Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
En tant que fournisseur de services, utilisez Azure Lighthouse pour gérer les ressources Azure de vos clients à partir de votre propre locataire Microsoft Entra. Vous pouvez effectuer de nombreuses tâches et services courants sur ces locataires gérés.
Conseil
Vous pouvez également utiliser Azure Lighthouse au sein d’une entreprise disposant de plusieurs locataires Microsoft Entra pour simplifier l’administration interlocataire.
Comprendre les locataires et la délégation
Un locataire Microsoft Entra représente une organisation. Il s’agit d’une instance dédiée de Microsoft Entra ID qu’une organisation reçoit lorsqu’elle crée une relation avec Microsoft en s’inscrivant à Azure, Microsoft 365 ou à d’autres services. Chaque locataire Microsoft Entra est distinct et séparé des autres locataires Microsoft Entra, et a son propre ID de locataire (GUID). Pour plus d’informations, consultez Qu’est-ce que Microsoft Entra ?
En règle générale, les fournisseurs de services doivent se connecter au portail Azure à l’aide d’un compte associé au locataire du client lorsqu’ils gèrent les ressources Azure pour un client. Dans ce scénario, un administrateur du locataire du client doit créer et gérer des comptes d’utilisateur pour le fournisseur de services.
À l’aide d’Azure Lighthouse, le processus d’intégration spécifie les utilisateurs du locataire du fournisseur de services auxquels des rôles sont assignés pour les abonnements délégués et les groupes de ressources dans le locataire du client. Ces utilisateurs peuvent ensuite se connecter au portail Azure à l’aide de leurs propres informations d’identification et travailler sur des ressources appartenant à tous les clients auxquels ils ont accès. Les utilisateurs du locataire de gestion peuvent voir tous ces clients en consultant la page Mes clients dans le portail Azure. Ils peuvent également travailler sur des ressources directement dans le contexte de l’abonnement de ce client, soit dans le portail Azure, soit via des API.
Azure Lighthouse offre plus de flexibilité pour gérer les ressources de plusieurs clients sans avoir à se connecter à différents comptes associés à différents locataires. Par exemple, un fournisseur de services peut avoir deux clients ayant des responsabilités et des niveaux d’accès différents. En utilisant Azure Lighthouse, les utilisateurs autorisés se connectent au locataire du fournisseur de services et accèdent à toutes les ressources déléguées de ces clients, en fonction des rôles qu’ils ont attribués pour chaque délégation.
Prise en charge des API et de l’outil de gestion
Vous pouvez effectuer des tâches de gestion sur les ressources déléguées directement sur le portail Azure ou à l’aide d’API et d’outils de gestion tels que Azure CLI et Azure PowerShell. Vous pouvez utiliser toutes les API existantes sur les ressources déléguées, tant que la fonctionnalité prend en charge la gestion interlocataire et que vous disposez des autorisations appropriées.
L’applet de commande Azure PowerShell Get-AzSubscription affiche le TenantId pour le locataire gérant par défaut. Les attributs HomeTenantId et ManagedByTenantIds de chaque abonnement vous aident à savoir si un abonnement retourné appartient à un locataire géré ou à votre locataire gestionnaire.
De même, des commandes Azure CLI comme az account list affichent les attributs homeTenantId et managedByTenants. Si vous ne voyez pas ces valeurs lors de l’utilisation d'Azure CLI, essayez d’effacer votre cache en exécutant az account clear, puis az login --identity.
Dans l’API REST Azure, les commandes Abonnements – Get et Abonnements – List incluent ManagedByTenant.
Notes
Outre les informations de locataire relatives à Azure Lighthouse, ces API peuvent également afficher des locataires partenaires pour Azure Databricks ou des applications managées Azure.
Vous pouvez utiliser des API pour effectuer des tâches spécifiques liées à l’intégration et à la gestion d’Azure Lighthouse. Pour plus d’informations, voir la section Référence.
Services et scénarios améliorés
La plupart des tâches et services Azure fonctionnent avec des ressources déléguées au sein des locataires gérés, tant que le processus d’intégration a accordé des rôles appropriés. Les scénarios suivants montrent certains scénarios clés où la gestion interlocataire peut être particulièrement efficace.
- Gérez des serveurs hybrides à grande échelle avec des serveurs avec Azure Arc :
- Intégrer des serveurs à des abonnements clients délégués et des groupes de ressources dans Azure
- Gérer des machines Windows Server ou Linux en dehors d’Azure qui sont connectées à des abonnements délégués
- Gérer les machines connectées à l’aide de constructions Azure, telles qu’Azure Policy et le balisage
- S’assurer que le même ensemble de stratégies est appliqué dans les environnements hybrides des clients
- Utiliser Microsoft Defender pour le cloud pour surveiller la conformité entre les environnements hybrides des clients
- Gérez des clusters Kubernetes hybrides à grande échelle avec Kubernetes avec Azure Arc :
- Connecter des clusters Kubernetes à des abonnements et groupes de ressources délégués
- Utiliser GitOps pour déployer des configurations sur des clusters connectés
- Effectuer des tâches de gestion comme l’application de stratégies sur des clusters connectés
- Utiliser des comptes Automation pour accéder à des ressources du déléguées et les utiliser
- Sauvegardez et restaurez les données client à l’aide de Sauvegarde Azure. Actuellement, les charges de travail Azure suivantes sont prises en charge : Machines virtuelles Azure (Azure VM), Azure Files, SQL Server sur Azure VM, SAP HANA sur Azure VM. Les charges de travail qui utilisent des coffres de sauvegarde (comme Azure Database pour PostgreSQL, Azure Blob, Azure Managed Disk et Azure Kubernetes Services) ne sont actuellement pas entièrement prises en charge.
- Afficher les données de toutes les ressources client déléguées dans le Centre de sauvegarde
- Utilisez l’Explorateur de sauvegarde pour afficher les informations opérationnelles des éléments de sauvegarde (y compris les ressources Azure non encore configurées pour la sauvegarde) et les informations de surveillance pour les abonnements délégués. L’Explorateur de sauvegarde est actuellement disponible uniquement pour les données de machine virtuelle Azure.
- Utilisez Rapports de sauvegarde dans les abonnements délégués pour suivre les tendances historiques, analyser la consommation du stockage de sauvegarde et auditer les sauvegardes et les restaurations.
Azure Cost Management + Facturation :
- À partir du locataire de gestion, les fournisseurs de solutions Cloud partenaires peuvent visualiser, gérer et analyser les coûts de consommation hors taxes (hors achats) pour les clients qui relèvent du plan Azure. Le coût est fonction des tarifs de vente au détail et l’accès Azure RBAC (contrôle d’accès en fonction du rôle Azure) dont dispose le partenaire pour l’abonnement du client. Actuellement, vous pouvez visualiser les coûts de consommation au prix de détail pour chaque abonnement client individuel en fonction de l’accès Azure RBAC.
- Créer des coffres de clés dans les locataires clients
- Utiliser une identité managée pour créer des coffres de clés dans les locataires clients
Azure Kubernetes Service (AKS) :
- Gérer des environnements Kubernetes hébergés, ainsi que déployer et gérer des applications en conteneur au sein des locataires du client
- Déployer et gérer des clusters dans les locataires client
- Surveiller les performances du cluster sur l'ensemble des clients
- Créer des projets de migration dans le locataire client et migrer des machines virtuelles
- Afficher les alertes pour les abonnements délégués, avec la possibilité d’afficher et d’actualiser des alertes à travers tous les abonnements
- Afficher les détails du journal d’activité pour des abonnements délégués
- Log Analytics : Interroger des données à partir d’espaces de travail distants dans plusieurs locataires (notez que les comptes Automation utilisés pour accéder aux données à partir d’espaces de travail de locataires clients doivent être créés dans le même locataire)
- Créer, afficher et gérer des alertes dans des locataires clients
- Créer des alertes dans les locataires du client qui déclenchent une automatisation, par exemple des runbooks Azure Automation ou des fonctions Azure Functions, dans le locataire gérant par le biais de webhooks
- Créer des paramètres de diagnostic dans les espaces de travail créés dans les locataires clients, afin d’envoyer les journaux de ressources aux espaces de travail du locataire gérant
- Pour l’ID externe Microsoft Entra, routez les journaux de connexion et d’audit vers différentes solutions de supervision
- Pour les charges de travail SAP, surveiller les métriques des solutions SAP avec une vue agrégée sur les locataires clients
- Déployer et gérer des Réseaux virtuels Azure et des cartes virtuelles d’interface réseau (cartes réseau virtuelles) au sein des locataires gérés
- Déployer et configurer Pare-feu Azure pour protéger les ressources Réseau virtuel des clients
- Gérer les services de connectivité tels qu’Azure Virtual WAN, Azure ExpressRoute et passerelle VPN Azure
- Utiliser Azure Lighthouse pour prendre en charge des scénarios clés pour le programme MSP Azure Networking
- Créer et modifier des définitions de stratégie au sein d’abonnements délégués
- Déployer des définitions et des affectations de stratégies sur plusieurs locataires
- Affecter des définitions de stratégie définies par le client au sein d’abonnements délégués
- Les clients voient les stratégies créées par le fournisseur de services en même temps que les stratégies qu’ils créent elles-mêmes
- Peut corriger deployIfNotExists ou modifier des affectations au sein du locataire géré
- Veuillez noter que l'affichage des détails de conformité pour les ressources non conformes chez les clients n'est pas actuellement pris en charge.
- Afficher l’ID de locataire dans les résultats de requête retournés, ce qui vous permet d’identifier si un abonnement appartient à un locataire géré
- Surveiller l’intégrité des ressources du client avec Azure Resource Health
- Suivre l’intégrité des services Azure utilisés par les clients
- Gérer les options de récupération d’urgence pour les machines virtuelles Azure dans les locataires du client (notez que vous ne pouvez pas utiliser de comptes
RunAspour copier des extensions de machines virtuelles)
- Utiliser des extensions de machine virtuelle pour accomplir des tâches d’automatisation et de configuration après déploiement sur des machines virtuelles Azure
- Utiliser des diagnostics de démarrage pour résoudre des problèmes de machines virtuelles Azure
- Accéder à des machines virtuelles avec la console série
- Intégrez des machines virtuelles à Azure Key Vault pour les mots de passe, secrets ou clés de chiffrement pour le chiffrement de disque en utilisant une identité managée via la politique, garantissant que les secrets sont stockés dans un Azure Key Vault dans le locataire géré.
- Notez que vous ne pouvez pas utiliser l’ID Microsoft Entra pour l’authentification à distance sur les machines virtuelles
Microsoft Defender pour le cloud :
- Visibilité inter-locataire
- Superviser la conformité avec des stratégies de sécurité et garantir la couverture de sécurité des ressources de tous les locataires
- Surveillance continue de la conformité réglementaire de plusieurs locataires dans une seule vue
- Surveiller, trier et hiérarchiser les recommandations de sécurité actionnables avec un calcul du degré de sécurisation
- Gestion d’état de la sécurité inter-locataire
- Gérer les stratégies de sécurité
- Agir sur des ressources non conformes à l’aide de recommandations de sécurité actionnables
- Collecter et stocker des données liées à la sécurité
- Détection et traitement des menaces inter-locataires
- Détecter des menaces pesant sur des ressources inter-locataires
- Appliquer des contrôles de protection avancée contre les menaces tels que l’accès à la machine virtuelle juste-à-temps (JIT)
- Renforcer la configuration du groupe de sécurité réseau avec le renforcement du réseau adaptatif
- S’assurer que les serveurs exécutent uniquement les applications et processus qu’ils doivent exécuter avec des contrôles d’application adaptatifs
- Surveiller les modifications apportées aux fichiers et aux entrées de Registre importants avec le monitoring d’intégrité de fichier
- Notez que l’intégralité de l’abonnement doit être déléguée au locataire gérant ; Les scénarios Microsoft Defender pour cloud ne sont pas pris en charge avec des groupes de ressources délégués
- Gérer les ressources Microsoft Sentinel dans les locataires clients
- Suivre les attaques et afficher les alertes de sécurité sur plusieurs locataires
- Afficher les incidents dans plusieurs espaces de travail Microsoft Sentinel entre différents clients
Demandes de support :
- Ouvrez les demandes de support à partir de l’aide + support dans le portail Azure pour les ressources déléguées. Sélectionnez le plan de support disponible pour l’étendue déléguée.
- Utilisez l’API Quota Azure pour afficher et gérer les quotas de service Azure pour les ressources client déléguées.
Limites actuelles
Dans tous les scénarios, tenez compte des limitations actuelles ci-après :
- Azure Lighthouse prend en charge les demandes gérées par Azure Resource Manager. Les URI d’opération pour ces demandes commencent par
https://management.azure.com. Toutefois, Azure Lighthouse ne prend pas en charge les demandes gérées par une instance d’un type de ressource, comme l’accès aux secrets Key Vault ou l’accès aux données de stockage. Les URI d’opération pour ces requêtes commencent généralement par une adresse unique à votre instance, telle quehttps://myaccount.blob.core.windows.netouhttps://mykeyvault.vault.azure.net/. Ces demandes sont généralement des opérations de données plutôt que des opérations de gestion. - Les attributions de rôles doivent utiliser les rôles intégrés Azure. Azure Lighthouse prend actuellement en charge tous les rôles intégrés, à l’exception du rôle Propriétaire ou de tout rôle intégré avec
DataActionspermissions. Le rôle Administrateur de l’accès utilisateur est pris en charge uniquement pour une utilisation limitée dans l’affectation de rôles à des identités gérées. Les rôles personnalisés et les rôles d’administrateur d’abonnement classique ne sont pas pris en charge. Pour plus d’informations, consultez Prise en charge des rôles pour Azure Lighthouse. - Pour les utilisateurs du locataire géré, les outils DE contrôle d’accès (IAM) et CLI tels que
az role assignment listne montrent pas les attributions de rôles effectuées via Azure Lighthouse. Ces affectations ne sont visibles que dans le Portail Azure, dans la section Délégations d’Azure Lighthouse ou au travers de l’API Azure Lighthouse. - S’il vous est possible d’intégrer des abonnements utilisant Azure Databricks, les utilisateurs du locataire gestionnaire ne peuvent pas lancer d’espaces de travail Azure Databricks sur un abonnement délégué.
- Bien que vous puissiez intégrer des abonnements et des groupes de ressources qui ont des verrous de ressources, ces verrous n'empêchent pas les actions menées par les utilisateurs dans le locataire de gestion. Les affectations de refus qui protègent les ressources gérées par le système (affectations de refus attribuées par le système), telles que celles créées par les applications managées Azure, empêchent les utilisateurs du locataire de gestion d’agir sur ces ressources. Toutefois, à ce moment-là, les utilisateurs du locataire client ne peuvent pas créer leurs propres affectations de refus.
- La délégation d’abonnements sur un cloud national et le cloud public Azure, ou sur deux clouds nationaux distincts, n’est pas prise en charge.
Étapes suivantes
- Intégrez vos clients à Azure Lighthouse, soit à l’aide de modèles Azure Resource Manager , soit en publiant une offre de services privés ou publics sur la Place de marché Microsoft.
- Affichez et gérez les clients en accédant à Mes clients sur le portail Azure.
- Apprenez-en davantage sur l’architecture d’Azure Lighthouse.