我一直在努力寻找最佳管理访问权限的方法,并允许我们的技术人员访问我们的客户订阅和Azure资源,而不会在每次订阅时给予他们作为贡献者或类似的明确权利。
现在我遇到了特权身份管理功能(https://docs.microsoft.com/en-us/azure/active-directory/active-directory-privileged-identity-management-configure?toc=%2fazure%2factive-directory%2fprivileged-identity-management%2ftoc.json),看起来它会完全符合我的要求。例如,即时管理访问。
现在,我们将如何设置CSP访问我们客户的订阅和Azure租户,以便通过AdminAgent / TenantAdmin小组提供对客户订阅的访问权限。我只能从我们的租户中隐含地看到它们,或者当我没有明确地在客户的租户中看到它们时。换句话说,他们从未出现在我们自己的Azure门户中的任何查找或下拉列表中,我总是必须明确说明我想要访问的租户(portal.azure.com/tenant.onmicrosoft.com [我对这个BTW我真的很好])。
谁能告诉我他们是怎么做到的?我的意思是必须有一些方法来做这个缩放?
这两篇文章非常有助于理解CSP模型的工作方式。第二个是特别有趣的,因为它提供了一种实现我想要的方式,但我更喜欢一种不将我的用户添加到客户的Azure AD的方法。类似于AdminAgent / TenantAdmin组提供的委托管理员访问权限。
但是我觉得这方面的信息很少,究竟哪个人应该寻求帮助?我发现自己是一名CSP,并且寻求技术援助并不是很舒服。
答案 0 :(得分:2)
或者,您可以实现IAM系统以使其更容易 适当地为每个客户或合作伙伴的用户创建/删除帐户 Azure AD中的容器(或任何其他目录)。
这是一个旨在完成这种B2B委托管理的解决方案:
答案 1 :(得分:1)
今天,您无法通过CSP模型真正使用Azure AD特权身份管理(PIM),原因是您已确定:来自CSP合作伙伴的个人用户未在客户中代表' Azure AD租户,因此您无法为其分配PIM策略。
我的建议是将管理员访问客户的租户的用户数量减少到最低限度,并仅将其用于邀请租户所需的其他用户进入客户&# 39;作为B2B访客用户的租户。一旦他们进入租户,他们就可以正常访问Azure订阅(并且他们可以使用PIM即时获取该访问权限。)