Azure Lighthouse v podnikových scénářích

  • Článek

Běžný scénář pro Azure Lighthouse zahrnuje poskytovatele služeb, který spravuje prostředky v tenantech Microsoft Entra svých zákazníků. Funkce služby Azure Lighthouse se dají použít také ke zjednodušení správy napříč tenanty v rámci podniku, který používá více tenantů Microsoft Entra.

Jeden vs. více tenantů

Pro většinu organizací je správa jednodušší s jedním tenantem Microsoft Entra. Mít všechny prostředky v rámci jednoho tenanta umožňuje centralizaci úloh správy určenými uživateli, skupinami uživatelů nebo instančními objekty v rámci tohoto tenanta. Pokud je to možné, doporučujeme pro vaši organizaci používat jednoho tenanta.

Některé organizace můžou potřebovat používat více tenantů Microsoft Entra. Může se jednat o dočasnou situaci, protože když proběhly akvizice a strategie konsolidace dlouhodobého tenanta ještě nebyla definována. Jindy mohou organizace potřebovat udržovat více tenantů průběžně kvůli zcela nezávislým pobočkám, geografickým nebo právním požadavkům nebo jiným aspektům.

V případech, kdy se vyžaduje víceklientová architektura , může Azure Lighthouse pomoct centralizovat a zjednodušit operace správy. Pomocí Služby Azure Lighthouse můžou uživatelé v jednom spravovaném tenantovi provádět funkce správy napříč tenanty centralizovaným a škálovatelným způsobem.

Architektura správy klientů

Pokud chcete azure Lighthouse používat v podniku, budete muset určit, který tenant bude zahrnovat uživatele, kteří provádějí operace správy v ostatních tenantech. Jinými slovy, budete muset určit jednoho tenanta jako spravovaného tenanta pro ostatní tenanty.

Řekněme například, že vaše organizace má jednoho tenanta, kterého budeme volat tenanta A. Vaše organizace pak získá tenanta B a tenanta C a máte obchodní důvody, které vyžadují, abyste je udržovali jako samostatné tenanty. Pro všechny z nich byste ale chtěli použít stejné definice zásad, postupy zálohování a procesy zabezpečení s úlohami správy prováděnými stejnou sadou uživatelů.

Vzhledem k tomu, že tenant A už zahrnuje uživatele ve vaší organizaci, kteří provádějí tyto úlohy pro tenanta A, můžete připojit předplatná v rámci tenanta B a tenanta C, což umožňuje stejným uživatelům v tenantovi A provádět tyto úlohy napříč všemi tenanty.

Diagram showing users in Tenant A managing resources in Tenant B and Tenant C.

Aspekty zabezpečení a přístupu

Ve většině podnikových scénářů budete chtít delegovat úplné předplatné do Služby Azure Lighthouse. Můžete se také rozhodnout delegovat pouze konkrétní skupiny prostředků v rámci předplatného.

V obou případech nezapomeňte při definování, kteří uživatelé budou mít přístup k delegovaným prostředkům, dodržovat zásadu nejnižších oprávnění. To pomáhá zajistit, aby uživatelé měli jenom oprávnění potřebná k provádění požadovaných úloh a snížili riziko neúmyslných chyb.

Azure Lighthouse poskytuje pouze logická propojení mezi spravovaným tenantem a spravovanými tenanty místo fyzického přesouvání dat nebo prostředků. Přístup navíc vždy vede pouze jedním směrem od spravovaného tenanta až po spravované tenanty. Uživatelé a skupiny ve správě tenanta by měli při provádění operací správy u spravovaných prostředků tenanta dál používat vícefaktorové ověřování.

Podniky s interními nebo externími zásadami správného řízení a mantinely dodržování předpisů můžou používat protokoly aktivit Azure ke splnění požadavků na transparentnost. Když podnikoví tenanti vytvořili správu a spravované vztahy tenantů, můžou uživatelé v každém tenantovi zobrazit protokolovanou aktivitu a zobrazit akce prováděné uživateli ve správě tenanta.

Důležité informace o onboardingu

Předplatná (nebo skupiny prostředků v rámci předplatného) je možné připojit ke službě Azure Lighthouse buď nasazením šablon Azure Resource Manageru, nebo prostřednictvím nabídek spravovaných služeb publikovaných na Azure Marketplace.

Vzhledem k tomu, že podnikoví uživatelé obvykle budou mít přímý přístup k tenantům podniku a není potřeba nabízet ani propagovat nabídku správy, je obvykle rychlejší a jednodušší nasadit šablony Azure Resource Manageru. Pokyny k onboardingu sice odkazují na poskytovatele služeb a zákazníky, ale podniky můžou ke zprovoznění tenantů používat stejné procesy.

Pokud chcete, můžete tenanty v rámci podniku nasadit publikováním nabídky spravovaných služeb na Azure Marketplace. Pokud chcete zajistit, aby byla nabídka dostupná jenom pro příslušné tenanty, ujistěte se, že jsou vaše plány označené jako soukromé. S privátním plánem zadáte ID předplatného pro každého tenanta, kterého plánujete připojit, a nikdo jiný nebude moct vaši nabídku získat.

Azure AD B2C

Azure Active Directory B2C (Azure AD B2C) poskytuje identitu mezi firmami jako službu. Když delegujete skupinu prostředků přes Azure Lighthouse, můžete pomocí služby Azure Monitor směrovat protokoly přihlašování a auditování Azure Active Directory B2C (Azure AD B2C) do různých řešení monitorování. Protokoly můžete uchovávat pro dlouhodobé použití nebo integrovat s nástroji pro správu událostí a informací o zabezpečení (SIEM) třetích stran, abyste získali přehled o vašem prostředí.

Další informace najdete v tématu Monitorování Azure AD B2C se službou Azure Monitor.

Poznámky k terminologii

U správy napříč tenanty v rámci podniku je možné pochopit, že odkazy na poskytovatele služeb v dokumentaci ke službě Azure Lighthouse se dají použít pro spravovaného tenanta v rámci podniku – to znamená tenant, který zahrnuje uživatele, kteří budou spravovat prostředky v jiných tenantech prostřednictvím Služby Azure Lighthouse. Podobně lze všechny odkazy na zákazníky pochopit, aby platily pro tenanty, kteří delegují prostředky, které se mají spravovat prostřednictvím uživatelů ve správě tenanta.

Například v příkladu popsaném výše si tenantA A můžete představit jako tenanta poskytovatele služeb (tenanta pro správu) a tenanta B a tenanta C. Může být považován za tenanty zákazníka.

V tomto příkladu můžou uživatelé tenanta A s příslušnými oprávněními zobrazovat a spravovat delegovaná prostředky na stránce Moji zákazníci na webu Azure Portal. Podobně můžou uživatelé tenanta B a tenanta C s příslušnými oprávněními zobrazit a spravovat prostředky, které byly delegovány na tenanta A, na stránce Poskytovatelé služeb na webu Azure Portal.

Další kroky