Azure-beli célzónák automatizálása több bérlőn
Ha a szervezet több Microsoft Entra-bérlővel rendelkezik, amelyek mindegyikében azure-beli kezdőzónák (ALZ) vannak, akkor az automatizálás kulcsfontosságú. Az Automation segít az ALZ üzembe helyezésének sikeres üzemeltetésében és karbantartásában az összes bérlőben. Az ALZ-üzemelő példányok több bérlőn keresztül történő automatizálására számos módszer létezik. Az ön által használt megközelítés attól függ, hogy a szervezetnek miért van több Microsoft Entra-bérlője.
Előfordulhat például, hogy több Microsoft Entra-bérlője van, ha Ön független szoftverszállító. Valószínű, hogy külön szeretné tartani a vállalati és SaaS-megoldásokat a Microsoft Entra-bérlők között. Csökken annak a kockázata, hogy egy művelet vagy üzembe helyezés hatással van a másik bérlőre, akár szándékos, akár tévedésből.
A következő szakaszok diagramokat és útmutatást nyújtanak a használható megközelítésekről. Válassza ki az Azure-beli kezdőzónák üzembe helyezésének automatizálására vonatkozó követelmények, szempontok és javaslatok alapján a legmegfelelőbb módszert több Microsoft Entra-bérlő kezelésekor.
Megjegyzés:
Először tekintse át a következő cikkeket a Microsoft Entra-bérlők áttekintéséhez:
Megközelítések
Az Azure-beli célzónák több Microsoft Entra-bérlőn történő üzembe helyezésének automatizálására két módszer létezik.
1. megközelítés – A teljes elkülönítés a leggyakoribb megközelítés a több-bérlős forgatókönyvekben. Ez a megközelítés megtartja a Szükséges elkülönítést és elkülönítést a Microsoft Entra-bérlők között, ami a leggyakoribb követelmény a több-bérlős megközelítés használatakor.
2. megközelítés – A több szolgáltatásnévvel rendelkező megosztott alkalmazásregisztrációt (több-bérlős) gyakran használják a felügyelt szolgáltatói (MSP) forgatókönyvekben. Ebben a megközelítésben az üzembehelyezési bélyegek mintája segítségével automatizálható egy szinte azonos architektúra üzembe helyezése több bérlőn, nagy léptékben.
Mindkét megközelítés példaként és inspirációként szolgál. A cég igényeinek megfelelően kombinálhatja és egyeztetheti az üzemelő példányok megközelítéseit.
Fontos
Ez a cikk az Azure-beli kezdőzónák üzembe helyezésének és működésének automatizálását ismerteti platformként az egyes Microsoft Entra-bérlőkben, amelyekkel a szervezet rendelkezik. A jelen cikkben szereplő megközelítéseket, javaslatokat és szempontokat nem kívánják használni azok az alkalmazáscsapatok, amelyek üzembe helyezik és üzemeltetik szolgáltatásaikat és alkalmazásaikat a kezdőzónáikban (előfizetéseikben). A célzónák különböző típusairól további információt a Platform és az alkalmazás kezdőzónái című témakörben talál.
1. megközelítés – Teljes elkülönítés
Ebben a megközelítésben az elsődleges cél az, hogy az egyes Microsoft Entra-bérlők el legyenek különítve egymástól az összes automatizálási összetevőben, például:
- Egy Git-adattár.
- GitHub Actions vagy Azure Pipelines (beleértve a saját üzemeltetésű futókat is, ha használatban van).
- Az automatizálási feladatok végrehajtásához használt identitások, például a saját üzemeltetésű futókhoz rendelt felügyelt identitások, a szolgáltatásnévnevek (SPN-ek), a felhasználók vagy a rendszergazdák.
Ebben a megközelítésben több olyan összetevőt is kezelhet, amely a Microsoft Entra-bérlőnként duplikálva van. Előfordulhat, hogy egyes szervezetekre olyan szabályozási megfelelőségi vezérlők vannak érvényben, amelyek ilyen típusú elkülönítést és elkülönítést írnak elő.
Megjegyzés:
Ha a szervezet csak a felügyelt identitások használatát engedélyezi a platformautomatizáláshoz, ezt a megközelítést vagy az egyes bérlőkbe egyenként bejelentkező megközelítést kell használnia. A felügyelt identitások nem támogatják a bérlők közötti forgatókönyveket. További információkért tekintse meg ezt a gyakori kérdéseket.
Identitások platformgazdák és fejlesztők számára – 1. megközelítés
Ebben a megközelítésben az identitásokat is el kell különíteni az egyes Microsoft Entra-bérlőkben, ami azt jelenti, hogy minden platform rendszergazdájának vagy fejlesztőjének külön felhasználói fiókra van szüksége a bérlőn belüli műveletek elvégzéséhez. Ezek a fiókok a fejlesztői eszközök, például a GitHub vagy az Azure DevOps elérésére is használhatók az egyes bérlők esetében. Ezt a megközelítést követve gondosan vegye figyelembe a rendszergazdai és fejlesztői hatékonyság hatásait.
A Microsoft Entra B2B és/vagy az Azure Lighthouse használható, de ez a beállítás a Különálló Microsoft Entra-bérlők okával kapcsolatos kérdéseket vet fel.
2. megközelítés – Megosztott alkalmazásregisztráció (több-bérlős) több szolgáltatásnévvel
Ebben a megközelítésben egy alkalmazásregisztráció jön létre a Microsoft Entra-bérlő kezelése során. Minden kezelni kívánt Microsoft Entra-bérlőben létrejön egy egyszerű szolgáltatásnév (SPN) a bérlőben az alkalmazásregisztráció alapján. Ez a művelet lehetővé teszi, hogy a folyamatfeladatokat és lépéseket futtató feldolgozók egyetlen hitelesítő adatkészlettel jelentkezzenek be bármelyik Microsoft Entra-bérlőbe.
Tipp.
Az alkalmazásregisztrációk és a vállalati alkalmazások (szolgáltatási alapelvek) közötti kapcsolatról további információt a Microsoft Entra ID alkalmazás- és szolgáltatásnév-objektumaiban talál.
Fontos
Ebben a megközelítésben az egyszeri alkalmazásregisztrációt és a kapcsolódó vállalati alkalmazásokat (szolgáltatásnevek) figyelni kell a biztonsági információ- és eseménykezelési (SIEM) eszközök rendellenes tevékenységeire, mivel ez egy magas jogosultsági szintű fiók. Riasztásokat kell küldenie, és a riasztás súlyosságától függően automatikusan végre kell lépnie.
Az előző példában egyetlen alkalmazásregisztráció található a contoso.onmicrosoft.com Microsoft Entra-bérlőben, és egy nagyvállalati alkalmazás az alkalmazásregisztrációhoz társított összes Microsoft Entra-bérlőben található. Ez a beállítás lehetővé teszi a folyamat hitelesítését és engedélyezését az összes Microsoft Entra-bérlő számára egyetlen alkalmazásregisztráció használatával. További információ: Az alkalmazás több-bérlőssé tétele.
Központosított folyamat használatakor előfordulhat, hogy létre kell készítenie egy kis leképezési táblát, amely a Microsoft Entra-bérlőket és más metaadatokat, például a környezetet, a társított előfizetéseket, a szervezet nevét és a hitelesítéshez használt identitásobjektum-azonosítót tartalmazza. Ezeket az adatokat a folyamat futtatása során lehet meghívni egy olyan lépésben, amely bizonyos logikát és feltételeket használ annak szabályozásához, hogy melyik Microsoft Entra-bérlőn van üzembe helyezve, és mely identitásokkal. Az adatok olyan szolgáltatásokban tárolhatók, mint az Azure Cosmos DB vagy az Azure Table Storage.
Ha több környezetet kezel, például fejlesztést, tesztelést vagy éles üzemet, azok ugyanúgy szabályozhatók ugyanazokkal vagy különálló alkalmazásregisztrációkkal és folyamatokkal rendelkező vállalati alkalmazásokkal.
Dönthet úgy, hogy mindegyik Microsoft Entra-bérlőhöz külön folyamatokat használ, vagy egyetlen folyamatot használ. A választás az Ön igényei alapján történik.
Megjegyzés:
Az Azure Lighthouse ehhez a megközelítéshez hasonlóan működik, de az Azure Lighthouse nem engedélyezi az RBAC-tulajdonos, a felhasználói hozzáférés-rendszergazda és a DataActions-engedélyekkel rendelkező szerepkörök hozzárendelését. További információ: Szerepkör-támogatás az Azure Lighthouse-hoz.
A tulajdonosi és felhasználói hozzáférési szerepkörök általában minden Azure-beli kezdőzóna üzembe helyezési forgatókönyvében szükségesek. Ez a követelmény eltávolítja az Azure Lighthouse-t az Azure-beli kezdőzónák teljes platformautomatizálási üzembehelyezési szempontjából, de bizonyos esetekben még mindig hasznos. További információkért tekintse meg az Azure Lighthouse használatát az ALZ több-bérlős használatában.
Identitások platformgazdák és fejlesztők számára – 2. megközelítés
Ebben a megközelítésben a platformgazdáknak és a fejlesztőknek általában csak a Microsoft Entra-bérlő kezeléséhez kell hozzáférni. Ez a hozzáférés hozzáférést biztosít számukra ahhoz a fejlesztői eszközhöz, például a GitHubhoz vagy az Azure DevOpshoz, amelybe az összes bérlőt üzembe helyezik és onnan üzemeltetik.
Előfordulhat, hogy a többi Microsoft Entra-bérlőhöz a Microsoft Entra B2B-en vagy az Azure Lighthouse-on keresztül férnek hozzá. Ugyanazt a fiókot használják a kezelő bérlőtől, vagy külön fiókokkal rendelkeznek, mint az első megközelítésben használt példában.