Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Lighthouse ermöglicht Dienstanbietern das Erstellen und Bearbeiten von Richtliniendefinitionen innerhalb eines delegierten Abonnements. Wenn Sie Richtlinien mit einem Wartungstask (also Richtlinien mit deployIfNotExists- oder modify-Effekt) bereitstellen möchten, müssen Sie eine verwaltete Identität im Kundenmandanten erstellen. Azure-Richtlinie kann diese verwaltete Identität verwenden, um die Vorlage im Rahmen der Richtlinie bereitzustellen.
In diesem Artikel werden die Schritte zum Aktivieren dieses Szenarios beschrieben, sowohl beim Onboarding des Kunden in Azure Lighthouse als auch bei der Bereitstellung der Richtlinie.
Tipp
Obwohl dieser Artikel auf Dienstanbieter und Kunden verweist, können Unternehmen, die mehrere Mandanten verwalten , dieselben Prozesse verwenden.
Erstellen eines Benutzers, der einer verwalteten Identität im Kundenmandanten Rollen zuweisen kann
Beim Onboarding eines Kunden in Azure Lighthouse definieren Sie Autorisierungen, mit denen der Zugriff auf delegierte Ressourcen im Kundenmandanten erteilt wird. Jede Autorisierung gibt eine principalId an, die einem Microsoft Entra-Benutzer, einer Gruppe oder einem Dienstprinzipal im verwalteten Mandanten entspricht, und eine roleDefinitionId , die der von Ihnen gewährten integrierten Azure-Rolle entspricht.
Um einer principalId das Zuweisen von Rollen zu einer verwalteten Identität im Kundenmandanten zu ermöglichen, legen Sie die roleDefinitionId auf "Benutzerzugriffsadministrator" fest. Diese Rolle wird zwar für Azure Lighthouse im Allgemeinen nicht unterstützt, in diesem spezifischen Szenario kann sie aber verwendet werden. Gewähren Sie die Rolle der PrincipalId, damit sie vordefinierte Rollen an verwaltete Identitäten zuweisen kann. Diese Rollen werden in der delegatedRoleDefinitionIds-Eigenschaft definiert. Sie können jede unterstützte integrierte Azure-Rolle mit Ausnahme des Administrators oder Besitzers des Benutzerzugriffs einschließen.
Nachdem der Kunde eingebunden wurde, kann die in dieser Autorisierung erstellte PrincipalId diese integrierten Rollen zu verwalteten Identitäten im Kunden-Tenant zuweisen. Sie verfügt nicht über andere Berechtigungen, die normalerweise der Rolle "Benutzerzugriffsadministrator" zugeordnet sind.
Hinweis
Sie müssen derzeit APIs verwenden, nicht das Azure-Portal, um Rollenzuweisungen über Mandanten hinweg zu erstellen.
Dieses Beispiel zeigt eine principalId mit der Rolle „Benutzerzugriffsadministrator“. Dieser Benutzer kann zwei integrierte Rollen den verwalteten Identitäten im Kundenmandanten zuweisen: Beitragender und Log Analytics-Beitragender.
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Policy Automation Account",
"roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"delegatedRoleDefinitionIds": [
"b24988ac-6180-42a0-ab88-20f7382dd24c",
"92aaf0da-9dab-42b6-94a3-d43ce8d16293"
]
}
Bereitstellen von Richtlinien, die gewartet werden können
Nachdem Sie den Benutzer mit den erforderlichen Berechtigungen erstellt haben, kann dieser Benutzer Richtlinien mit Wartungsaufgaben innerhalb delegierter Kundenabonnements bereitstellen.
Angenommen, Sie möchten die Diagnose für Azure Key Vault-Ressourcen im Kundenmandanten aktivieren, wie in diesem Beispiel gezeigt. Ein Benutzer im verwalteten Mandanten mit den entsprechenden Berechtigungen (wie zuvor beschrieben) stellt eine Azure Resource Manager-Vorlage bereit, um dieses Szenario zu aktivieren.
Sie müssen derzeit APIs verwenden, um die Richtlinienzuweisung für die Verwendung mit einem delegierten Abonnement zu erstellen; Sie können das Azure-Portal nicht verwenden. Wenn Sie die Richtlinienzuweisung erstellen, legen Sie die apiVersion auf 2019-04-01-preview oder höher fest, um die delegierteManagedIdentityResourceId-Eigenschaft einzuschließen. Mit dieser Eigenschaft können Sie eine verwaltete Identität einschließen, die sich im Kundenmandanten befindet (in einem Abonnement oder einer Ressourcengruppe, die Sie in Azure Lighthouse integriert haben).
Das folgende Beispiel zeigt eine Rollenzuweisung mit delegatedManagedIdentityResourceId:
"type": "Microsoft.Authorization/roleAssignments",
"apiVersion": "2019-04-01-preview",
"name": "[parameters('rbacGuid')]",
"dependsOn": [
"[variables('policyAssignment')]"
],
"properties": {
"roleDefinitionId": "[concat(subscription().id, '/providers/Microsoft.Authorization/roleDefinitions/', variables('rbacContributor'))]",
"principalType": "ServicePrincipal",
"delegatedManagedIdentityResourceId": "[concat(subscription().id, '/providers/Microsoft.Authorization/policyAssignments/', variables('policyAssignment'))]",
"principalId": "[toLower(reference(concat('/providers/Microsoft.Authorization/policyAssignments/', variables('policyAssignment')), '2018-05-01', 'Full' ).identity.principalId)]"
}
Tipp
In einem ähnlichen Beispiel wird gezeigt, wie eine Richtlinie zugewiesen wird, die unter Verwendung des modify-Effekts einem delegierten Abonnement ein Tag hinzufügt oder ein Tag daraus entfernt.
Nächste Schritte
- Informieren Sie sich über Azure Policy.
- Informieren Sie sich über verwaltete Identitäten für Azure-Ressourcen.