Tenant, utenti e ruoli negli scenari di Azure Lighthouse
Prima di eseguire l'onboarding dei clienti per Azure Lighthouse, è importante comprendere come funzionano i tenant, gli utenti e i ruoli di Microsoft Entra e come possono essere usati negli scenari di Azure Lighthouse.
Un tenant è un'istanza dedicata e attendibile di Microsoft Entra ID. Un tenant di Azure rappresenta in genere una singola organizzazione. Azure Lighthouse abilita la proiezione logica delle risorse da un tenant a un altro tenant. In questo modo, gli utenti nel tenant di gestione, ad esempio uno appartenente a un provider di servizi, possono accedere alle risorse delegate nel tenant di un cliente o consentire alle aziende con più tenant di centralizzare le operazioni di gestione.
Per ottenere questa proiezione logica, è necessario eseguire l'onboarding in Azure Lighthouse di una sottoscrizione nel tenant del cliente oppure di uno o più gruppi di risorse all'interno di una sottoscrizione. Questo processo di onboarding può essere eseguito tramite modelli di Azure Resource Manager o pubblicando un'offerta pubblica o privata in Azure Marketplace.
Con entrambi i metodi di onboarding è necessario definire le autorizzazioni. Ogni autorizzazione include un principalId (un utente, un gruppo o un'entità servizio di Microsoft Entra nel tenant di gestione) combinato con un ruolo predefinito che definisce le autorizzazioni specifiche che verranno concesse per le risorse delegate.
Nota
A meno che non venga specificato in modo esplicito, i riferimenti a un "utente" nella documentazione di Azure Lighthouse possono essere applicati a un utente, un gruppo o un'entità servizio di Microsoft Entra in un'autorizzazione.
Procedure consigliate per la definizione di utenti e ruoli
Quando si creano le autorizzazioni, è consigliabile attenersi alle procedure consigliate seguenti:
- Nella maggior parte dei casi, è consigliabile assegnare le autorizzazioni a un gruppo di utenti o a un'entità servizio di Microsoft Entra, invece che a una serie di singoli account utente. In questo modo è possibile aggiungere o rimuovere l'accesso per singoli utenti tramite il Microsoft Entra ID del tenant, senza dover aggiornare la delega ogni volta che i singoli requisiti di accesso cambiano.
- Seguire il principio dei privilegi minimi. Per ridurre la probabilità di errori involontari, gli utenti devono avere solo le autorizzazioni necessarie per eseguire il proprio lavoro specifico. Per altre informazioni, vedere Procedure di sicurezza consigliate.
- Includere un autorizzazione con il ruolo di eliminazione di assegnazione di registrazione dei servizi gestiti in modo che sia possibile rimuovere l'accesso alla delega, se necessario. Se questo ruolo non viene assegnato, l'accesso alle risorse delegate può essere rimosso solo da un utente che si trova nel tenant del cliente.
- Assicurarsi che tutti gli utenti che devono visualizzare la pagina Clienti personali nel portale di Azure dispongano del ruolo Lettore o di un altro ruolo predefinito che include l'accesso in lettura.
Importante
Per aggiungere autorizzazioni per un gruppo Microsoft Entra, il Tipo di gruppo deve essere impostato su Sicurezza. Questa opzione è selezionata quando viene creato il gruppo. Per altre informazioni, vedere Creare un gruppo di base e aggiungere membri con Microsoft Entra ID.
Supporto dei ruoli per Azure Lighthouse
Quando si definisce un'autorizzazione, a ogni account utente deve essere assegnato uno dei Ruoli predefiniti di Azure. I ruoli personalizzati e i ruoli di amministratore della sottoscrizione classica non sono supportati.
Tutti i ruoli predefiniti sono attualmente supportati con Azure Lighthouse, con le eccezioni seguenti:
Il ruolo Proprietario non è supportato.
Il ruolo Amministratore accessi utente è supportato, ma solo per lo scopo limitato di assegnazione di ruoli a un'identità gestita nel tenant del cliente. Non verranno applicate altre autorizzazioni generalmente concesse da questo ruolo. Se si definisce un utente con questo ruolo, è necessario specificare anche uno o più ruoli che possono essere assegnati da questo utente alle identità gestite.
Tutti i ruoli con autorizzazione
DataActionsnon sono supportati.I ruoli che includono una delle azioni seguenti non sono supportati:
- */write
- */delete
- Microsoft.Authorization/*
- Microsoft.Authorization/*/write
- Microsoft.Authorization/*/delete
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
- Microsoft.Authorization/roleDefinitions/write
- Microsoft.Authorization/roleDefinitions/delete
- Microsoft.Authorization/classicAdministrators/write
- Microsoft.Authorization/classicAdministrators/delete
- Microsoft.Authorization/locks/write
- Microsoft.Authorization/locks/delete
- Microsoft.Authorization/denyAssignments/write
- Microsoft.Authorization/denyAssignments/delete
Importante
Quando si assegnano ruoli, assicurarsi di esaminare le azioni specificate per ogni ruolo. Anche se i ruoli con autorizzazione DataActions non sono supportati, esistono casi in cui le azioni incluse in un ruolo supportato possono consentire l'accesso ai dati. Ciò si verifica in genere quando i dati vengono esposti tramite chiavi di accesso e non risultano accessibili tramite l'identità dell'utente. Ad esempio, il ruolo Collaboratore macchina virtuale include l'azione Microsoft.Storage/storageAccounts/listKeys/action che restituisce le chiavi di accesso dell'account di archiviazione che possono essere usate per recuperare determinati dati del cliente.
In alcuni casi un ruolo supportato in precedenza con Azure Lighthouse potrebbe non essere più disponibile. Ad esempio, se l'autorizzazione DataActions viene aggiunta a un ruolo che in precedenza non aveva tale autorizzazione, tale ruolo non può più essere usato durante l'onboarding di nuove deleghe. Gli utenti a cui era già stato assegnato tale ruolo potranno comunque usare le risorse delegate in precedenza, ma non potranno eseguire attività che usano l'autorizzazione DataActions.
Non appena viene aggiunto un nuovo ruolo predefinito applicabile ad Azure, è possibile assegnarlo durante l'onboarding di un cliente usando i modelli di Azure Resource Manager. Potrebbe verificarsi un ritardo prima che il ruolo appena aggiunto diventi disponibile nel Centro per i partner durante la pubblicazione di un'offerta di servizio gestito. Analogamente, se un ruolo non è più disponibile, potrebbe essere visualizzato nel Centro per i partner per un certo periodo di tempo, ma non sarà possibile pubblicare nuove offerte usando tali ruoli.
Trasferimento di sottoscrizioni delegate tra tenant di Microsoft Entra
Se una sottoscrizione viene trasferita a un altro account tenant di Microsoft Entra, le risorse di definizione di registrazione e assegnazione di registrazione create tramite il processo di onboarding di Azure Lighthouse vengono mantenute. Ciò significa che l'accesso concesso tramite Azure Lighthouse per la gestione dei tenant rimane attivo per tale sottoscrizione (o per i gruppi di risorse delegati all'interno di tale sottoscrizione).
L'unica eccezione è se la sottoscrizione viene trasferita a un tenant di Microsoft Entra a cui era stata delegata in precedenza. In questo caso le risorse di delega di tale tenant vengono rimosse e l'accesso concesso tramite Azure Lighthouse non è più valido, poiché la sottoscrizione ora appartiene direttamente a tale tenant (anziché essere delegata tramite Azure Lighthouse). Tuttavia, se tale sottoscrizione è stata delegata anche ad altri tenant di gestione, tali altri tenant di gestione manterranno lo stesso accesso alla sottoscrizione.
Passaggi successivi
- Informazioni sulle procedure di sicurezza consigliate per Azure Lighthouse.
- Eseguire l'onboarding dei clienti in Azure Lighthouse usando i modelli di Azure Resource Manager o pubblicando un'offerta di servizi gestiti privata o pubblica in Azure Marketplace.