Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure Lighthouse pomáhá poskytovatelům služeb zjednodušit zapojení zákazníků a onboarding a současně spravovat delegovaná prostředky ve velkém měřítku s flexibilitou a přesností. Autorizovaní uživatelé, skupiny a servisní entity mohou pracovat přímo v kontextu zákaznického předplatného, aniž by měli účet v tenantovi Microsoft Entra daného zákazníka nebo byli spoluvlastníky tenanta zákazníka. Mechanismus používaný k podpoře tohoto přístupu se nazývá delegovaná správa prostředků Azure.
Návod
Azure Lighthouse je možné použít také v rámci podniku, který má několik vlastních tenantů Microsoft Entra, aby se zjednodušila správa napříč tenanty.
Toto téma popisuje vztah mezi tenanty ve službě Azure Lighthouse a prostředky vytvořenými v tenantovi zákazníka, které tuto relaci umožňují.
Poznámka:
Onboarding zákazníka do služby Azure Lighthouse vyžaduje nasazení účtem v tenantovi zákazníka, který má roli s oprávněními Microsoft.Authorization/roleAssignments/write, Microsoft.Authorization/roleAssignments/delete a Microsoft.Authorization/roleAssignments/read, například vlastník, pro připojované předplatné (nebo předplatné, které obsahuje připojované skupiny prostředků).
Prostředky delegování vytvořené v tenantovi zákazníka
Když je předplatné nebo skupina prostředků zákazníka zařazena do služby Azure Lighthouse, vytvoří se dva prostředky: definice registrace a přiřazení registrace. K přístupu k těmto prostředkům můžete použít rozhraní API a nástroje pro správu nebo s nimi pracovat na webu Azure Portal.
Definice registrace
Definice registrace obsahuje podrobnosti o nabídce Azure Lighthouse (spravující tenant ID a autorizace, která přiřazuje předdefinované role konkrétním uživatelům, skupinám a/nebo služebním identitám ve spravujícím tenantovi.
Definice registrace se vytvoří na úrovni předplatného pro každé delegovaný předplatné nebo v každém předplatném, které obsahuje delegovanou skupinu prostředků. Při vytváření definice registrace pomocí rozhraní API budete muset pracovat na úrovni předplatného. Například při použití Azure PowerShellu budete muset před vytvořením nové definice registrace (New-AzManagedServicesDefinition) použít New-AzureRmDeployment, spíše než New-AzureRmResourceGroupDeployment.
Přidělení registrace
Přiřazení registrace přiřadí definici registrace ke konkrétnímu rozsahu – to znamená integrovaná předplatná a/nebo skupiny prostředků.
V každém delegovaném oboru se vytvoří přiřazení registrace, takže v závislosti na tom, co bylo onboardováno, bude buď na úrovni skupiny předplatného, nebo na úrovni skupiny prostředků.
Každé přiřazení registrace musí odkazovat na platnou definici registrace na úrovni předplatného, vázat autorizaci tohoto poskytovatele služeb do delegovaného oboru a tím udělit přístup.
Logická projekce
Azure Lighthouse vytvoří logickou projekci prostředků z jednoho tenanta do jiného tenanta. To umožňuje autorizovaným poskytovatelům služeb přihlásit se ke svému vlastnímu tenantovi s autorizací, aby mohli pracovat v delegovaných zákaznických předplatných a skupinách prostředků. Uživatelé v tenantovi poskytovatele služeb pak můžou provádět operace správy jménem svých zákazníků, aniž by se museli přihlašovat ke každému jednotlivému tenantovi zákazníka.
Pokaždé, když uživatel, skupina nebo instanční objekt v tenantovi poskytovatele služeb přistupuje k prostředkům v tenantovi zákazníka, Azure Resource Manager obdrží žádost. Resource Manager tyto žádosti ověřuje stejně jako u žádostí provedených uživateli v rámci vlastního tenanta zákazníka. Pro Azure Lighthouse to dělá tím, že potvrdí, že v tenantovi zákazníka existují dva prostředky – definice registrace a přiřazení registrace. Pokud ano, Resource Manager autorizuje přístup podle informací definovaných těmito prostředky.
Aktivita uživatelů v tenantovi poskytovatele služeb se sleduje v protokolu aktivit, který je uložený v tenantovi zákazníka. Díky tomu může zákazník zjistit, jaké změny udělal a kdo.
Jak funguje Azure Lighthouse
Na vysoké úrovni funguje Azure Lighthouse pro spravujícího tenanta takto:
- Určete role, které budou vaše skupiny, instanční objekty nebo uživatelé potřebovat ke správě prostředků Azure zákazníka.
- Zadejte tento přístup a připojte zákazníka ke službě Azure Lighthouse tak , že publikujete nabídku spravované služby na Azure Marketplace nebo nasadíte šablonu Azure Resource Manageru. Tento proces onboardingu vytvoří dva prostředky popsané výše (definice registrace a přiřazení registrace) v tenantovi zákazníka.
- Po připojení zákazníka se autorizovaní uživatelé přihlásí k vašemu spravovanému tenantovi a provádějí úlohy v zadaném rozsahu zákazníka (předplatném nebo skupině prostředků) podle vámi definovaného přístupu. Zákazníci můžou zkontrolovat všechny provedené akce a kdykoli můžou odebrat přístup.
Ve většině případů bude pro zákazníka spravovat specifické prostředky pouze jeden poskytovatel služeb, ale zákazník může vytvořit více delegování pro stejné předplatné nebo skupinu prostředků, a tím umožnit více poskytovatelům služeb přístup. Tento scénář také umožňuje scénáře nezávislých výrobců softwaru, které projektují prostředky z tenanta poskytovatele služeb na více zákazníků.
Další kroky
- Projděte si příkazy Azure CLI a Azure PowerShellu pro práci s definicemi registrace a přiřazeními registrace.
- Seznamte se s vylepšenými službami a scénáři pro Azure Lighthouse.
- Přečtěte si další informace o tom, jak tenanti, uživatelé a role fungují se službou Azure Lighthouse.