Requisitos de diseño de red móvil privada

  • Artículo

Este artículo le ayuda a diseñar y preparar la implementación de una red 4G privada o 5G basada en Azure Private 5G Core (AP5GC). Tiene como objetivo comprender cómo se construyen estas redes y las decisiones que debe tomar a medida que planee la red.

MEC privado de Azure y Azure Private 5G Core

El proceso perimetral privado de acceso múltiple (MEC) de Azure es una solución que combina los servicios de proceso, redes y aplicaciones de Microsoft en una implementación en el entorno local de la empresa (el perímetro). Estas implementaciones perimetrales se administran de forma centralizada desde la nube. Azure Private 5G Core es un servicio de Azure dentro de Azure Private Multi-access Edge Compute (MEC) que proporciona funciones de red 4G y 5G core en el perímetro empresarial. En el sitio perimetral empresarial, los dispositivos se asocian a través de una red de acceso de radio (RAN) de telefonía móvil y se conectan a través del servicio Azure Private 5G Core a redes, aplicaciones y recursos ascendentes. Opcionalmente, los dispositivos pueden usar la funcionalidad de proceso local proporcionada por el MEC privado de Azure para procesar flujos de datos con una latencia muy baja, todo ello bajo el control de la empresa.

Diagram displaying the components of a private network solution. UEs, RANs and sites are at the edge, while Azure region management is in the cloud.

Requisitos de una red móvil privada

Las siguientes funcionalidades deben estar presentes para permitir que los equipos de usuario (UE) se asocien a una red de telefonía móvil privada:

  • El UE debe ser compatible con el protocolo y la banda de espectro inalámbrico usada por la red de acceso de radio (RAN).
  • El UE debe contener un módulo de identidad de suscriptor (SIM). La SIM es un elemento criptográfico que almacena la identidad del dispositivo.
  • Debe haber una RAN, que envía y recibe la señal de telefonía móvil, a todas las partes del sitio empresarial que contienen equipos de usuario que necesitan servicio.
  • Debe haber una instancia de núcleo de paquete conectada al RAN y a una red ascendente. El núcleo de paquetes es responsable de autenticar los SIM del UE cuando se conectan a través de la RAN y solicitan servicio de la red. Aplica la directiva a los flujos de datos resultantes hacia y desde las UE; por ejemplo, para establecer una calidad de servicio.
  • La infraestructura de RAN, núcleo de paquetes y red ascendente debe estar conectada a través de Ethernet para que se puedan pasar el tráfico IP unos a otros.
  • El sitio que hospeda el núcleo de paquetes debe tener una conexión continua y de alta velocidad a Internet (mínimo de 100 Mbps) para permitir la administración de servicios, telemetría, diagnósticos y actualizaciones.

Diseño de una red móvil privada

En las secciones siguientes se describen los elementos de la red que debe tener en cuenta y las decisiones de diseño que debe tomar para preparar la implementación de la red.

Topología

Diseñar e implementar la red local es una parte fundamental de la implementación de AP5GC. Debe tomar decisiones de diseño de red para admitir el núcleo de paquetes AP5GC y cualquier otra carga de trabajo perimetral. En esta sección se describen algunas decisiones que debe tener en cuenta al diseñar la red y se proporcionan algunas topologías de red de ejemplo. En el diagrama siguiente se muestra una topología de red básica.

Diagram of a basic network topology.

Consideraciones de diseño

Cuando se implementa en Azure Stack Edge Pro GPU (ASE), AP5GC usa el puerto físico 5 para la señalización de acceso y los datos (5G N2 y N3 puntos de referencia/4G S1 y puntos de referencia S1-U) y el puerto 6 para los datos principales (puntos de referencia 5G N6/4G SGi). Si se configuran más de seis redes de datos, también se usa el puerto 5 para los datos principales.

AP5GC admite implementaciones con o sin enrutadores de capa 3 en los puertos 5 y 6. Esto es útil para evitar hardware adicional en sitios perimetrales más pequeños.

  • Es posible conectar el puerto 5 de ASE a los nodos RAN directamente (back-to-back) o a través de un conmutador de capa 2. Al usar esta topología, debe configurar la dirección eNodeB/gNodeB como puerta de enlace predeterminada en la interfaz de red de ASE.
  • Del mismo modo, es posible conectar el puerto 6 de ASE a la red principal a través de un conmutador de nivel 2. Al usar esta topología, debe configurar una aplicación o una dirección arbitraria en la subred como puerta de enlace en el lado de ASE.
  • Como alternativa, puede combinar estos enfoques. Por ejemplo, podría usar un enrutador en el puerto 6 de ASE con una red de capa plana 2 en el puerto 5 de ASE. Si un enrutador de nivel 3 está presente en la red local, debe configurarlo para que coincida con la configuración del ASE.

Cuando se implementa en Azure Stack Edge 2 (ASE 2), AP5GC usa el puerto físico 3 para la señalización de acceso y los datos (5G N2 y N3 puntos de referencia/4G S1 y puntos de referencia S1-U) y el puerto 4 para los datos principales (puntos de referencia de 5G N6/4G SGi). Si se configuran más de seis redes de datos, también se usa el puerto 3 para los datos principales.

AP5GC admite implementaciones con o sin enrutadores de capa 3 en los puertos 3 y 4. Esto es útil para evitar hardware adicional en sitios perimetrales más pequeños.

  • Es posible conectar el puerto 3 de ASE a los nodos RAN directamente (back-to-back) o a través de un conmutador de capa 2. Al usar esta topología, debe configurar la dirección eNodeB/gNodeB como puerta de enlace predeterminada en la interfaz de red de ASE.
  • Del mismo modo, es posible conectar el puerto 4 de ASE a la red principal a través de un conmutador de nivel 2. Al usar esta topología, debe configurar una aplicación o una dirección arbitraria en la subred como puerta de enlace en el lado de ASE.
  • Como alternativa, puede combinar estos enfoques. Por ejemplo, podría usar un enrutador en el puerto 4 de ASE con una red de capa plana 2 en el puerto 3 de ASE. Si un enrutador de nivel 3 está presente en la red local, debe configurarlo para que coincida con la configuración del ASE.

A menos que el núcleo de paquetes tenga habilitada la traducción de direcciones de red (NAT), un dispositivo de red de nivel 3 local debe configurarse con rutas estáticas a los grupos de direcciones IP de ue a través de la dirección IP N6 adecuada para la red de datos adjunta correspondiente.

Topologías de red de ejemplo

Hay varias maneras de configurar la red para su uso con AP5GC. La configuración exacta varía en función de sus necesidades y hardware. En esta sección se proporcionan algunas topologías de red de ejemplo en hardware de GPU de ASE Pro.

  • Red de nivel 3 con traducción de direcciones de red N6 (NAT)
    Esta topología de red tiene el ASE conectado a un dispositivo de nivel 2 que proporciona conectividad con el núcleo de red móvil y las puertas de enlace de acceso (enrutadores que conectan el ASE a los datos y a las redes de acceso, respectivamente). Esta topología admite hasta seis redes de datos. Esta solución se usa normalmente porque simplifica el enrutamiento de nivel 3.
    Diagram of a layer 3 network with N6 Network Address Translation (N A T).

  • Red de nivel 3 sin traducción de direcciones de red (NAT)
    Esta topología de red es una solución similar, pero los intervalos de direcciones IP de UE deben configurarse como rutas estáticas en el enrutador de red de datos con la dirección IP NAT N6 como la dirección del próximo salto. Al igual que con la solución anterior, esta topología admite hasta seis redes de datos. Diagram of a layer 3 network without Network Address Translation (N A T).

  • Red de capa plana 2
    El núcleo del paquete no requiere enrutadores de capa 3 ni ninguna funcionalidad similar al enrutador. Una topología alternativa podría forgo el uso de enrutadores de puerta de enlace de nivel 3 por completo y, en su lugar, construir una red de nivel 2 en la que el ASE se encuentra en la misma subred que los datos y las redes de acceso. Esta topología de red puede ser una alternativa más económica cuando no se requiere enrutamiento de nivel 3. Esto requiere que la traducción de puertos de dirección de red (NAPT) esté habilitada en el núcleo del paquete.
    Diagram of a layer 2 network.

  • Red de capa 3 con varias redes de datos

    • AP5GC puede admitir hasta diez redes de datos conectadas, cada una con su propia configuración para el sistema de nombres de dominio (DNS), los grupos de direcciones IP de UE, la configuración de IP N6 y NAT. El operador puede aprovisionar UE como suscritos en una o varias redes de datos y aplicar la directiva específica de la red de datos y la configuración de calidad de servicio (QoS).
    • Esta topología requiere que la interfaz N6 se divida en una subred para cada red de datos o una subred para todas las redes de datos. Por lo tanto, esta opción requiere una planeación y configuración cuidadosas para evitar la superposición de intervalos IP de red de datos o intervalos IP de UE.
      Diagram of layer 3 network topology with multiple data networks.

  • Red de nivel 3 con VLAN y acceso físico/separación de núcleos

    • También puede separar el tráfico de ASE en VLAN, tanto si decide agregar puertas de enlace de nivel 3 a la red como si no. Hay varias ventajas para segmentar el tráfico en VLAN independientes, incluida la administración de red más flexible y una mayor seguridad.
    • Por ejemplo, puede configurar VLAN independientes para la administración, el acceso y el tráfico de datos, o una VLAN independiente para cada red de datos conectada.
    • Las VLAN deben configurarse en el equipo de red de nivel 2 o nivel 3 local. Varias VLAN se transportarán en un único vínculo desde el puerto ASE 5 (red de acceso) o 6 (red principal), por lo que debe configurar cada uno de esos vínculos como un tronco VLAN. Diagram of layer 3 network topology with V L A N s.

  • Red de nivel 3 con redes de datos de 7 a 10

    • Si desea implementar más de seis redes de datos separadas por VLAN, las redes de datos adicionales (hasta cuatro) deben implementarse en el puerto 5 de ASE. Esto requiere un conmutador compartido o enrutador que lleve tanto el acceso como el tráfico principal. Las etiquetas VLAN se pueden asignar según sea necesario a N2, N3 y cada una de las redes de datos N6.
    • No se pueden configurar más de seis redes de datos en el mismo puerto.
    • Para obtener un rendimiento óptimo, las redes de datos con la carga esperada más alta deben configurarse en el puerto 6. Diagram of layer 3 network topology with 10 data networks.

Hay varias maneras de configurar la red para su uso con AP5GC. La configuración exacta varía en función de sus necesidades y hardware. En esta sección se proporcionan algunas topologías de red de ejemplo en hardware de ASE Pro 2.

  • Red de nivel 3 con traducción de direcciones de red N6 (NAT)
    Esta topología de red tiene el ASE conectado a un dispositivo de nivel 2 que proporciona conectividad con el núcleo de red móvil y las puertas de enlace de acceso (enrutadores que conectan el ASE a los datos y a las redes de acceso, respectivamente). Esta topología admite hasta seis redes de datos. Esta solución se usa normalmente porque simplifica el enrutamiento de nivel 3.
    Diagram of a layer 3 network with N6 Network Address Translation (N A T).

  • Red de nivel 3 sin traducción de direcciones de red (NAT)
    Esta topología de red es una solución similar, pero los intervalos de direcciones IP de UE deben configurarse como rutas estáticas en el enrutador de red de datos con la dirección IP NAT N6 como la dirección del próximo salto. Al igual que con la solución anterior, esta topología admite hasta seis redes de datos. Diagram of a layer 3 network without Network Address Translation (N A T).

  • Red de capa plana 2
    El núcleo del paquete no requiere enrutadores de capa 3 ni ninguna funcionalidad similar al enrutador. Una topología alternativa podría forgo el uso de enrutadores de puerta de enlace de nivel 3 por completo y, en su lugar, construir una red de nivel 2 en la que el ASE se encuentra en la misma subred que los datos y las redes de acceso. Esta topología de red puede ser una alternativa más económica cuando no se requiere enrutamiento de nivel 3. Esto requiere que la traducción de puertos de dirección de red (NAPT) esté habilitada en el núcleo del paquete.
    Diagram of a layer 2 network.

  • Red de capa 3 con varias redes de datos

    • AP5GC puede admitir hasta diez redes de datos conectadas, cada una con su propia configuración para el sistema de nombres de dominio (DNS), los grupos de direcciones IP de UE, la configuración de IP N6 y NAT. El operador puede aprovisionar UE como suscritos en una o varias redes de datos y aplicar la directiva específica de la red de datos y la configuración de calidad de servicio (QoS).
    • Esta topología requiere que la interfaz N6 se divida en una subred para cada red de datos o una subred para todas las redes de datos. Por lo tanto, esta opción requiere una planeación y configuración cuidadosas para evitar la superposición de intervalos IP de red de datos o intervalos IP de UE.

    Diagram of layer 3 network topology with multiple data networks.

  • Red de nivel 3 con VLAN y acceso físico/separación de núcleos

    • También puede separar el tráfico de ASE en VLAN, tanto si decide agregar puertas de enlace de nivel 3 a la red como si no. Hay varias ventajas para segmentar el tráfico en VLAN independientes, incluida la administración de red más flexible y una mayor seguridad.
    • Por ejemplo, puede configurar VLAN independientes para la administración, el acceso y el tráfico de datos, o una VLAN independiente para cada red de datos conectada.
    • Las VLAN deben configurarse en el equipo de red de nivel 2 o nivel 3 local. Varias VLAN se transportarán en un único vínculo desde el puerto 3 de ASE (red de acceso) o 4 (red principal), por lo que debe configurar cada uno de esos vínculos como un tronco VLAN.

    Diagram of layer 3 network topology with V L A N s.

  • Red de nivel 3 con redes de datos de 7 a 10

    • Si desea implementar más de seis redes de datos separadas por VLAN, las redes de datos adicionales (hasta cuatro) deben implementarse en el puerto 3 de ASE. Esto requiere un conmutador compartido o enrutador que lleve tanto el acceso como el tráfico principal. Las etiquetas VLAN se pueden asignar según sea necesario a N2, N3 y cada una de las redes de datos N6.
    • No se pueden configurar más de seis redes de datos en el mismo puerto.
    • Para obtener un rendimiento óptimo, las redes de datos con la carga esperada más alta deben configurarse en el puerto 4.

    Diagram of layer 3 network topology with 10 data networks.

Subredes y direcciones IP

Es posible que tenga redes IP existentes en el sitio empresarial con las que tendrá que integrarse la red de telefonía móvil privada. Esto podría significar, por ejemplo:

  • Seleccionar subredes IP y direcciones IP para AP5GC que coincidan con las subredes existentes sin que entren en conflicto las direcciones.
  • Separar la nueva red a través de enrutadores IP o usar el espacio de direcciones RFC 1918 privado para subredes.
  • Asignar un grupo de direcciones IP específicamente para su uso por las UE cuando se conectan a la red.
  • Mediante la traducción de puertos de dirección de red (NAPT), ya sea en el propio núcleo del paquete o en un dispositivo de red ascendente, como un enrutador de borde.
  • Optimizar el rendimiento de la red mediante la selección de una unidad de transmisión máxima (MTU) que minimice la fragmentación.

Debe documentar las subredes IPv4 que se usarán para la implementación y aceptar las direcciones IP que se usarán para cada elemento de la solución y en las direcciones IP que se asignarán a las UE cuando se adjunte. Debe implementar (o configurar los enrutadores y firewalls existentes) en el sitio empresarial para permitir el tráfico. También debe acordar cómo y dónde se requieren los cambios de NAPT o MTU en la red y planear la configuración de enrutador o firewall asociada. Para más información, consulte Finalización de las tareas previas necesarias para implementar una red móvil privada.

Acceso de red

El diseño debe reflejar las reglas de la empresa sobre qué redes y recursos deben ser accesibles por la RAN y los equipos de usuario en la red 5G privada. Por ejemplo, se les podría permitir acceder al sistema de nombres de dominio (DNS) local, al protocolo de configuración dinámica de host (DHCP), a Internet o a Azure, pero no a una red de área local (LAN) de operaciones de fábrica. Es posible que tenga que organizar el acceso remoto a la red para que pueda solucionar problemas sin necesidad de una visita al sitio. También debe tener en cuenta cómo se conectará el sitio empresarial a redes ascendentes, como Azure para la administración o para el acceso a otros recursos y aplicaciones fuera del sitio empresarial.

Debe estar de acuerdo con el equipo empresarial con el que se permitirán comunicarse entre sí las subredes IP y las direcciones. A continuación, cree una configuración de plan de enrutamiento o lista de control de acceso (ACL) que implemente este contrato en la infraestructura IP local. También puede usar redes de área local virtual (VLAN) para particionar elementos en la capa 2, configurando el tejido del conmutador para asignar puertos conectados a VLAN específicos (por ejemplo, para colocar el puerto perimetral de Azure Stack usado para el acceso RAN a la misma VLAN que las unidades RAN conectadas al conmutador Ethernet). También debe estar de acuerdo con la empresa para configurar un mecanismo de acceso, como una red privada virtual (VPN) que permita al personal de soporte técnico conectarse de forma remota a la interfaz de administración de cada elemento de la solución. También necesita un vínculo IP entre Azure Private 5G Core y Azure para la administración y la telemetría.

Cumplimiento de RAN

El RAN que use para difundir la señal en todo el sitio empresarial debe cumplir con las regulaciones locales. Por ejemplo, esto podría significar:

  • Las unidades RAN han completado el proceso de homologación y han recibido la aprobación normativa para su uso en una banda de frecuencia determinada en un país o región.
  • Ha recibido permiso para que la RAN retransmita utilizando el espectro de una determinada ubicación, por ejemplo, por la concesión de un operador de telecomunicaciones, una autoridad reguladora o a través de una solución tecnológica, como un sistema de acceso de espectro (SAS).
  • Las unidades RAN de un sitio tienen acceso a orígenes de tiempo de alta precisión, como el protocolo de tiempo de precisión (PTP) y los servicios de ubicación GPS.

Debe pedir a su asociado RAN los países o regiones y las bandas de frecuencia para los que se aprueba la RAN. Es posible que tenga que usar varios asociados RAN para cubrir los países y regiones en los que proporcione la solución. Aunque los núcleos ran, UE y packet se comunican mediante protocolos estándar, se recomienda realizar pruebas de interoperabilidad para el protocolo 4G de evolución a largo plazo (LTE) o 5G independiente (SA) de Azure entre azure Private 5G Core, UEs y RAN antes de cualquier implementación en un cliente empresarial.

Su RAN transmitirá una identidad de red móvil pública terrestre (identificador de PLMN) a todos los equipos de usuario en la banda de frecuencia que esté configurada para su uso. Debe definir el identificador de PLMN y confirmar su acceso al espectro. En algunos países o regiones, el espectro debe obtenerse del regulador nacional o regional o del operador de telecomunicaciones titular. Por ejemplo, si usa el espectro de la banda 48 Citizens Broadband Radio Service (CBRS), es posible que tenga que trabajar con su asociado RAN para implementar un proxy de dominio del Sistema de acceso de espectro (SAS) en el sitio empresarial para que el RAN pueda comprobar continuamente que está autorizado para difundir.

Unidades de transmisión máxima (MTU)

La unidad de transmisión máxima (MTU) es una propiedad de un vínculo IP y se configura en las interfaces en cada extremo del vínculo. Los paquetes que superan la MTU configurada de una interfaz se dividen en paquetes más pequeños gracias a la fragmentación de IPv4 antes del envío y, luego, se vuelven a ensamblar en su destino. Sin embargo, si la MTU configurada de una interfaz es superior a la MTU admitida del vínculo, el paquete no se transmitirá correctamente.

Para evitar problemas de transmisión causados por la fragmentación de IPv4, un núcleo de paquetes 4G o 5G indica a los UE qué MTU deben usar. Sin embargo, las UE no siempre respetan la MTU señalada por el núcleo del paquete.

Los paquetes IP de las UE se tunelizan a través de la RAN, lo que agrega sobrecarga de la encapsulación. Por lo tanto, el valor de MTU para la UE debe ser menor que el valor de MTU utilizado entre el ran y el núcleo del paquete para evitar problemas de transmisión.

Normalmente, las RAN vienen preconfiguradas con una MTU de 1500. El MTU de UE predeterminado del núcleo del paquete es de 1440 bytes para permitir la sobrecarga de encapsulación. Estos valores maximizan la interoperabilidad de RAN, pero corre el riesgo de que ciertos UE no observen la MTU predeterminada y generarán paquetes más grandes que requieren fragmentación IPv4 y que la red podría quitar. Si se ve afectado por este problema, se recomienda encarecidamente configurar ran para que use una MTU de 1560 o superior, lo que permite una sobrecarga suficiente para la encapsulación y evita la fragmentación con una UE mediante un MTU estándar de 1500.

También puede cambiar la MTU de UE señalizado por el núcleo del paquete. Se recomienda establecer el MTU en un valor dentro del intervalo admitido por los UE y 60 bytes por debajo de la MTU señalizado por la RAN. Observe lo siguiente:

  • La red de datos (N6) se actualiza automáticamente para que coincida con la MTU de UE.
  • La red de acceso (N3) se actualiza automáticamente para que coincida con el MTU de UE más 60.
  • Puede configurar un valor entre 1280 y 1930 bytes.

Para cambiar la MTU de UE señalizado por el núcleo del paquete, consulte Modificación de una instancia de núcleo de paquete.

Cobertura de señal

Los equipos de usuario deben poderse comunicar con la RAN desde cualquier ubicación del sitio. Esto significa que las señales deben propagarse eficazmente en el entorno, teniendo en cuenta los obstáculos y los equipos, para que los equipos de usuario puedan moverse por el sitio (por ejemplo, entre zonas interiores y exteriores).

Para asegurarse de que la cobertura es la adecuada, debe realizar un estudio del sitio con su asociado de RAN y la empresa. Asegúrese de comprender las funcionalidades de las unidades RAN en distintos entornos, así como los límites (por ejemplo, en el número de equipos de usuario conectados que puede admitir una sola unidad). Si los equipos de usuario van a moverse por el sitio, también debe confirmar que la RAN admita la entrega X2 (4G) o Xn (5G), que permite que el equipo de usuario realice la transición fácilmente entre la cobertura proporcionada por dos unidades RAN. Si ran no admite X2 (4G) o Xn (5G), RAN debe admitir S1 (4G) y N2 (5G) para la movilidad de UE. Tenga en cuenta que los equipos de usuario no pueden usar estas técnicas de entrega para desplazarse entre una red empresarial privada y la red de telefonía móvil pública ofrecida por un operador de telecomunicaciones.

SIMs

Cada equipo de usuario debe presentar una identidad a la red, codificada en un módulo de identidad de suscriptor (SIM). Los SIM están disponibles en diferentes factores de forma física y en formato de solo software (eSIM). Los datos codificados en la SIM deben coincidir con la configuración de RAN y de los datos de identidad aprovisionados en Azure Private 5G Core.

Obtenga los SIM en factores compatibles con los equipos de usuario y que estén programados con el identificador y las claves de PLMN que quiera usar para la implementación. Los SIM físicos están ampliamente disponibles en el mercado abierto a un costo relativamente bajo. Si prefiere usar eSIMs, debe implementar la configuración y la infraestructura de aprovisionamiento de eSIM necesarias para que las UE puedan configurarse antes de que se conecten a la red de telefonía móvil. Puede usar los datos de aprovisionamiento que recibe del asociado de SIM para aprovisionar las entradas coincidentes en Azure Private 5G Core. Dado que los datos SIM deben mantenerse seguros, las claves criptográficas que se usan para aprovisionar SIM no se pueden leer una vez establecidas, por lo que debe tener en cuenta cómo almacenarlos en caso de que tenga que volver a aprovisionar los datos en Azure Private 5G Core.

Automatización e integración

La creación de redes empresariales mediante automatización y otras técnicas de programación ahorra tiempo, reduce los errores y genera mejores resultados. Estas técnicas también proporcionan una ruta de acceso de recuperación en caso de error de sitio que requiera volver a generar la red.

Se recomienda adoptar una infraestructura mediante programación como enfoque de código para las implementaciones. Puede usar plantillas o la API REST de Azure para compilar la implementación usando parámetros como entradas con valores recopilados durante la fase de diseño del proyecto. Debe guardar la información de aprovisionamiento, como los datos de SIM, la configuración del conmutador o el enrutador y las directivas de red en formato legible por máquina para que, en caso de error, pueda volver a aplicar la configuración como lo hizo originalmente. Otro procedimiento recomendado para recuperarse de un error es implementar un servidor de Azure Stack Edge de reserva para minimizar el tiempo de recuperación si se produce un error en la primera unidad; A continuación, puede usar las plantillas y las entradas guardadas para volver a crear rápidamente la implementación. Para más información sobre cómo implementar una red mediante plantillas, consulte Inicio rápido: Implementación de una red móvil privada y un sitio: plantilla de ARM.

También debe tener en cuenta cómo integrar otros productos y servicios de Azure con la red empresarial privada. Estos productos incluyen El identificador de Entra de Microsoft y el control de acceso basado en rol (RBAC), donde debe tener en cuenta cómo los inquilinos, las suscripciones y los permisos de recursos se alinearán con el modelo de negocio que existe entre usted y la empresa, y como su propio enfoque para la administración del sistema del cliente. Por ejemplo, puede usar Azure Blueprints para configurar el modelo de suscripciones y grupo de recursos que mejor funcione para su organización.

Pasos siguientes