Partager via

Azure Lighthouse dans les scénarios d’entreprise

Un scénario courant pour Azure Lighthouse est un fournisseur de services qui gère des ressources dans les locataires Microsoft Entra de ses clients. Les capacités d’Azure Lighthouse peuvent également être utilisées pour simplifier la gestion interlocataire au sein d’une entreprise qui utilise plusieurs locataires Microsoft Entra. Dans ce scénario, les utilisateurs de l’un des locataires de l’entreprise peuvent effectuer des tâches de gestion sur les autres locataires via Azure Lighthouse, sans nécessiter d’autres fournisseurs de services.

Un ou plusieurs locataires

Pour la plupart des organisations, la gestion est plus facile avec un seul locataire Microsoft Entra. Le fait de disposer de toutes les ressources dans un seul et même locataire permet de centraliser les tâches de gestion par des utilisateurs désignés, des groupes d’utilisateurs ou des principaux de service au sein de ce locataire. Nous vous recommandons d’utiliser un seul locataire pour votre organisation chaque fois que cela est possible.

Certaines organisations peuvent avoir besoin d’utiliser plusieurs locataires Microsoft Entra. Il peut s’agir d’une situation temporaire, comme lorsque des acquisitions ont eu lieu et qu’une stratégie de consolidation des locataires à long terme n’est pas encore définie. Parfois, une organisation peut avoir à assurer en permanence la maintenance de plusieurs locataires en raison de filiales totalement indépendantes, de conditions géographiques ou légales, entre autres.

Dans les cas où une architecture multilocataire est nécessaire, Azure Lighthouse contribue à centraliser et simplifier les opérations de gestion. En utilisant Azure Lighthouse, les utilisateurs d’un locataire gérant peuvent effectuer des fonctions de gestion inter-locataires de manière centralisée et évolutive.

Architecture de gestion des locataires

Pour utiliser Azure Lighthouse dans une entreprise, vous devez déterminer quel locataire inclut les utilisateurs qui effectuent des opérations de gestion sur les autres locataires. En d’autres termes, vous désignez un locataire comme locataire gérant pour les autres locataires.

Par exemple, supposons que votre organisation dispose d’un seul locataire que nous appellerons Locataire A (Tenant A). Votre organisation acquiert ensuite Locataire B (Tenant B) et Locataire C (Tenant C) et vous avez des raisons métier qui exigent d’assurer la maintenance en tant que locataires distincts. Toutefois, vous souhaitez utiliser les mêmes définitions de stratégie, pratiques de sauvegarde et processus de sécurité pour tous, avec les tâches de gestion effectuées par le même ensemble d’utilisateurs.

Étant donné que le locataire A inclut déjà des utilisateurs de votre organisation qui effectuent ces tâches pour le locataire A, vous pouvez désigner le locataire A comme locataire de gestion. Vous pouvez ensuite intégrer des abonnements au sein du locataire B et du locataire C afin qu’ils soient délégués au locataire A. Pendant le processus d’intégration, vous créez des autorisations qui accordent des autorisations aux utilisateurs du locataire A, ce qui leur permet d’effectuer des tâches de gestion entre le locataire B et le locataire C.

Diagramme montrant les utilisateurs dans Tenant A qui gèrent les ressources dans Tenant B et Tenant C.

Considérations relatives à la sécurité et au contrôle

Dans la plupart des scénarios d’entreprise, vous devez déléguer un abonnement complet à Azure Lighthouse. Vous pouvez également choisir de déléguer uniquement des groupes de ressources spécifiques au sein d’un abonnement.

Dans les deux cas, veillez à respecter le principe du privilège minimum lors de la définition des utilisateurs qui peuvent accéder aux ressources déléguées. Cela permet de garantir que les utilisateurs disposent uniquement des autorisations requises pour effectuer les tâches nécessaires et réduit le risque d’erreurs accidentelles.

Azure Lighthouse fournit uniquement des liens logiques entre un locataire gestionnaire et des locataires gérés, au lieu de déplacer physiquement les données ou les ressources. De plus, l’accès s’effectue toujours dans un seul sens, du locataire gestionnaire vers les locataires gérés. Les utilisateurs et les groupes du locataire gestionnaire doivent utiliser l’authentification multifacteur lors de l’exécution d’opérations de gestion sur des ressources de locataire géré.

Les entreprises bénéficiant d’une gouvernance interne ou externe et de garde-fous de conformité peuvent utiliser des journaux d’activité Azure pour répondre à leurs besoins de transparence. Lorsque les entreprises établissent des relations de gestion et de locataire managé, les utilisateurs de chaque locataire peuvent afficher l’activité journalisée pour voir les actions effectuées par les utilisateurs dans le locataire de gestion.

Pour plus d’informations, consultez les Pratiques de sécurité recommandées.

Éléments à prendre en considération lors de l’intégration

Les abonnements (ou groupes de ressources au sein d’un abonnement) peuvent être intégrés à Azure Lighthouse, soit en déployant des modèles Azure Resource Manager, soit par l’intermédiaire d’offres de services managés publiées sur la Place de marché Azure.

Étant donné que les utilisateurs d’entreprise ont généralement un accès direct aux locataires de l’entreprise et qu’il n’est pas nécessaire de commercialiser ou de promouvoir une offre de gestion, il est généralement plus rapide et plus simple de déployer des modèles Azure Resource Manager. Même si les conseils d’intégration font référence aux fournisseurs de services et aux clients , les entreprises peuvent utiliser les mêmes processus pour intégrer leurs locataires.

Si vous préférez, les locataires d’une entreprise peuvent être intégrés en publiant une offre de services managés sur la Place de marché Azure. Pour être sûr que l’offre n’est disponible que pour les locataires appropriés, vérifiez que vos plans sont définis sur privé. Avec un plan privé, vous fournissez les ID d’abonnement de chaque locataire que vous envisagez d’intégrer, et personne d’autre ne pourra obtenir votre offre.

ID externe Microsoft Entra

Microsoft Entra External ID fournit une identité métier à client en tant que service. Lorsque vous délèguez un groupe de ressources via Azure Lighthouse, vous pouvez utiliser Azure Monitor pour router les journaux de connexion et d’audit d’ID externe Microsoft Entra vers différentes solutions de supervision. Vous pouvez ensuite conserver les journaux pour les utiliser sur le long terme, ou les intégrer à des outils SIEM (Security Information and Event Management) tiers pour obtenir davantage d’insights sur votre environnement.

Pour plus d’informations, consultez Configurer Azure Monitor dans des locataires externes.

Remarques relatives à la terminologie

Pour la gestion inter-locataire au sein de l’entreprise, les références aux fournisseurs de services dans la documentation Azure Lighthouse peuvent être comprises comme s’appliquant au locataire gestionnaire dans une entreprise, c’est-à-dire au locataire comprenant les utilisateurs qui géreront les ressources présentes dans d’autres locataires par le biais d’Azure Lighthouse. De même, les références aux clients peuvent être comprises comme s’appliquant aux locataires déléguant les ressources qui doivent être gérées par le biais d’utilisateurs dans le locataire gestionnaire.

Par exemple, dans l’exemple décrit ci-dessus, le Locataire A peut être considéré comme le locataire du fournisseur de services (le locataire gestionnaire), tandis que le Locataire B et le locataire C peuvent être considérés comme les locataires clients.

En poursuivant cet exemple, les utilisateurs de Locataire A disposant des autorisations appropriées peuvent voir et gérer les ressources déléguées dans la page Mes clients du portail Azure. De même, les utilisateurs du locataire B et du locataire C disposant des autorisations appropriées peuvent afficher et gérer les détails relatifs à leurs délégations dans la page Fournisseurs de services du portail Azure.

Étapes suivantes