Creare autorizzazioni idonee
Quando si esegue l'onboarding dei clienti in Azure Lighthouse, si creano autorizzazioni per concedere i ruoli predefiniti di Azure specificati agli utenti nel tenant di gestione. È anche possibile creare autorizzazioni idonee che usano Microsoft Entra Privileged Identity Management (PIM) per consentire agli utenti del tenant di elevare temporaneamente il proprio ruolo. In questo modo è possibile concedere autorizzazioni aggiuntive su base JIT in modo che gli utenti dispongano solo di tali autorizzazioni per una durata impostata.
La creazione di autorizzazioni idonee riduce al minimo il numero di assegnazioni permanenti degli utenti ai ruoli con privilegi, riducendo i rischi di sicurezza correlati all'accesso con privilegi da parte degli utenti nel tenant.
Questo argomento descrive come funzionano le autorizzazioni idonee e come crearle durante l’onboarding di un cliente in Azure Lighthouse.
Requisiti di licenza
La creazione di autorizzazioni idonee richiede una licenza Enterprise Mobility + Security E5 (EMS E5) o Microsoft Entra ID P2.
La licenza EMS E5 o Microsoft Entra ID P2 deve essere mantenuta dal tenant di gestione, non dal tenant del cliente.
Tutti i costi aggiuntivi associati a un ruolo idoneo verranno applicati solo durante il periodo di tempo in cui l'utente eleva l'accesso a tale ruolo.
Per informazioni sulle licenze per gli utenti, vedere Nozioni fondamentali sulla governance delle licenze per Microsoft Entra ID.
Come funzionano le autorizzazioni idonee
Un'autorizzazione idonea definisce un'assegnazione di ruolo che richiede all'utente di attivare il ruolo quando deve eseguire attività con privilegi. Quando l’utente attiva il ruolo idoneo, avrà l'accesso completo concesso a tale ruolo per il periodo di tempo specificato.
Gli utenti nel tenant del cliente possono esaminare tutte le assegnazioni di ruolo, incluse quelle incluse nelle autorizzazioni idonee, prima del processo di onboarding.
Dopo aver attivato correttamente un ruolo idoneo, l’utente disporrà di tale ruolo con privilegi elevati nell'ambito delegato per un periodo di tempo preconfigurato, oltre alle assegnazioni di ruolo permanenti per tale ambito.
Gli amministratori del tenant di gestione possono esaminare tutte le attività di Privileged Identity Management visualizzando il log di controllo nel tenant di gestione. I clienti possono visualizzare queste azioni nel log attività di Azure per la sottoscrizione delegata.
Elementi delle autorizzazioni idonee
È possibile creare un'autorizzazione idonea durante l'onboarding dei clienti con i modelli di Azure Resource Manager o pubblicando un'offerta di Servizi gestiti in Azure Marketplace. Ogni autorizzazione idonea deve includere tre elementi: l'utente, il ruolo e i criteri di accesso.
User
Per ogni autorizzazione idonea, fornire l'ID entità per un singolo utente o un gruppo Microsoft Entra nel tenant di gestione. Insieme all'ID entità, è necessario specificare un nome visualizzato di propria scelta per ogni autorizzazione.
Se un’autorizzazione idoneaun gruppo viene fornito in un'autorizzazione idonea, qualsiasi membro del gruppo potrà elevare il proprio accesso individuale a tale ruolo, in base ai criteri di accesso.
Non è possibile usare le autorizzazioni idonee con le entità servizio, poiché attualmente non è possibile consentire a un account dell'entità servizio di elevarne l'accesso e usare un ruolo idoneo. Non è inoltre possibile usare le autorizzazioni idonee con delegatedRoleDefinitionIds a cui un amministratore di accesso utenti può assegnare identità gestite.
Nota
Per ogni autorizzazione idonea, assicurarsi di creare anche un'autorizzazione permanente (attiva) per lo stesso ID entità con un ruolo diverso, ad esempio Lettore (o un altro ruolo predefinito di Azure che include l'accesso in lettura). Se non si include un'autorizzazione permanente con l'accesso con autorizzazioni di lettura, l'utente non sarà in grado di elevare il proprio ruolo nel portale di Azure.
Ruolo
Ogni autorizzazione idonea deve includere un ruolo predefinito di Azure che l'utente potrà usare su base JIT.
Il ruolo può essere qualsiasi ruolo predefinito di Azure supportato per la gestione delle risorse delegate di Azure, ad eccezione di Amministratore accesso utenti.
Importante
Se si includono più autorizzazioni idonee che usano lo stesso ruolo, ognuna delle autorizzazioni idonee deve avere le stesse impostazioni dei criteri di accesso.
Criteri di accesso
I criteri di accesso definiscono i requisiti di autenticazione a più fattori, il periodo di tempo per cui un utente verrà attivato nel ruolo prima della scadenza e se sono necessari responsabili approvazione.
Autenticazione a più fattori
Specificare se richiedere o meno l'autenticazione a più fattori di Microsoft Entra affinché venga attivato un ruolo idoneo.
Durata massima
Definire l'intervallo totale di tempo durante il quale l'utente manterrà il ruolo idoneo. Il valore minimo è 30 minuti, mentre il valore massimo è 8 ore.
Responsabili approvazione
L'elemento responsabili approvazione è facoltativo. Se lo si include, è possibile specificare fino a 10 utenti o gruppi di utenti nel tenant di gestione che possono approvare o negare richieste di attivazione di un ruolo idoneo da parte di un utente.
Non è possibile usare un account dell'entità servizio come responsabile approvazione. Inoltre, i responsabili approvazione non possono approvare il proprio accesso. Se un responsabile approvazione viene incluso anche come utente in un'autorizzazione idonea, un responsabile approvazione diverso dovrà concedere l'accesso per consentirgli di elevare il proprio ruolo.
Se non si includono responsabili approvazione, l'utente sarà in grado di attivare il ruolo idoneo ogni volta che lo desidera.
Creare autorizzazioni idonee con le offerte di Servizi gestiti
Per eseguire l'onboarding del cliente in Azure Lighthouse, è possibile pubblicare offerte di Servizi gestiti in Azure Marketplace. Quando si creano le offerte nel Centro per i partner, è ora possibile specificare se il tipo di accesso per ogni autorizzazione deve essere Attivo o Idoneo.
Quando si seleziona Idoneo, l'utente nell'autorizzazione potrà attivare il ruolo in base ai criteri di accesso configurati. È necessario impostare una durata massima compresa tra 30 minuti e 8 ore e specificare se è necessaria l'autenticazione a più fattori. È anche possibile aggiungere fino a 10 responsabili approvazione se si sceglie di usarli, specificando un nome visualizzato e un ID entità per ognuno di essi.
Assicurarsi di esaminare i dettagli nella sezione Elementi autorizzazione idonei quando si configurano le autorizzazioni idonee nel Centro per i partner.
Creare autorizzazioni idonee con i modelli di Azure Resource Manager
Per eseguire l'onboarding del cliente in Azure Lighthouse, usare un modello di Azure Resource Manager insieme a un file di parametri corrispondente modificato. Il modello scelto dipenderà dal fatto che si esegua l'onboarding di un'intera sottoscrizione, di un gruppo di risorse o di più gruppi di risorse all'interno di una sottoscrizione.
Per includere le autorizzazioni idonee quando si esegue l'onboarding di un cliente, usare uno dei modelli della sezione delegated-resource-management-eligible-authorizations del repository di esempi. Vengono forniti modelli con e senza responsabili approvazione inclusi, in modo che sia possibile usare quello più adatto per lo scenario in uso.
| Per eseguire l'onboarding di questo (con autorizzazioni idonee) | Usare questo modello di Azure Resource Manager | E modificare questo file dei parametri |
|---|---|---|
| Abbonamento | subscription.json | subscription.parameters.json |
| Sottoscrizione (con responsabili approvazione) | subscription-managing-tenant-approvers.json | subscription-managing-tenant-approvers.parameters.json |
| Gruppo di risorse | rg.json | rg.parameters.json |
| Gruppo di risorse (con responsabili approvazione) | rg-managing-tenant-approvers.json | rg-managing-tenant-approvers.parameters.json |
| Più gruppi di risorse all'interno di una sottoscrizione | multiple-rg.json | multiple-rg.parameters.json |
| Più gruppi di risorse all'interno di una sottoscrizione (con responsabili approvazione) | multiple-rg-managing-tenant-approvers.json | multiple-rg-managing-tenant-approvers.parameters.json |
Il modello subscription-managing-tenant-approvers.json, che può essere usato per eseguire l'onboarding di una sottoscrizione con autorizzazioni idonee (inclusi i responsabili approvazione), è illustrato di seguito.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/subscriptionDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mspOfferName": {
"type": "string",
"metadata": {
"description": "Specify a unique name for your offer"
}
},
"mspOfferDescription": {
"type": "string",
"metadata": {
"description": "Name of the Managed Service Provider offering"
}
},
"managedByTenantId": {
"type": "string",
"metadata": {
"description": "Specify the tenant id of the Managed Service Provider"
}
},
"authorizations": {
"type": "array",
"metadata": {
"description": "Specify an array of objects, containing tuples of Azure Active Directory principalId, a Azure roleDefinitionId, and an optional principalIdDisplayName. The roleDefinition specified is granted to the principalId in the provider's Active Directory and the principalIdDisplayName is visible to customers."
}
},
"eligibleAuthorizations": {
"type": "array",
"metadata": {
"description": "Provide the authorizations that will have just-in-time role assignments on customer environments with support for approvals from the managing tenant"
}
}
},
"variables": {
"mspRegistrationName": "[guid(parameters('mspOfferName'))]",
"mspAssignmentName": "[guid(parameters('mspOfferName'))]"
},
"resources": [
{
"type": "Microsoft.ManagedServices/registrationDefinitions",
"apiVersion": "2020-02-01-preview",
"name": "[variables('mspRegistrationName')]",
"properties": {
"registrationDefinitionName": "[parameters('mspOfferName')]",
"description": "[parameters('mspOfferDescription')]",
"managedByTenantId": "[parameters('managedByTenantId')]",
"authorizations": "[parameters('authorizations')]",
"eligibleAuthorizations": "[parameters('eligibleAuthorizations')]"
}
},
{
"type": "Microsoft.ManagedServices/registrationAssignments",
"apiVersion": "2020-02-01-preview",
"name": "[variables('mspAssignmentName')]",
"dependsOn": [
"[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
],
"properties": {
"registrationDefinitionId": "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
}
}
],
"outputs": {
"mspOfferName": {
"type": "string",
"value": "[concat('Managed by', ' ', parameters('mspOfferName'))]"
},
"authorizations": {
"type": "array",
"value": "[parameters('authorizations')]"
},
"eligibleAuthorizations": {
"type": "array",
"value": "[parameters('eligibleAuthorizations')]"
}
}
}
Definire le autorizzazioni idonee nel file dei parametri
Il modello di esempio subscription-managing-tenant-approvers.parameters.json può essere usato per definire le autorizzazioni, incluse le autorizzazioni idonee, durante l'onboarding di una sottoscrizione.
Ogni autorizzazione idonea deve essere definita nel parametro eligibleAuthorizations. Questo esempio include un'autorizzazione idonea.
Questo modello include anche l'elemento managedbyTenantApprovers, che aggiunge un principalId che dovrà approvare tutti i tentativi di attivare i ruoli idonei definiti nell'elemento eligibleAuthorizations.
{
"$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mspOfferName": {
"value": "Relecloud Managed Services"
},
"mspOfferDescription": {
"value": "Relecloud Managed Services"
},
"managedByTenantId": {
"value": "<insert the managing tenant id>"
},
"authorizations": {
"value": [
{
"principalId": "00000000-0000-0000-0000-000000000000",
"roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
"principalIdDisplayName": "PIM group"
}
]
},
"eligibleAuthorizations":{
"value": [
{
"justInTimeAccessPolicy": {
"multiFactorAuthProvider": "Azure",
"maximumActivationDuration": "PT8H",
"managedByTenantApprovers": [
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "PIM-Approvers"
}
]
},
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Tier 2 Support",
"roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
}
]
}
}
}
Ogni voce all'interno del parametro eligibleAuthorizations contiene tre elementi che definiscono un'autorizzazione idonea: principalId, roleDefinitionId e justInTimeAccessPolicy.
principalId specifica l'ID per l'utente o del gruppo di Microsoft Entra a cui verrà applicata l’autorizzazione idonea.
roleDefinitionId contiene l'ID definizione del ruolo per un ruolo predefinito di Azure che l'utente sarà idoneo per l'uso su base JIT. Se si includono più autorizzazioni idonee che usano lo stesso roleDefinitionId, tutte devono avere impostazioni identiche per justInTimeAccessPolicy.
justInTimeAccessPolicy specifica tre elementi:
multiFactorAuthProviderpuò essere impostato su Azure, che richiederà l'autenticazione tramite l'autenticazione a più fattori di Microsoft Entra oppure su Nessunose non sarà necessaria alcuna autenticazione a più fattori.maximumActivationDurationimposta l'intervallo totale di tempo durante il quale l'utente avrà il ruolo idoneo. Questo valore deve usare il formato di durata ISO 8601. Il valore minimo è PT30M (30 minuti) e il valore massimo è PT8H (8 ore). Per semplicità, è consigliabile usare valori solo in incrementi di mezz'ora, ad esempio PT6H per 6 ore o PT6H30M per 6,5 ore.managedByTenantApproversè facoltativo. In caso di inclusione, deve contenere una o più combinazioni di principalId e principalIdDisplayName che dovranno approvare qualsiasi attivazione del ruolo idoneo.
Per altre informazioni su questi elementi, vedere la sezione Elementi di autorizzazione idonei.
Processo di elevazione dei privilegi per gli utenti
Dopo l'onboarding di un cliente in Azure Lighthouse, tutti i ruoli idonei inclusi saranno disponibili all’utente specificato (o agli utenti in tutti i gruppi specificati).
Ogni utente può elevare il prioprio accesso in qualsiasi momento visitando la pagina Clienti personali nel portale di Azure, selezionando una delega e quindi selezionando Gestisci ruoli idonei. Successivamente, possono seguire i passaggi per attivare il ruolo in Microsoft Entra Privileged Identity Management.
Se sono stati specificati responsabili approvazione, l'utente non avrà accesso al ruolo finché l'approvazione non viene concessa da un responsabile approvazione designato dal tenant di gestione. Tutti i responsabili approvazione riceveranno una notifica quando viene richiesta l'approvazione e l'utente non sarà in grado di usare il ruolo idoneo fino a quando non viene concessa l'approvazione. I responsabili approvazione riceveranno anche una notifica quando ciò avviene. Per altre informazioni sul processo di approvazione, vedere Approvare o negare le richieste per i ruoli delle risorse di Azure in Privileged Identity Management.
Dopo l'attivazione del ruolo idoneo, l'utente manterrà tale ruolo per tutto il periodo di tempo specificato nell'autorizzazione idonea. Dopo tale periodo di tempo, non potranno più usare tale ruolo, a meno che non ripeta il processo di elevazione dei privilegi ed elevo di nuovo l'accesso.
Passaggi successivi
- Informazioni su come eseguire l'onboarding dei clienti in Azure Lighthouse con i modelli di Resource Manager.
- Informazioni su come eseguire l'onboarding dei clienti usando le offerte di Servizi gestiti.
- Altre informazioni su Microsoft Entra Privileged Identity Management.
- Altre informazioni su tenant, utenti e ruoli in Azure Lighthouse.