Compatibilidad entre inquilinos en Azure Virtual Network Manager
En este artículo puede obtener información sobre la compatibilidad entre inquilinos en Azure Virtual Network Manager. La compatibilidad entre inquilinos permite a las organizaciones usar una instancia central de Network Manager para administrar redes virtuales en diferentes inquilinos y suscripciones.
Importante
Azure Virtual Network Manager está disponible con carácter general para las configuraciones de conectividad de centro y radios, y para las configuraciones de seguridad con reglas de administración de seguridad. Las configuraciones de conectividad de malla permanecen en versión preliminar.
Esta versión preliminar se ofrece sin un Acuerdo de Nivel de Servicio y no se recomienda para cargas de trabajo de producción. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.
Información general sobre cross-tenant
La compatibilidad entre inquilinos en Azure Virtual Network Manager le permite agregar suscripciones o grupos de administración de otros inquilinos a su administrador de red. Para ello, se establece una conexión bidireccional entre el administrador de red y los inquilinos de destino. Una vez conectado, el administrador central puede implementar reglas de administración de seguridad o conectividad en redes virtuales en esas suscripciones o grupos de administración conectados. Esta compatibilidad ayudara a las organizaciones que se ajusten a los siguientes escenarios:
Adquisiciones: en instancias en las que las organizaciones se combinan a través de la adquisición y tienen varios inquilinos, la compatibilidad entre inquilinos permite a un administrador de red central administrar redes virtuales en los inquilinos.
Proveedor de servicios administrados: en escenarios de proveedor de servicios administrados, una organización puede administrar los recursos de otras organizaciones. La compatibilidad entre inquilinos permite la administración central de redes virtuales por parte de un proveedor de servicios central para varios clientes.
Compatibilidad con conexiones entre inquilinos
El establecimiento de la compatibilidad entre inquilinos comienza con la creación de una conexión entre inquilinos entre dos inquilinos. La compatibilidad entre inquilinos requiere consentimiento bidireccional: uno del administrador de red, el otro del centro de virtual Network Manager del inquilino de destino. Las conexiones se realizan de la siguiente manera:
- Conexión del administrador de red: se crea una conexión entre inquilinos desde el administrador de red. La conexión incluye el ámbito exacto de las suscripciones o grupos de administración del inquilino para administrar en el administrador de red.
- Conexión del centro de conectividad de Virtual Network Manager: el inquilino crea una conexión entre inquilinos desde su centro de virtual Network Manager. Esta conexión incluye el ámbito de las suscripciones o grupos de administración que administrará el administrador de red central.
Una vez que existen conexiones entre inquilinos y los ámbitos son exactamente los mismos, se establece una conexión verdadera. Los administradores pueden usar su administrador de red para agregar recursos entre inquilinos a sus grupos de red y administrar redes virtuales incluidas en el ámbito de conexión. Las reglas de administración de seguridad o conectividad existentes se aplican a los recursos en función de las configuraciones existentes.
Una conexión entre inquilinos solo se puede establecer y mantener cuando existen ambos objetos de cada entidad. Cuando se quita una de las conexiones, se interrumpe la conexión entre inquilinos. Si necesita eliminar una conexión entre inquilinos, haga lo siguiente:
- Quite la conexión entre inquilinos del lado del administrador de red a través de la configuración de Conexiones entre inquilinos en Azure Portal.
- Quite la conexión entre inquilinos del lado del inquilino a través de la configuración de Conexiones entre inquilinos del centro de Virtual Network Manager en Azure Portal.
Nota:
Una vez que se quita una conexión de cualquier lado, el administrador de red ya no podrá ver ni administrar los recursos del inquilino en el ámbito de esa conexión anterior.
Estados de conexión
Los recursos necesarios para crear la conexión entre inquilinos contienen un estado, que representa si el ámbito asociado se ha agregado al ámbito de Network Manager. Entre los valores de estado posibles, se incluyen los siguientes:
- Conectado: existen tanto los recursos de conexión del ámbito como de conexión de Network Manager. El ámbito se ha agregado al ámbito del Network Manager.
- Pendiente: no se ha creado uno de los dos recursos de aprobación. El ámbito aún no se ha agregado al ámbito de Network Manager.
- Conflicto: ya hay un administrador de red con esta suscripción o grupo de administración definido dentro de su ámbito. Dos administradores de red con el mismo acceso de ámbito no pueden administrar directamente el mismo ámbito, por lo que no se puede agregar este grupo de administración o suscripción al ámbito de Network Manager. Para resolver el conflicto, quite el ámbito del ámbito del administrador de red en conflicto y vuelva a crear el recurso de conexión.
- Revocado: el ámbito se agregó a la vez al ámbito de Network Manager, pero la eliminación de un recurso de aprobación ha provocado que se revoque.
El único estado que representa que el ámbito se ha agregado al ámbito de Network Manager es "Conectado".
Permisos necesarios
Para usar la conexión entre inquilinos en Azure Virtual Network Manager, los usuarios necesitan los permisos siguientes:
El administrador del inquilino de administración central tiene una cuenta de invitado en el inquilino administrado de destino.
La cuenta de invitado de administrador tiene permisos de colaborador de red aplicados en el nivel de ámbito adecuado (grupo de administración, suscripción o red virtual).
¿Necesita ayuda para configurar permisos? Consulte cómo agregar usuarios invitados en el Azure Portal y cómo asignar roles de usuario a los recursos de Azure Portal
Limitaciones conocidas
Actualmente, las redes virtuales entre inquilinos solo se pueden agregar manualmente a los grupos de red. Agregar redes virtuales entre inquilinos a grupos de red dinámicamente a través de Azure Policy es una funcionalidad futura.