleDefinitionIds som en administratör för användaråtkomst kan tilldela till hanterade identiteter.

Kommentar

För varje berättigad auktorisering måste du också skapa en permanent (aktiv) auktorisering för samma principal-ID med en annan roll, till exempel Läsare (eller någon annan Azure-inbyggd roll som inkluderar Läsare-åtkomst). Om du inte inkluderar en permanent auktorisering med läsåtkomst kan användaren inte höja sin roll i Azure portalen.

Roll

Varje berättigad auktorisering måste innehålla en inbyggd roll i Azure som användaren kan använda vid behov.

Rollen kan vara vilken Azure inbyggd roll som stöds för Azure delegerad resurshantering, förutom administratör för användaråtkomst.

Viktigt!

Om du inkluderar flera berättigade auktoriseringar som använder samma roll måste var och en av de berättigade auktoriseringarna ha samma inställningar för åtkomstprincip.

Åtkomstprincip

Åtkomstprincipen definierar kraven för multifaktorautentisering, hur länge en användare ska aktiveras i rollen innan den upphör att gälla och om godkännare krävs.

Multifaktorautentisering

Ange om du vill kräva Microsoft Entra multifaktorautentisering för att aktivera en berättigad roll.

Högsta varaktighet

Definiera den totala tidsperiod som användaren ska ha den kvalificerade rollen för. Det minsta värdet är 30 minuter och det maximala värdet är 8 timmar.

Godkännare

Elementet godkännare är valfritt. Om du inkluderar den kan du ange upp till 10 användare eller användargrupper i den hanterande klientorganisationen som kan godkänna eller neka begäranden från en användare för att aktivera den berättigade rollen.

Du kan inte använda ett tjänstehuvudkonto som godkännare. Godkännare kan inte heller godkänna sin egen åtkomst. Om en godkännare också ingår som användare i en berättigad auktorisering måste en annan godkännare bevilja åtkomst för att de ska kunna höja sin roll.

Om du inte inkluderar några godkännare kan användaren aktivera den kvalificerade rollen när de vill.

Skapa berättigade auktoriseringar med hjälp av managed services-erbjudanden

Du kan registrera kunden för att Azure Lighthouse genom att publicera Managed Services-erbjudanden på Microsoft Marketplace. När du skapar dina erbjudanden i Partnercenter anger du om åtkomsttypen för varje auktorisering ska vara aktiv eller berättigad.

När du väljer Berättigad kan användaren i din auktorisering aktivera rollen enligt den åtkomstprincip som du konfigurerar. Du måste ange en maximal varaktighet mellan 30 minuter och 8 timmar och ange om du behöver multifaktorautentisering. Du kan också lägga till upp till 10 godkännare om du väljer att använda dem, med ett visningsnamn och ett huvudnamns-ID för var och en.

Se till att du förstår de berättigade auktoriseringselementen när du konfigurerar dina berättigade auktoriseringar i Partnercenter.

Skapa berättigade auktoriseringar med hjälp av Azure Resource Manager mallar

Du kan registrera kunder för att Azure Lighthouse med hjälp av en Azure Resource Manager-mall tillsammans med en motsvarande parameterfil som du ändrar. Vilken mall du väljer beror på om du registrerar en hel prenumeration, en resursgrupp eller flera resursgrupper i en prenumeration.

Om du vill inkludera berättigade auktoriseringar när du registrerar en kund använder du någon av mallarna från avsnittet delegated-resource-management-eligible-authorizations i vår exempellagringsplats. Lagringsplatsen innehåller mallar med och utan godkännare, så att du kan använda den som fungerar bäst för ditt scenario.

Introducera detta (med nödvändiga auktorisationer) Använd den här Azure Resource Manager mallen Och ändra den här parameterfilen
Prenumeration subscription.json subscription.parameters.json
Prenumeration (med godkännare) subscription-managing-tenant-approvers.json subscription-managing-tenant-approvers.parameters.json
Resursgrupp rg.json rg.parameters.json
Resursgrupp (med godkännare) rg-managing-tenant-approvers.json rg-managing-tenant-approvers.parameters.json
Flera resursgrupper i en prenumeration multiple-rg.json multiple-rg.parameters.json
Flera resursgrupper i en prenumeration (med godkännare) multiple-rg-managing-tenant-approvers.json multiple-rg-managing-tenant-approvers.parameters.json

Det här är till exempel subscription-managing-tenant-approvers.json, som integrerar en prenumeration med behöriga auktoriseringar (inklusive godkännare).

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/subscriptionDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "type": "string",
            "metadata": {
                "description": "Specify a unique name for your offer"
            }
        },
        "mspOfferDescription": {
            "type": "string",
            "metadata": {
                "description": "Name of the Managed Service Provider offering"
            }
        },
        "managedByTenantId": {
            "type": "string",
            "metadata": {
                "description": "Specify the tenant id of the Managed Service Provider"
            }
        },
        "authorizations": {
            "type": "array",
            "metadata": {
                "description": "Specify an array of objects, containing tuples of Azure Active Directory principalId, a Azure roleDefinitionId, and an optional principalIdDisplayName. The roleDefinition specified is granted to the principalId in the provider's Active Directory and the principalIdDisplayName is visible to customers."
            }
        },
        "eligibleAuthorizations": {
            "type": "array",
            "metadata": {
                "description": "Provide the authorizations that will have just-in-time role assignments on customer environments with support for approvals from the managing tenant"
            }
        }
    },
        "variables": {
            "mspRegistrationName": "[guid(parameters('mspOfferName'))]",
            "mspAssignmentName": "[guid(parameters('mspOfferName'))]"
        },
        "resources": [
            {
                "type": "Microsoft.ManagedServices/registrationDefinitions",
                "apiVersion": "2020-02-01-preview",
                "name": "[variables('mspRegistrationName')]",
                "properties": {
                    "registrationDefinitionName": "[parameters('mspOfferName')]",
                    "description": "[parameters('mspOfferDescription')]",
                    "managedByTenantId": "[parameters('managedByTenantId')]",
                    "authorizations": "[parameters('authorizations')]",
                    "eligibleAuthorizations": "[parameters('eligibleAuthorizations')]"
                }
            },
            {
                "type": "Microsoft.ManagedServices/registrationAssignments",
                "apiVersion": "2020-02-01-preview",
                "name": "[variables('mspAssignmentName')]",
                "dependsOn": [
                    "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
                ],
                "properties": {
                    "registrationDefinitionId": "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
                }
            }
        ],
        "outputs": {
            "mspOfferName": {
                "type": "string",
                "value": "[concat('Managed by', ' ', parameters('mspOfferName'))]"
            },
            "authorizations": {
                "type": "array",
                "value": "[parameters('authorizations')]"
            },
            "eligibleAuthorizations": {
                "type": "array",
                "value": "[parameters('eligibleAuthorizations')]"
            }
        }
    }

Definiera berättigade auktoriseringar i parameterfilen

Parameterfilen som motsvarar din distributionsmall definierar auktoriseringar, inklusive berättigade auktoriseringar.

Definiera var och en av dina berättigade auktoriseringar i parametern eligibleAuthorizations . Den här subscription-managing-tenant-approvers.parameters.json exempelmallen innehåller till exempel en berättigad auktorisering. Den innehåller även elementet managedbyTenantApprovers , som lägger till en principalId som måste godkänna alla försök att aktivera de berättigade roller som definieras i elementet eligibleAuthorizations .

{
    "$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "value": "Relecloud Managed Services"
        },
        "mspOfferDescription": {
            "value": "Relecloud Managed Services"
        },
        "managedByTenantId": {
            "value": "<insert the managing tenant id>"
        },
        "authorizations": {
            "value": [
                { 
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
                    "principalIdDisplayName": "PIM group"
                }
            ]
        }, 
        "eligibleAuthorizations":{
            "value": [
                {
                        "justInTimeAccessPolicy": {
                            "multiFactorAuthProvider": "Azure",
                            "maximumActivationDuration": "PT8H",
                            "managedByTenantApprovers": [ 
                                { 
                                    "principalId": "00000000-0000-0000-0000-000000000000", 
                                    "principalIdDisplayName": "PIM-Approvers" 
                                } 
                            ]
                        },
                        "principalId": "00000000-0000-0000-0000-000000000000", 
                        "principalIdDisplayName": "Tier 2 Support",
                        "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"

                }
            ]
        }
    }
}

Varje post i parametern eligibleAuthorizations innehåller tre element som definierar en berättigad auktorisering: principalId, roleDefinitionIdoch justInTimeAccessPolicy.

principalId anger ID:t för den Microsoft Entra användare eller grupp som den här berättigade auktoriseringen gäller för.

roleDefinitionId innehåller rollens definitions-ID för en inbyggd Azure-roll som användaren är berättigad att använda på just-in-time-basis. Om du inkluderar flera berättigade auktoriseringar som använder samma roleDefinitionIdmåste alla ha identiska inställningar för justInTimeAccessPolicy.

justInTimeAccessPolicy specificerar tre element:

  • multiFactorAuthProvider kan antingen ställas in på Azure som kräver autentisering med hjälp av Microsoft Entra multifaktorautentisering eller för att None om ingen multifaktorautentisering krävs.
  • maximumActivationDuration anger den totala tid som användaren ska ha den kvalificerade rollen för. Det här värdet måste använda ISO 8601-formatet för varaktighet. Minimivärdet är PT30M (30 minuter) och det maximala värdet är PT8H (8 timmar). För enkelhetens skull använder du värden i halvtimmessteg, till exempel PT6H i 6 timmar eller PT6H30M i 6,5 timmar.
  • managedByTenantApprovers är valfritt. Om du inkluderar det måste det innehålla en eller flera kombinationer av ett principalId och ett principalIdDisplayName som måste godkänna aktiveringen av den berättigade rollen.

Mer information om dessa element finns i avsnittet Berättigade auktoriseringselement .

Höjningsprocess för användare

När du har registrerat en kund för att Azure Lighthouse kan den angivna användaren (eller användare i vissa grupper) komma åt de kvalificerade roller som du inkluderade.

Varje användare kan när som helst öka sin åtkomst genom att besöka sidan Min kunder i Azure-portalen, välja en delegering och sedan välja Hantera berättigade roller. Därefter kan de följa steg för att aktivera rollen i Microsoft Entra Privileged Identity Management.

Om du anger godkännare kan användaren inte komma åt rollen förrän en godkännare från den hanterande klienten beviljar godkännande. Alla godkännare meddelas när godkännande begärs och användaren kan inte använda den kvalificerade rollen förrän godkännande har beviljats. Godkännare får också aviseringar om varje godkännande.

Mer information om godkännandeprocessen finns i Godkänna eller neka begäranden om Azure resursroller i Privileged Identity Management.

När den berättigade rollen har aktiverats har användaren den rollen under den fullständiga varaktighet som anges i den berättigade auktoriseringen. Efter den tidsperioden kommer de inte längre att kunna använda den rollen, såvida de inte upprepar höjningsprocessen och höjer sin åtkomst igen.

Nästa steg

  • Last updated on