Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Lighthouse ermöglicht die mehrinstanzenfähige Verwaltung mit hoher Skalierbarkeit, stärkerer Automatisierung und verbesserter Governance für alle Ressourcen. Azure Lighthouse kann in Azure-Zielzonenszenarien in Einzel- oder mehrinstanzenfähigen Architekturen übernommen werden.
Die folgenden Überlegungen und Empfehlungen beschreiben allgemeine Szenarien für Azure Lighthouse in Azure-Zielzonenbereitstellungen.
Überlegungen
- Azure Lighthouse wird in Azure-Clouds nicht unterstützt, z. B. die öffentliche Azure-Cloud zur Cloud von Azure Government. Weitere Informationen finden Sie unter Regions- und Cloudüberlegungen.
- Azure Lighthouse unterstützt Delegierungen von Abonnements oder Ressourcengruppen, nicht von Verwaltungsgruppen oder Mandanten. Eine Lösung für die Eingliederung mehrerer Abonnements innerhalb einer Verwaltungsgruppe finden Sie unter Eingliederung aller Abonnements in einer Verwaltungsgruppe. Diese Richtlinie folgt dem Entwurfsprinzip von Azure-Zielzonen der richtliniengesteuerten Governance.
- Informationen zu den Einschränkungen der Rollenunterstützung mit Azure Lighthouse finden Sie unter Rollenunterstützung für Azure Lighthouse.
Empfehlungen
- Siehe Azure Lighthouse in Unternehmensszenarien.
- Wenn Sie ein ISV sind, lesen Sie Azure Lighthouse in ISV-Szenarien.
- Verwenden Sie Azure Lighthouse in beide Richtungen zwischen Microsoft Entra-Mandanten, um Verwaltungsaktivitäten zu vereinfachen und komplexe Authentifizierungs- und Autorisierungsszenarien zu reduzieren. Diese Aktion entfernt die Abhängigkeit von Microsoft Entra B2B (Gast)-Konten für Benutzer- und Arbeitsauslastungsidentitäten und entfernt die Notwendigkeit, separate Konten für einige Aktivitäten zu haben.
- Verwenden Sie Microsoft Entra Privileged Identity Management (PIM) als Teil Ihrer Azure Lighthouse-Delegationen. Weitere Informationen finden Sie unter Erstellen von berechtigten Autorisierungen.
- Dieses Feature erfordert die Microsoft Entra ID P2-Lizenzierung, aber nur aus der Quelle oder Verwaltung des Microsoft Entra-Mandanten.
Azure-Landungszonenszenario – Azure Lighthouse und privates DNS im großen Maßstab
Das folgende Diagramm zeigt ein Azure-Zielzonenszenario, in dem Azure Lighthouse für mehrere Microsoft Entra-Mandanten verwendet wird, um die Integration von Private Link und DNS zu unterstützen.
Wenn Sie Azure Lighthouse verwenden, wird die Zone des privaten DNS von Azure Policy für private Endpunkte in Spoke-Mandanten von Microsoft Entra automatisch mit den zentralisierten Zonen des privaten DNS im Hub des Microsoft Entra-Mandanten verknüpft. Weitere Informationen finden Sie unter Private Link und DNS-Integration im großen Stil.
Wenn Sie diese Architektur verwenden, haben Besitzer der Anwendungslandzone Zugriff auf Änderungen an der privaten DNS-Zone über Azure Lighthouse-Delegierungsautorisierungen. Dieser Zugriff ist nützlich, wenn ein anderer Ansatz zum Verwalten der DNS-Konfiguration privater Endpunkte anstelle von Azure-Richtlinien verwendet wird. Weitere Informationen finden Sie unter Private Link und DNS-Integration im großen Stil.