Mandantenübergreifende Unterstützung in Azure Virtual Network Manager
In diesem Artikel erfahren Sie mehr über mandantenübergreifende Unterstützung in Azure Virtual Network Manager. Mandantenübergreifende Unterstützung ermöglicht Organisationen die Verwendung einer zentralen Network Manager-Instanz zum Verwalten virtueller Netzwerke über verschiedene Mandanten und Abonnements hinweg.
Übersicht über mandantenübergreifende Unterstützung
Durch mandantenübergreifende Unterstützung in Azure Virtual Network Manager können Sie Ihrem Netzwerk-Manager Abonnements oder Verwaltungsgruppen von anderen Mandanten hinzufügen. Dies erfolgt durch das Einrichten einer bidirektionalen Verbindung zwischen dem Netzwerk-Manager und den Zielmandanten. Nach dem Herstellen der Verbindung kann der zentrale Manager Konnektivitäts- und/oder Sicherheitsadministratorregeln für virtuelle Netzwerke in diesen verbundenen Abonnements oder Verwaltungsgruppen bereitstellen. Diese Unterstützung ist für Organisationen sinnvoll, die den folgenden Szenarien entsprechen:
Übernahmen – In Fällen, in denen Unternehmen durch Übernahmen fusionieren und mehrere Mandanten nutzen, ermöglicht mandantenübergreifende Unterstützung einem zentralen Netzwerk-Manager die Verwaltung virtueller Netzwerke über die Mandanten hinweg.
Verwalteter Dienstanbieter – In Szenarien mit verwalteten Dienstanbietern kann eine Organisation die Ressourcen anderer Organisationen verwalten. Mandantenübergreifende Unterstützung ermöglicht die zentrale Verwaltung virtueller Netzwerke durch einen zentralen Dienstanbieter für mehrere Clients.
Mandantenübergreifende Verbindung
Das Einrichten von mandantenübergreifender Unterstützung beginnt mit dem Erstellen einer mandantenübergreifenden Verbindung zwischen zwei Mandanten. Mandantenübergreifende Unterstützung erfordert bidirektionale Einwilligung: vom Netzwerkmanager und vom virtuellen Netzwerk-Manager-Hub des Zielmandanten. Die folgenden Verbindungen werden verwendet:
- Netzwerk-Manager-Verbindung – Sie erstellen eine mandantenübergreifende Verbindung von Ihrem Netzwerk-Manager. Die Verbindung umfasst den genauen Umfang der Abonnements oder Verwaltungsgruppen des Mandanten, die in Ihrem Netzwerk-Manager verwaltet werden sollen.
- Virtuelle Netzwerk-Manager-Hubverbindung – Der Mandant erstellt eine mandantenübergreifende Verbindung über den virtuellen Netzwerk-Manager-Hub. Diese Verbindung umfasst den Umfang von Abonnements oder Verwaltungsgruppen, die vom zentralen Netzwerk-Manager verwaltet werden sollen.
Sobald sowohl mandantenübergreifende Verbindungen vorhanden als auch die Bereiche genau gleich sind, wird eine echte Verbindung hergestellt. Administratoren können ihren Netzwerk-Manager verwenden, um ihren Netzwerkgruppen mandantenübergreifende Ressourcen hinzuzufügen und virtuelle Netzwerke zu verwalten, die im Verbindungsbereich enthalten sind. Vorhandene Konnektivitäts- und/oder Sicherheitsverwaltungsregeln werden auf die Ressourcen basierend auf vorhandenen Konfigurationen angewendet.
Eine mandantenübergreifende Verbindung kann nur hergestellt und verwaltet werden, wenn beide Objekte von jeder Partei vorhanden sind. Wenn eine der Verbindungen entfernt wird, wird die mandantenübergreifende Verbindung unterbrochen. Wenn Sie eine mandantenübergreifende Verbindung löschen müssen, führen Sie die folgenden Schritte aus:
- Entfernen Sie die mandantenübergreifende Verbindung von der Netzwerk-Manager-Seite über die Einstellungen für die mandantenübergreifende Verbindungen im Azure-Portal.
- Entfernen Sie die mandantenübergreifende Verbindung von der Mandantenseite über die Einstellungen für die mandantenübergreifende Verbindungen des virtuellen Netzwerk-Manager-Hubs im Azure-Portal.
Hinweis
Sobald eine Verbindung von einer Seiten entfernt wurde, kann der Netzwerk-Manager die Ressourcen des Mandanten nicht mehr unter dem Bereich dieser früheren Verbindung anzeigen oder verwalten.
Verbindungsstatus
Die zum Erstellen der mandantenübergreifenden Verbindung erforderlichen Ressourcen enthalten einen Zustand, der angibt, ob der zugeordnete Bereich dem Netzwerk-Manager-Bereich hinzugefügt wurde. Zu den möglichen Zustandswerten gehören:
- Verbunden: Sowohl die Ressourcen „Bereichsverbindung“ als auch „Netzwerk-Manager-Verbindung“ sind vorhanden. Der Bereich wurde dem Bereich des Netzwerk-Managers hinzugefügt.
- Ausstehend: Eine der beiden Genehmigungsressourcen wurde nicht erstellt. Der Bereich wurde dem Bereich des Netzwerk-Managers noch nicht hinzugefügt.
- Konflikt: In diesem Bereich wurde bereits ein Netzwerkmanager mit diesem Abonnement oder dieser Verwaltungsgruppe definiert. Zwei Netzwerkmanager mit demselben Bereichszugriff können nicht direkt denselben Bereich verwalten, daher kann diese Abonnement-/Verwaltungsgruppe dem Netzwerk-Manager-Bereich nicht hinzugefügt werden. Zum Beheben des Konflikts entfernen Sie den Bereich aus dem Bereich des in Konflikt stehenden Netzwerk-Managers, und erstellen Sie die Verbindungsressource neu.
- Widerrufen: Der Bereich wurde dem Netzwerk-Manager-Bereich einmal hinzugefügt, aber das Entfernen einer Genehmigungsressource hat dazu geführt, dass er widerrufen wurde.
Der einzige Zustand, der den Bereich darstellt und dem Netzwerk-Manager-Bereich hinzugefügt wurde, ist „Verbunden“.
Erforderliche Berechtigungen
Um die mandantenübergreifende Verbindung in Azure Virtual Network Manager zu verwenden, benötigen Benutzer die folgenden Berechtigungen:
Der Administrator des zentralen Verwaltungsmandanten verfügt über ein Gastkonto im verwalteten Zielmandanten.
Das Administratorgastkonto verfügt über Berechtigungen als Netzwerkmitwirkender, die auf geeigneter Bereichsebene angewendet werden (Verwaltungsgruppe, Abonnement oder virtuelles Netzwerk).
Benötigen Sie Hilfe beim Einrichten von Berechtigungen? Sehen Sie sich an, wie Sie Gastbenutzer im Azure-Portal hinzufügen und wie Sie Ressourcen im Azure-Portal Benutzerrollen zuweisen.
Bekannte Einschränkungen
Derzeit können mandantenübergreifende virtuelle Netzwerke Netzwerkgruppen nur manuell hinzugefügt werden. Das dynamische Hinzufügen von mandantenübergreifenden virtuellen Netzwerken zu Netzwerkgruppen über Azure Policy ist als zukünftige Funktion geplant.