Prise en charge interlocataire dans Azure Virtual Network Manager
Dans cet article, vous découvrirez la prise en charge interlocataire dans Azure Virtual Network Manager. La prise en charge interlocataire permet aux organisations d’utiliser une instance de Network Manager centrale pour gérer les réseaux virtuels entre différents locataires et abonnements.
Vue d’ensemble multilocataire
La prise en charge interlocataire dans Azure Virtual Network Manager vous permet d’ajouter des abonnements ou des groupes d’administration d’autres locataires à votre gestionnaire réseau. Pour ce faire, vous établissez une connexion bidirectionnelle entre le gestionnaire de réseau et les locataires cibles. Une fois connecté, le gestionnaire central peut déployer des règles d’administration de connectivité et/ou de sécurité sur des réseaux virtuels sur ces abonnements ou groupes d’administration connectés. Ce support aide les organisations qui répondent aux scénarios suivants :
Acquisitions : dans les cas où les organisations fusionnent par acquisition et disposent de plusieurs locataires, la prise en charge interlocataire permet à un gestionnaire de réseau central de gérer les réseaux virtuels entre les locataires.
Fournisseur de services managés : dans les scénarios de fournisseur de services managés, une organisation peut gérer les ressources d’autres organisations. La prise en charge interlocataire permet la gestion centralisée des réseaux virtuels par un fournisseur de services central pour plusieurs clients.
Connexions interlocataires
L’établissement d’une prise en charge interlocataire commence par la création d’une connexion interlocataire entre deux locataires. La prise en charge interlocataire nécessite un consentement bidirectionnel : l’un à partir du gestionnaire de réseau, l’autre du hub de gestionnaire de réseau virtuel du locataire cible. Les connexions sont les suivantes :
- Connexion du gestionnaire de réseau : vous créez une connexion entre locataires à partir de votre gestionnaire de réseau. La connexion inclut l’étendue exacte des abonnements ou groupes d’administration du locataire à gérer dans votre gestionnaire réseau.
- Connexion du hub de gestionnaire de réseau virtuel : le locataire crée une connexion entre locataires à partir de son hub de gestionnaire de réseau virtuel. Cette connexion inclut l’étendue des abonnements ou des groupes d’administration à gérer par le gestionnaire de réseau central.
Une fois que les deux connexions interlocataires existent et que les étendues sont exactement les mêmes, une véritable connexion est établie. Les administrateurs peuvent utiliser leur gestionnaire de réseau pour ajouter des ressources interlocataires à leurs groupes réseau et gérer les réseaux virtuels inclus dans l’étendue de connexion. Les règles d’administration de la connectivité et/ou de la sécurité existantes sont appliquées aux ressources en fonction des configurations existantes.
Une connexion interlocataire ne peut être établie et conservée que lorsque les deux objets de chaque partie existent. Quand l’une des connexions est supprimée, la connexion entre locataires est interrompue. Si vous devez supprimer une connexion entre locataires, vous devez effectuer les opérations suivantes :
- Supprimez la connexion entre locataires du côté gestionnaire de réseau via les paramètres de connexions entre locataires dans le portail Azure.
- Supprimez la connexion entre locataires côté locataire via les paramètres de connexions entre locataires du hub gestionnaire de réseau virtuel dans le portail Azure.
Remarque
Une fois qu’une connexion est supprimée de l’un ou l’autre côté, le gestionnaire de réseau ne pourra plus afficher ou gérer les ressources du locataire sous l’étendue de cette ancienne connexion.
États de connexion
Les ressources requises pour créer la connexion interlocataire contiennent un état, qui indique si l’étendue associée a été ajoutée à l’étendue Network Manager. Les valeurs possibles de l’état sont :
- Connecté : les ressources de connexion d’étendue et de connexion du gestionnaire de réseau existent. L’étendue a été ajoutée à l’étendue Network Manager.
- En attente : l’une des deux ressources d’approbation n’a pas été créée. L’étendue n’a pas encore été ajoutée à l’étendue Network Manager.
- Conflit : il existe déjà un gestionnaire de réseau avec cet abonnement ou ce groupe d’administration défini dans son étendue. Deux gestionnaires de réseau disposant d’un même accès à l’étendue ne peuvent pas gérer directement la même étendue. Par conséquent, cet abonnement, ou ce groupe d’administration, ne peut pas être ajouté à l’étendue Network Manager. Pour résoudre le conflit, supprimez l’étendue de l’étendue du gestionnaire de réseau en conflit et recréez la ressource de connexion.
- Révoqué : l’étendue a été ajoutée à un moment à l’étendue Network Manager, mais la suppression d’une ressource d’approbation a provoqué sa révocation.
Le seul état qui indique que l’étendue a été ajoutée à l’étendue Network Manager est « Connecté ».
Autorisations requises
Pour utiliser la connexion entre locataires dans Azure Virtual Network Manager, les utilisateurs ont besoin des autorisations suivantes :
L’administrateur du locataire de gestion centralisée dispose d’un compte invité dans le locataire géré cible.
Le compte invité administrateur dispose des autorisations Contributeur réseau appliquées au niveau de l’étendue appropriée (groupe d’administration, abonnement ou réseau virtuel).
Vous avez besoin d’aide pour configurer des autorisations ? Découvrez comment ajouter des utilisateurs invités dans le portail Azure et comment attribuer des rôles d’utilisateur aux ressources dans le portail Azure
Limitations connues
Actuellement, les réseaux virtuels interlocataires peuvent uniquement être ajoutés aux groupes de réseaux manuellement. L’ajout dynamique de réseaux virtuels entre locataires à des groupes réseau via Azure Policy est une fonctionnalité bientôt disponible.