Vytváření oprávněných autorizací

Při onboardingu zákazníků do Služby Azure Lighthouse vytvoříte autorizaci k udělení zadaných předdefinovaných rolí Azure uživatelům ve vašem spravovaném tenantovi. Můžete také vytvořit oprávněná autorizace, která používají Microsoft Entra Privileged Identity Management (PIM), která uživatelům ve vašem spravovaném tenantovi umožní dočasně zvýšit jejich roli. To vám umožní udělit další oprávnění za běhu, aby uživatelé měli tato oprávnění jenom pro nastavenou dobu trvání.

Vytváření oprávněných autorizací umožňuje minimalizovat počet trvalých přiřazení uživatelů k privilegovaným rolím, což pomáhá snížit rizika zabezpečení související s privilegovaným přístupem uživatelů ve vašem tenantovi.

Toto téma vysvětluje, jak fungují oprávněná autorizace a jak je vytvořit při onboardingu zákazníka do Azure Lighthouse.

Požadavky na licenci

Vytváření oprávněných autorizací vyžaduje licenci Enterprise Mobility + Security E5 (EMS E5) nebo Microsoft Entra ID P2 .

Licenci EMS E5 nebo Microsoft Entra ID P2 musí uchovávat správce tenanta, ne tenanta zákazníka.

Všechny dodatečné náklady spojené s oprávněnou rolí se použijí pouze během časového období, ve kterém uživatel zvýší přístup k této roli.

Informace o licencích pro uživatele najdete v tématu Základy licencování zásad správného řízení pro Microsoft Entra ID.

Jak fungují oprávněná autorizace

Oprávněná autorizace definuje přiřazení role, které vyžaduje, aby uživatel aktivoval roli, když potřebuje provádět privilegované úlohy. Když aktivují oprávněnou roli, budou mít úplný přístup udělený danou rolí po zadanou dobu.

Uživatelé v tenantovi zákazníka můžou před procesem onboardingu zkontrolovat všechna přiřazení rolí, včetně přiřazení oprávněných autorizací.

Jakmile uživatel úspěšně aktivuje oprávněnou roli, bude mít tuto zvýšenou roli v delegovaném oboru po předem nakonfigurované časové období, a to kromě trvalých přiřazení rolí pro daný obor.

Správci ve správě tenanta můžou zkontrolovat všechny aktivity Privileged Identity Management zobrazením protokolu auditu ve správě tenanta. Zákazníci můžou tyto akce zobrazit v protokolu aktivit Azure pro delegovaný předplatné.

Oprávněné autorizační prvky

Při onboardingu zákazníků pomocí šablon Azure Resource Manageru nebo publikováním nabídky spravovaných služeb na Azure Marketplace můžete vytvořit oprávněnou autorizaci. Každá oprávněná autorizace musí obsahovat tři prvky: uživatel, role a zásady přístupu.

Uživatelská

Pro každou oprávněnou autorizaci zadáte ID objektu zabezpečení pro jednotlivého uživatele nebo skupinu Microsoft Entra ve spravovaném tenantovi. Spolu s ID objektu zabezpečení musíte pro každou autorizaci zadat zobrazovaný název podle vašeho výběru.

Pokud je skupina poskytnuta v oprávněné autorizaci, bude každý člen této skupiny moct zvýšit svůj vlastní individuální přístup k této roli podle zásad přístupu.

U instančních objektů nemůžete použít oprávněná autorizace, protože v současné době neexistuje způsob, jak zvýšit jeho přístup a použít oprávněnou roli. Nemůžete také použít oprávněná autorizace s delegatedRoleDefinitionIds tím, že správce uživatelských přístupů může přiřadit spravované identity.

Poznámka:

Pro každou oprávněnou autorizaci nezapomeňte také vytvořit trvalou (aktivní) autorizaci pro stejné ID objektu zabezpečení s jinou rolí, jako je čtenář (nebo jiná předdefinovaná role Azure, která zahrnuje přístup čtenáře). Pokud nezadáte trvalou autorizaci s přístupem čtenáře, uživatel nebude moct zvýšit svou roli na webu Azure Portal.

Role

Každá oprávněná autorizace musí zahrnovat integrovanou roli Azure, kterou bude mít uživatel nárok na použití za běhu.

Role může být libovolná předdefinovaná role Azure, která je podporovaná pro správu delegovaných prostředků Azure s výjimkou správce uživatelských přístupů.

Důležité

Pokud zahrnete více oprávněných autorizací, které používají stejnou roli, musí mít každá z oprávněných autorizací stejné nastavení zásad přístupu.

Zásady přístupu

Zásady přístupu definují požadavky na vícefaktorové ověřování, dobu, po kterou se uživatel aktivuje v roli před vypršením jeho platnosti a jestli se vyžadují schvalovatelé.

Vícefaktorové ověřování

Určete, zda se má vyžadovat vícefaktorové ověřování Microsoft Entra, aby byla aktivována oprávněná role.

Maximální doba trvání

Definujte celkovou dobu, po kterou bude mít uživatel oprávněnou roli. Minimální hodnota je 30 minut a maximum je 8 hodin.

Schvalovatelé

Prvek schvalovatelů je volitelný. Pokud ho zahrnete, můžete zadat až 10 uživatelů nebo skupin uživatelů ve správě tenanta, kteří můžou schválit nebo odepřít žádosti uživatele o aktivaci oprávněné role.

Jako schvalovatele nemůžete použít účet instančního objektu. Schvalovatelé také nemohou schválit svůj vlastní přístup; pokud je schvalovatel zahrnutý také jako uživatel v oprávněné autorizaci, bude muset jiný schvalovatel udělit přístup, aby mohl zvýšit svoji roli.

Pokud nezahrnujete žádné schvalovatele, uživatel bude moct aktivovat oprávněnou roli pokaždé, když zvolí.

Vytváření oprávněných autorizací pomocí nabídek spravovaných služeb

Pokud chcete zákazníka připojit ke službě Azure Lighthouse, můžete publikovat nabídky spravovaných služeb na Azure Marketplace. Při vytváření nabídek v Partnerském centru teď můžete určit, jestli má být typ přístupu pro každou autorizaci aktivní nebo způsobilý.

Když vyberete Možnost Nárok, uživatel ve vaší autorizaci bude moct aktivovat roli podle zásad přístupu, které nakonfigurujete. Musíte nastavit maximální dobu trvání mezi 30 minutami a 8 hodinami a určit, jestli budete vyžadovat vícefaktorové ověřování. Můžete také přidat až 10 schvalovatelů, pokud se rozhodnete je použít, a zadat zobrazovaný název a ID objektu zabezpečení pro každý z nich.

Při konfiguraci oprávněných autorizačních prvků v Partnerském centru nezapomeňte zkontrolovat podrobnosti v části Opravňující prvky autorizace.

Vytváření oprávněných autorizací pomocí šablon Azure Resource Manageru

Pokud chcete zákazníka připojit ke službě Azure Lighthouse, použijete šablonu Azure Resource Manageru spolu s odpovídajícím souborem parametrů, který upravíte. Zvolená šablona bude záviset na tom, jestli nasazujete celé předplatné, skupinu prostředků nebo více skupin prostředků v rámci předplatného.

Pokud chcete zahrnout oprávněná autorizace při připojování zákazníka, použijte některou ze šablon z oddílu delegovaná autorizace pro správu prostředků v našem úložišti ukázek. Poskytujeme šablony se zahrnutými schvalovateli a bez nich, abyste mohli použít ten, který je pro váš scénář nejvhodnější.

Postup při onboardingu (s oprávněnými autorizací) Použití této šablony Azure Resource Manageru A upravte tento soubor parametrů.
Předplatné subscription.json subscription.parameters.json
Předplatné (se schvalovateli) subscription-managing-tenant-approvers.json subscription-managing-tenant-approvers.parameters.json
Skupina prostředků rg.json rg.parameters.json
Skupina prostředků (se schvalovateli) rg-managing-tenant-approvers.json rg-managing-tenant-approvers.parameters.json
Více skupin prostředků v předplatném multiple-rg.json multiple-rg.parameters.json
Více skupin prostředků v rámci předplatného (se schvalovateli) multiple-rg-managing-tenant-approvers.json multiple-rg-managing-tenant-approvers.parameters.json

Šablona subscription-managing-tenant-approvers.json , která se dá použít k nasazení předplatného s oprávněnými autorizací (včetně schvalovatelů), je znázorněná níže.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/subscriptionDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "type": "string",
            "metadata": {
                "description": "Specify a unique name for your offer"
            }
        },
        "mspOfferDescription": {
            "type": "string",
            "metadata": {
                "description": "Name of the Managed Service Provider offering"
            }
        },
        "managedByTenantId": {
            "type": "string",
            "metadata": {
                "description": "Specify the tenant id of the Managed Service Provider"
            }
        },
        "authorizations": {
            "type": "array",
            "metadata": {
                "description": "Specify an array of objects, containing tuples of Azure Active Directory principalId, a Azure roleDefinitionId, and an optional principalIdDisplayName. The roleDefinition specified is granted to the principalId in the provider's Active Directory and the principalIdDisplayName is visible to customers."
            }
        },
        "eligibleAuthorizations": {
            "type": "array",
            "metadata": {
                "description": "Provide the authorizations that will have just-in-time role assignments on customer environments with support for approvals from the managing tenant"
            }
        }
    },
        "variables": {
            "mspRegistrationName": "[guid(parameters('mspOfferName'))]",
            "mspAssignmentName": "[guid(parameters('mspOfferName'))]"
        },
        "resources": [
            {
                "type": "Microsoft.ManagedServices/registrationDefinitions",
                "apiVersion": "2020-02-01-preview",
                "name": "[variables('mspRegistrationName')]",
                "properties": {
                    "registrationDefinitionName": "[parameters('mspOfferName')]",
                    "description": "[parameters('mspOfferDescription')]",
                    "managedByTenantId": "[parameters('managedByTenantId')]",
                    "authorizations": "[parameters('authorizations')]",
                    "eligibleAuthorizations": "[parameters('eligibleAuthorizations')]"
                }
            },
            {
                "type": "Microsoft.ManagedServices/registrationAssignments",
                "apiVersion": "2020-02-01-preview",
                "name": "[variables('mspAssignmentName')]",
                "dependsOn": [
                    "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
                ],
                "properties": {
                    "registrationDefinitionId": "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
                }
            }
        ],
        "outputs": {
            "mspOfferName": {
                "type": "string",
                "value": "[concat('Managed by', ' ', parameters('mspOfferName'))]"
            },
            "authorizations": {
                "type": "array",
                "value": "[parameters('authorizations')]"
            },
            "eligibleAuthorizations": {
                "type": "array",
                "value": "[parameters('eligibleAuthorizations')]"
            }
        }
    }

Definování oprávněných autorizací v souboru parametrů

Ukázkovou šablonu subscription-managing-tenant-approvers.parameters.json můžete použít k definování autorizací, včetně oprávněných autorizací, při onboardingu předplatného.

Každá z vašich oprávněných autorizací musí být definována v parametru eligibleAuthorizations . Tento příklad obsahuje jednu oprávněnou autorizaci.

Tato šablona obsahuje managedbyTenantApprovers také prvek, který přidá principalId , kdo bude muset schválit všechny pokusy o aktivaci oprávněných rolí, které jsou definovány v elementu eligibleAuthorizations .

{
    "$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "value": "Relecloud Managed Services"
        },
        "mspOfferDescription": {
            "value": "Relecloud Managed Services"
        },
        "managedByTenantId": {
            "value": "<insert the managing tenant id>"
        },
        "authorizations": {
            "value": [
                { 
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
                    "principalIdDisplayName": "PIM group"
                }
            ]
        }, 
        "eligibleAuthorizations":{
            "value": [
                {
                        "justInTimeAccessPolicy": {
                            "multiFactorAuthProvider": "Azure",
                            "maximumActivationDuration": "PT8H",
                            "managedByTenantApprovers": [ 
                                { 
                                    "principalId": "00000000-0000-0000-0000-000000000000", 
                                    "principalIdDisplayName": "PIM-Approvers" 
                                } 
                            ]
                        },
                        "principalId": "00000000-0000-0000-0000-000000000000", 
                        "principalIdDisplayName": "Tier 2 Support",
                        "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"

                }
            ]
        }
    }
}

Každá položka v parametru eligibleAuthorizations obsahuje tři prvky , které definují oprávněnou autorizaci: principalId, roleDefinitionIda justInTimeAccessPolicy.

principalId určuje ID uživatele nebo skupiny Microsoft Entra, na které se použije tato oprávněná autorizace.

roleDefinitionId obsahuje ID definice role pro integrovanou roli Azure, kterou bude mít uživatel nárok na použití za běhu. Pokud zahrnete více oprávněných autorizací, které používají stejnou roleDefinitionId, musí mít všechna stejná nastavení pro justInTimeAccessPolicy.

justInTimeAccessPolicy určuje tři prvky:

  • multiFactorAuthProvider je možné nastavit buď na Azure, což bude vyžadovat ověřování pomocí vícefaktorového ověřování Microsoft Entra, nebo na Hodnotu Žádné , pokud se nevyžaduje žádné vícefaktorové ověřování.
  • maximumActivationDuration nastaví celkovou dobu, po kterou bude mít uživatel oprávněnou roli. Tato hodnota musí používat formát doby trvání ISO 8601. Minimální hodnota je PT30M (30 minut) a maximální hodnota je PT8H (8 hodin). Pro zjednodušení doporučujeme používat hodnoty pouze v půlhodinových přírůstcích, například PT6H po dobu 6 hodin nebo PT6H30M po dobu 6,5 hodiny.
  • managedByTenantApprovers je volitelné. Pokud ho zahrnete, musí obsahovat jednu nebo více kombinací principalId a principalIdDisplayName, který bude muset schválit aktivaci oprávněné role.

Další informace o těchto prvcích najdete v části Opravňující autorizační prvky .

Proces zvýšení oprávnění pro uživatele

Po připojení zákazníka ke službě Azure Lighthouse budou všechny oprávněné role, které jste zahrnuli, k dispozici zadanému uživateli (nebo uživatelům v libovolné zadané skupině).

Každý uživatel může kdykoli zvýšit úroveň přístupu na stránce Moji zákazníci na webu Azure Portal, výběrem delegování a následným výběrem možnosti Spravovat oprávněné role. Potom můžou postupovat podle kroků k aktivaci role ve službě Microsoft Entra Privileged Identity Management.

Pokud jsou zadáni schvalovatelé, uživatel nebude mít přístup k roli, dokud mu schválení neschválí určený schvalovatel ze spravovaného tenanta. Všichni schvalovatelé budou upozorněni při vyžádání schválení a uživatel nebude moct použít oprávněnou roli, dokud nebude uděleno schválení. Schvalovatelé budou také upozorněni, když k tomu dojde. Další informace o procesu schvalování najdete v tématu Schválení nebo zamítnutí žádostí o role prostředků Azure ve službě Privileged Identity Management.

Po aktivaci oprávněné role bude mít uživatel danou roli po celou dobu trvání uvedenou v oprávněné autorizaci. Po uplynutí časového období už nebudou moci tuto roli používat, pokud proces zvýšení oprávnění nezopakují a znovu zvýší úroveň přístupu.

Další kroky