Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Antes de integrar clientes para o Azure Lighthouse, é importante entender como os locatários, usuários e funções do Microsoft Entra funcionam e como eles podem ser usados em cenários do Azure Lighthouse.
Um tenant é uma instância dedicada e confiável do Microsoft Entra ID. Normalmente, cada locatário representa uma única organização. O Azure Lighthouse permite a projeção lógica de recursos de um locatário para outro. Isso permite que os usuários no locatário de gerenciamento (como um pertencente a um provedor de serviços) acessem recursos delegados no locatário de um cliente ou permite que empresas com vários locatários centralizem suas operações de gerenciamento.
Para obter essa projeção lógica, uma assinatura (ou um ou mais grupos de recursos dentro de uma assinatura) no locatário do cliente deve ser integrada ao Azure Lighthouse. Esse processo de integração pode ser feito por meio de modelos do Azure Resource Manager ou publicando uma oferta pública ou privada no Azure Marketplace.
Com qualquer um dos métodos de integração, você precisará definir autorizações. Cada autorização inclui um principalId (um utilizador, grupo ou entidade de serviço do Microsoft Entra no inquilino de gestão) combinado com um perfil integrado que define as permissões específicas que serão concedidas aos recursos delegados.
Nota
A menos que explicitamente especificado, as referências a um "usuário" na documentação do Azure Lighthouse podem se aplicar a um usuário, grupo ou entidade de serviço do Microsoft Entra em uma autorização.
Práticas recomendadas para definir usuários e funções
Ao criar suas autorizações, recomendamos as seguintes práticas recomendadas:
- Na maioria dos casos, convém atribuir permissões a um grupo de usuários ou entidade de serviço do Microsoft Entra, em vez de a uma série de contas de usuário individuais. Isso permite que você adicione ou remova o acesso para usuários individuais por meio da ID do Microsoft Entra do seu locatário, sem ter que atualizar a delegação sempre que os requisitos de acesso individuais forem alterados.
- Siga o princípio do menor privilégio. Para reduzir a chance de erros inadvertidos, os usuários devem ter apenas as permissões necessárias para executar seu trabalho específico. Para obter mais informações, consulte Práticas de segurança recomendadas.
- Inclua uma autorização com a Função de Eliminação de Atribuição do Registro de Serviços Geridos para que você possa remover o acesso à delegação se necessário. Se essa função não for atribuída, o acesso aos recursos delegados só poderá ser removido por um usuário no locatário do cliente.
- Certifique-se de que qualquer usuário que precise exibir a página Meus clientes no portal do Azure tenha a função Leitor (ou outra função interna que inclua acesso de Leitor).
Importante
Para adicionar permissões para um grupo do Microsoft Entra, o tipo de grupo deve ser definido como Segurança. Esta opção é selecionada quando o grupo é criado. Para obter mais informações, consulte Criar um grupo básico e adicionar membros usando o Microsoft Entra ID.
Suporte de funções para o Azure Lighthouse
Quando defines uma autorização, cada conta de utilizador deve receber uma das funções internas do Azure. Não há suporte para funções personalizadas e funções clássicas de administrador de assinatura.
Todas as funções internas são atualmente suportadas com o Azure Lighthouse, com as seguintes exceções:
A função Proprietário não é suportada.
A função de Administrador de Acesso de Usuário é suportada, mas apenas com a finalidade limitada de atribuir funções a uma identidade gerenciada no locatário do cliente. Nenhuma outra permissão normalmente concedida por essa função será aplicada. Se você definir um usuário com essa função, também deverá especificar a(s) função(ões) que esse usuário pode atribuir a identidades gerenciadas.
Não são suportadas quaisquer funções que tenham permissão
DataActions.Não há suporte para funções que incluam qualquer uma das seguintes ações :
- Microsoft.Autorização/*
- Microsoft.Authorization/*/write
- Microsoft.Authorization/*/delete
- Microsoft.Authorization/atribuiçõesDeFunções/write
- Microsoft.Authorization/roleAssignments/delete (eliminar atribuições de função)
- Microsoft.Authorization/roleDefinitions/write
- Microsoft.Authorization/roleDefinitions/delete
- Microsoft.Authorization/classicAdministrators/write
- Microsoft.Authorization/classicAdministrators/delete (eliminar administradores clássicos)
- Microsoft.Authorization/bloqueios/escrever
- Microsoft.Authorization/locks/delete
- Microsoft.Authorization/denyAssignments/write
- Microsoft.Authorization/denyAssignments/delete (Eliminar atribuições de negação)
Importante
Ao atribuir funções, certifique-se de revisar as ações especificadas para cada função. Embora as funções com DataActions permissão não sejam suportadas, há casos em que as ações incluídas em uma função suportada podem permitir o acesso aos dados. Isso geralmente ocorre quando os dados são expostos através de chaves de acesso, não acessados através da identidade do usuário. Por exemplo, a função de Colaborador de Máquina Virtual inclui a ação, que retorna chaves de acesso à Microsoft.Storage/storageAccounts/listKeys/action conta de armazenamento que podem ser usadas para recuperar determinados dados do cliente.
Em alguns casos, uma função que tinha suporte anteriormente com o Azure Lighthouse pode ficar indisponível. Por exemplo, se a DataActions permissão for adicionada a uma função que anteriormente não tinha essa permissão, essa função não poderá mais ser usada ao integrar novas delegações. Os utilizadores que já receberam esse papel ainda poderão trabalhar em recursos previamente delegados, mas não poderão executar nenhuma tarefa que utilize a permissão DataActions.
Assim que uma nova função incorporada aplicável for adicionada ao Azure, ela poderá ser atribuída durante o processo de integração de um cliente com modelos do Azure Resource Manager. Pode haver um atraso antes que a função recém-adicionada fique disponível no Partner Center ao publicar uma oferta de serviço gerenciado. Da mesma forma, se uma função ficar indisponível, você ainda poderá vê-la no Partner Center por um tempo, mas não poderá publicar novas ofertas usando essas funções.
Transferir subscrições delegadas entre locatários do Microsoft Entra
Se uma assinatura for transferida para outra conta de inquilino do Microsoft Entra, a definição de inscrição e os recursos de atribuição de inscrição criados através do processo de integração do Azure Lighthouse serão preservados. Isso significa que o acesso concedido por meio do Azure Lighthouse para gerenciar locatários permanece em vigor para essa assinatura (ou para grupos de recursos delegados dentro dessa assinatura).
A única exceção é se a assinatura for transferida para um locatário do Microsoft Entra ao qual ela foi delegada anteriormente. Nesse caso, os recursos de delegação para esse locatário são removidos e o acesso concedido por meio do Azure Lighthouse não se aplica mais, já que a assinatura agora pertence diretamente a esse locatário (em vez de ser delegada a ele por meio do Azure Lighthouse). No entanto, se essa assinatura também tiver sido delegada a outros locatários administradores, esses outros locatários gerenciadores manterão o mesmo acesso à assinatura.
Próximos passos
- Saiba mais sobre as práticas de segurança recomendadas para o Azure Lighthouse.
- Integre seus clientes ao Azure Lighthouse, usando modelos do Azure Resource Manager ou publicando uma oferta de serviços gerenciados públicos ou privados no Azure Marketplace.