Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Un scénario courant pour Azure Lighthouse implique un fournisseur de services qui gère les ressources dans les locataires Microsoft Entra de ses clients. Vous pouvez également utiliser les fonctionnalités Azure Lighthouse pour simplifier la gestion inter-locataires dans une entreprise utilisant plusieurs locataires Microsoft Entra. Dans ce scénario, les utilisateurs de l'un des locataires de l'entreprise peuvent effectuer des tâches de gestion sur les autres locataires via Azure Lighthouse, sans qu'aucun autre fournisseur de services ne soit impliqué.
Locataires d’entreprise uniques ou multiples
Pour la plupart des organisations, la gestion est plus facile avec un seul locataire Microsoft Entra. Le fait de disposer de toutes les ressources dans un seul et même locataire permet de centraliser les tâches de gestion par des utilisateurs désignés, des groupes d’utilisateurs ou des principaux de service au sein de ce locataire. Utilisez un locataire pour votre organisation dans la mesure du possible.
Certaines organisations doivent utiliser plusieurs locataires Microsoft Entra. Ce besoin peut être temporaire, comme lorsque des acquisitions ont lieu et qu’une stratégie de consolidation des locataires à long terme n’est pas encore définie. D’autres fois, les organisations doivent maintenir plusieurs locataires sur une base continue en raison de filiales entièrement indépendantes, de conditions géographiques ou légales, ou d’autres considérations.
Dans les cas où une architecture multitenant est requise, Azure Lighthouse peut aider à centraliser et à rationaliser les opérations de gestion. En utilisant Azure Lighthouse, les utilisateurs d’un locataire gérant peuvent effectuer des fonctions de gestion inter-locataires de manière centralisée et évolutive.
Architecture de gestion des locataires d’entreprise
Pour utiliser Azure Lighthouse dans une entreprise, déterminez quel locataire doit inclure les utilisateurs qui effectuent des opérations de gestion pour les autres locataires. En d’autres termes, désignez un locataire comme locataire gérant pour les autres locataires.
Par exemple, supposons que votre organisation dispose d’un seul locataire appelé Locataire A. Votre organisation acquiert ensuite le locataire B et le locataire C, et vous avez des raisons professionnelles qui vous obligent à les conserver en tant que locataires distincts. Toutefois, vous souhaitez utiliser les mêmes définitions de stratégie, pratiques de sauvegarde et processus de sécurité pour tous, avec les tâches de gestion effectuées par le même ensemble d’utilisateurs.
Étant donné que le locataire A inclut déjà des utilisateurs de votre organisation qui effectuent ces tâches pour le locataire A, vous pouvez désigner le locataire A comme locataire de gestion. Vous pouvez ensuite intégrer des abonnements au sein du locataire B et du locataire C afin qu’ils soient délégués au locataire A. Pendant le processus d’intégration, vous créez des autorisations qui accordent des autorisations aux utilisateurs du locataire A, ce qui leur permet d’effectuer des tâches de gestion entre le locataire B et le locataire C.
Considérations relatives à la sécurité et à l’accès pour les scénarios d’entreprise
Dans la plupart des scénarios d’entreprise, vous délèguez un abonnement entier à Azure Lighthouse. Vous pouvez également choisir de déléguer uniquement des groupes de ressources spécifiques au sein d’un abonnement.
Dans les deux cas, suivez le principe du privilège minimum lors de la définition des utilisateurs qui peuvent accéder aux ressources déléguées. Cette approche permet de s’assurer que les utilisateurs disposent uniquement des autorisations nécessaires pour effectuer les tâches requises et réduisent le risque d’erreurs accidentelles.
Azure Lighthouse fournit uniquement des liens logiques entre un locataire gérant et des locataires gérés, plutôt que de déplacer physiquement des données ou des ressources. De plus, l’accès s’effectue toujours dans un seul sens, du locataire gestionnaire vers les locataires gérés. Les utilisateurs et les groupes du locataire gestionnaire doivent utiliser l’authentification multifacteur lors de l’exécution d’opérations de gestion sur des ressources de locataire géré.
Les entreprises avec des garde-fous de gouvernance interne ou externe et de conformité peuvent utiliser Azure Monitor journaux d’activité pour répondre à leurs exigences de transparence. Lorsque les entreprises établissent des relations de gestion et de locataire managé, les utilisateurs de chaque locataire peuvent afficher l’activité journalisée pour voir les actions effectuées par les utilisateurs dans le locataire de gestion.
Pour plus d’informations, consultez les Pratiques de sécurité recommandées.
Considérations relatives à l’intégration pour les locataires d’entreprise
Vous pouvez intégrer des abonnements (ou des groupes de ressources au sein d’un abonnement) à Azure Lighthouse en déployant des modèles Azure Resource Manager ou via des offres Managed Services publiées sur Microsoft Place de marché.
Étant donné que les utilisateurs d'entreprise ont généralement un accès direct aux locataires de l'entreprise et qu'il n'est pas nécessaire de commercialiser ou de promouvoir une offre de gestion, il est généralement plus rapide et plus simple de déployer des modèles Azure Resource Manager. Même si les conseils d’intégration font référence aux fournisseurs de services et aux clients , les entreprises peuvent utiliser les mêmes processus pour intégrer leurs locataires.
Si vous préférez, les locataires au sein d'une entreprise peuvent être intégrés en publiant une offre de services gérés sur Microsoft Marketplace. Pour être sûr que l’offre n’est disponible que pour les locataires appropriés, vérifiez que vos plans sont définis sur privé. Avec un plan privé, vous fournissez les ID d’abonnement pour chaque locataire que vous prévoyez d’intégrer, et personne d’autre ne peut obtenir votre offre.
ID externe Microsoft Entra
ID externe Microsoft Entra fournit une identité métier à client en tant que service. Lorsque vous délèguez un groupe de ressources via Azure Lighthouse, vous pouvez utiliser Azure Monitor pour acheminer ID externe Microsoft Entra journaux de connexion et d’audit vers différentes solutions de supervision. Vous pouvez ensuite conserver les journaux pour les utiliser sur le long terme, ou les intégrer à des outils SIEM (Security Information and Event Management) tiers pour obtenir davantage d’insights sur votre environnement.
Pour plus d’informations, reportez-vous à Configurer Azure Monitor dans des locataires externes.
Remarques relatives à la terminologie
Pour la gestion interlocataire au sein de l’entreprise, les références aux fournisseurs de services de la documentation Azure Lighthouse peuvent être comprises pour s’appliquer au locataire gérant au sein d’une entreprise, c’est-à-dire le locataire qui inclut les utilisateurs qui géreront les ressources dans d’autres locataires via Azure Lighthouse. De même, les références aux clients peuvent être comprises comme s’appliquant aux locataires déléguant les ressources qui doivent être gérées par le biais d’utilisateurs dans le locataire gestionnaire.
Par exemple, dans l’exemple décrit ci-dessus, le locataire A peut être considéré comme le locataire du fournisseur de services (le locataire gérant) et le locataire B et le locataire C peuvent être considérés comme locataires clients.
En suivant cet exemple, les utilisateurs Client A disposant des autorisations appropriées peuvent viewer et gérer des ressources déléguées dans la page My clients du portail Azure. De même, les utilisateurs client B et Locataire C disposant des autorisations appropriées peuvent afficher et gérer les détails de leurs délégations dans la page Service providers du portail Azure.
Étapes suivantes
- Explorez les options d’organisation des ressources dans les architectures mutualisées.
- Découvrez les Expériences de gestion inter-locataire.
- En savoir plus sur comment Azure Lighthouse fonctionne.