Compartir a través de

Experiencias de administración entre inquilinos

Como proveedor de servicios, use Azure Lighthouse para administrar los recursos de Azure de los clientes desde su propio inquilino de Microsoft Entra. Puede realizar muchas tareas y servicios comunes en estos inquilinos administrados.

Sugerencia

También puede usar Azure Lighthouse dentro de una empresa que tenga varios inquilinos de Microsoft Entra para simplificar la administración entre inquilinos.

Descripción de los inquilinos y la delegación

Un inquilino de Microsoft Entra representa una organización. Es una instancia dedicada de Microsoft Entra ID que recibe una organización cuando crea una relación con Microsoft al registrarse en Azure, Microsoft 365 u otros servicios. Cada inquilino de Microsoft Entra es distinto e independiente de otros inquilinos de Microsoft Entra y tiene su propio identificador de inquilino (un GUID). Para obtener más información, consulte ¿Qué es Microsoft Entra?

Normalmente, los proveedores de servicios deben iniciar sesión en Azure Portal mediante una cuenta asociada al inquilino del cliente cuando administran recursos de Azure para un cliente. En este escenario, un administrador del inquilino del cliente debe crear y administrar cuentas de usuario para el proveedor de servicios.

Mediante Azure Lighthouse, el proceso de incorporación especifica los usuarios que pertenecen a la entidad del proveedor de servicios y que tienen roles asignados a las suscripciones delegadas y grupos de recursos en la entidad del cliente. Estos usuarios pueden iniciar sesión en Azure Portal mediante sus propias credenciales y trabajar en recursos que pertenecen a todos los clientes a los que tienen acceso. Los usuarios del inquilino de administración pueden ver a todos estos clientes visitando la página Mis clientes en el portal de Azure. También pueden trabajar en recursos directamente en el contexto de la suscripción de ese cliente, ya sea en el portal de Azure o a través de las API.

Azure Lighthouse proporciona una mayor flexibilidad para administrar los recursos de varios clientes sin tener que iniciar sesión en diferentes cuentas en distintos inquilinos. Por ejemplo, un proveedor de servicios puede tener dos clientes con diferentes responsabilidades y niveles de acceso. Con Azure Lighthouse, los usuarios autorizados inician sesión en el inquilino del proveedor de servicios y acceden a todos los recursos delegados de estos clientes, según los roles que se han asignado para cada delegación.

Diagrama que muestra recursos para dos clientes administrados mediante un inquilino de proveedor de servicios.

Compatibilidad de las API y herramientas de administración

Puede realizar tareas de administración en recursos delegados directamente en el portal de Azure, o puede usar las API y las herramientas de administración como la CLI de Azure y Azure PowerShell. Puede usar cualquier API existente en recursos delegados, siempre que la funcionalidad admita la administración entre inquilinos y tenga los permisos adecuados.

De forma predeterminada, el cmdlet Get-AzSubscription de Azure PowerShell muestra el valor TenantId del inquilino de administración. Los atributos HomeTenantId y ManagedByTenantIds de cada suscripción permiten identificar si una suscripción devuelta pertenece a un inquilino administrado o a un inquilino administrador.

Del mismo modo, los comandos de la CLI de Azure como az account list muestran los atributos homeTenantId y managedByTenants. Si no ve estos valores al usar la CLI de Azure, intente borrar la memoria caché ejecutando az account clear seguido de az login --identity.

En la API REST de Azure, los comandos Subscriptions - Get y Subscriptions - List incluyen ManagedByTenant.

Nota

Además de la información de inquilino relacionada con Azure Lighthouse, estas API también pueden mostrar inquilinos de asociados para Azure Databricks o aplicaciones administradas de Azure.

Puede usar las API para realizar tareas específicas relacionadas con la incorporación y administración de Azure Lighthouse. Para obtener más información, consulte la sección Referencia.

Servicios y escenarios mejorados

La mayoría de las tareas y servicios de Azure funcionan con recursos delegados en inquilinos administrados, siempre y cuando el proceso de incorporación conceda los roles adecuados. En los escenarios siguientes se muestran algunos escenarios clave en los que la administración entre inquilinos puede ser especialmente eficaz.

Azure Arc:

Azure Automation:

  • Use cuentas de Automation para acceder a recursos delegados y trabajar con ellos.

Azure Backup:

  • Realice una copia de seguridad y restaure los datos de los clientes mediante Azure Backup. Actualmente, se admiten las siguientes cargas de trabajo de Azure: Azure Virtual Machines (Azure VM), Azure Files, SQL Server en máquinas virtuales de Azure, SAP HANA en máquinas virtuales de Azure. Las cargas de trabajo que usan almacenes de Backup (como Azure Database for PostgreSQL, Azure Blob, Azure Managed Disk y Azure Kubernetes Services) actualmente no son totalmente compatibles.
  • Consulta de datos de todos los recursos de cliente delegados en el Centro de copia de seguridad
  • Use el Explorador de Backup para ayudar a ver la información operativa de los elementos de copia de seguridad (incluidos los recursos de Azure aún no configurados para la copia de seguridad) y la información de supervisión de las suscripciones delegadas. El Explorador de Backup solo está disponible actualmente para los datos de máquina virtual de Azure.
  • Use Informes de copia de seguridad en todas las suscripciones delegadas para realizar un seguimiento de tendencias históricas, analizar el consumo de almacenamiento de copia de seguridad y auditar copias de seguridad y restauraciones.

Azure Cost Management y facturación:

  • En el inquilino de administración, los asociados de CSP pueden ver, administrar y analizar los costos de consumo antes de impuestos (sin incluir compras) de los clientes que se encuentran en el plan de Azure. El costo se basa en las tarifas comerciales y el acceso de control de acceso basado en rol de Azure (RBAC de Azure) que tiene el asociado para la suscripción del cliente. Actualmente, puede ver los costos de consumo de las tarifas comerciales de cada suscripción de cliente individual en función del acceso RBAC de Azure.

Azure Key Vault:

  • Creación de almacenes de claves en inquilinos de clientes
  • Uso de una identidad administrada para crear almacenes de claves en inquilinos de clientes

Azure Kubernetes Service (AKS):

  • administre los entornos de Kubernetes hospedados e implemente y administre aplicaciones en contenedores en inquilinos de clientes
  • Implementación y administración de clústeres en inquilinos de clientes
  • Monitorear el rendimiento del clúster en las tenencias de los clientes

Azure Migrate:

  • Crear proyectos de migración en el inquilino del cliente y migrar máquinas virtuales

Azure Monitor:

  • Ver las alertas de las suscripciones delegadas, con la capacidad de ver y actualizar alertas en todas las suscripciones
  • Ver los detalles del registro de actividad para las suscripciones delegadas
  • Log Analytics: consulte datos de áreas de trabajo remotas situadas en varios inquilinos (tenga en cuenta que las cuentas de Automation que se usan para acceder a datos desde áreas de trabajo que se encuentran en inquilinos de cliente deben crearse en el mismo inquilino).
  • Cree, visualice y administre alertas en los inquilinos del cliente
  • Cree alertas en inquilinos de cliente que desencadenen la automatización, como los runbooks de Azure Automation o Azure Functions, en el inquilino que realiza la administración a través de webhooks
  • Creación de una configuración de diagnóstico en áreas de trabajo creadas en inquilinos de cliente para enviar registros de recursos a áreas de trabajo en el inquilino de administración
  • Para Microsoft Entra External ID, redirija los registros de inicio de sesión y auditoría a diferentes soluciones de supervisión.
  • Para las cargas de trabajo de SAP, supervise las métricas de soluciones de SAP con una vista agregada a través de los inquilinos del cliente.

Redes de Azure:

Azure Policy:

  • Creación y edición de definiciones de directivas en una suscripción delegada
  • Implemente definiciones y asignaciones de directivas en varios inquilinos.
  • Asignación de definiciones de directivas definidas por el cliente en suscripciones delegadas
  • Los clientes ven las directivas creadas por el proveedor de servicios junto con las directivas que crean.
  • Puede corregir deployIfNotExists o modificar asignaciones en el inquilino administrado
  • Tenga en cuenta que actualmente no se admite la visualización de los detalles de cumplimiento de los recursos no compatibles en los inquilinos del cliente.

Azure Resource Graph

  • Visualice el id. de inquilino en los resultados de la consulta devueltos, lo que le permite identificar si una suscripción pertenece a un inquilino administrado

Azure Service Health:

  • Supervisar el estado de los recursos del cliente con Azure Resource Health
  • Hacer un seguimiento del estado de los servicios de Azure que usan los clientes

Azure Site Recovery:

  • Administración de opciones de recuperación ante desastres para máquinas virtuales de Azure en inquilinos de clientes (tenga en cuenta que no puede usar cuentas RunAs para copiar extensiones de VM)

Azure Virtual Machines:

  • Uso de extensiones de máquina virtual para la configuración posterior a la implementación y la automatización de tareas en máquinas virtuales de Azure
  • Uso de diagnósticos de arranque para solucionar problemas de máquinas virtuales de Azure
  • Acceso a máquinas virtuales con la consola serie
  • Integra las máquinas virtuales con Azure Key Vault para contraseñas, secretos o claves criptográficas para el cifrado de disco mediante identidad administrada a través de la directiva, asegurando que los secretos se almacenen en un almacén de claves en la entidad administrada.
  • Tenga en cuenta que no puede usar el identificador de Entra de Microsoft para la autenticación remota en máquinas virtuales.

Microsoft Defender for Cloud:

  • Visibilidad entre inquilinos
    • Supervise el cumplimiento con las directivas de seguridad y garantice la cobertura de seguridad en todos los recursos de los inquilinos
    • Supervisión continua del cumplimiento normativo en varios inquilinos en una sola vista
    • Supervisión, evaluación de prioridades y priorización de recomendaciones de seguridad procesables con el cálculo de puntuaciones seguras
  • Administración de posiciones de seguridad entre inquilinos
    • Administrar directivas de seguridad
    • Acciones sobre los recursos que no cumplen las recomendaciones de seguridad procesables
    • Recopilación y almacenamiento de datos relacionados con la seguridad
  • Detección y protección de amenazas entre inquilinos
    • Detección de amenazas entre los recursos de los inquilinos
    • Aplicación de controles de protección contra amenazas avanzados, como el acceso a VM Just-in-Time (JIT)
    • Protección de la configuración de grupos de seguridad de red con refuerzo de redes adaptable
    • Comprobación de que los servidores ejecutan solo las aplicaciones y los procesos que deben con controles de aplicaciones adaptables
    • Supervisar los cambios en archivos importantes y entradas del registro con la supervisión de la integridad de los archivos (FIM)
  • Tenga en cuenta que toda la suscripción debe delegarse en el inquilino de administración; Los escenarios de Microsoft Defender for Cloud no se admiten con grupos de recursos delegados

Microsoft Sentinel:

Solicitudes de soporte técnico:

Limitaciones actuales

Con todos los escenarios, tenga en cuenta las siguientes limitaciones actuales:

  • Azure Lighthouse admite solicitudes controladas por Azure Resource Manager. Los URI de operación de estas solicitudes comienzan por https://management.azure.com. Sin embargo, Azure Lighthouse no admite solicitudes que son gestionadas por una instancia de un tipo de recurso, como el acceso a los secretos de Key Vault o el acceso a datos almacenados. Normalmente, los URI de operación de estas solicitudes comienzan con una dirección que es única para la instancia, como https://myaccount.blob.core.windows.net o https://mykeyvault.vault.azure.net/. Estas solicitudes suelen ser operaciones de datos en lugar de operaciones de administración.
  • Las asignaciones de roles deben usar roles integrados de Azure. Azure Lighthouse admite actualmente todos los roles integrados, excepto el rol de Propietario o cualquier rol integrado con permiso de DataActions. El rol administrador de acceso de usuario solo se admite para uso limitado en la asignación de roles a identidades administradas. No se admiten roles personalizados ni roles de administrador de suscripciones clásicas . Para más información, consulte Compatibilidad de roles con Azure Lighthouse.
  • Para los usuarios del inquilino administrado, Access Control (IAM) y las herramientas de la CLI, como az role assignment list no muestran las asignaciones de roles realizadas a través de Azure Lighthouse. Estas asignaciones solo son visibles en Azure Portal en la sección Delegaciones de Azure Lighthouse o a través de la API de Azure Lighthouse.
  • Aunque puede incorporar suscripciones que usan Azure Databricks, los usuarios del inquilino de administración no pueden iniciar áreas de trabajo de Azure Databricks en una suscripción delegada.
  • Aunque es posible incorporar suscripciones y grupos de recursos que tienen bloqueos de recursos, esos bloqueos no impiden que los usuarios en la entidad de administración ejecuten acciones. Las asignaciones de denegación que protegen los recursos administrados por el sistema (asignaciones de denegación asignadas por el sistema), como las creadas por aplicaciones administradas de Azure, impiden que los usuarios del inquilino de administración actúen en esos recursos. Sin embargo, los usuarios del inquilino del cliente no pueden crear sus propias asignaciones de denegación.
  • No se admite la delegación de suscripciones en una nube nacional y en la nube pública de Azure, o en dos nubes nacionales independientes.

Pasos siguientes

  • Last updated on