Bérlők közötti felügyeleti megoldások

Szolgáltatóként az Azure Lighthouse használatával kezelheti ügyfelei Azure-erőforrásait a saját Azure Active Directory-bérlőjén (Azure AD) belülről. Ezeken a felügyelt bérlőkön számos gyakori feladat és szolgáltatás végezhető el.

Tipp

Az Azure Lighthouse egy olyan vállalaton belül is használható, amely több Azure AD saját bérlői fiókkal rendelkezik a bérlők közötti felügyelet egyszerűsítése érdekében.

A bérlők és a delegálás ismertetése

A Azure AD bérlő egy szervezet reprezentációja. Ez a Azure AD dedikált példánya, amelyet a szervezetek akkor kapnak, amikor kapcsolatot hoznak létre a Microsofttal az Azure-ra, a Microsoft 365-be vagy más szolgáltatásokra való regisztrációval. Minden Azure AD bérlő eltérő és elkülönül a többi Azure AD bérlőtől, és saját bérlőazonosítóval (GUID) rendelkezik. További információ: Mi az az Azure Active Directory?

Az ügyfelek Azure-erőforrásainak kezeléséhez a szolgáltatóknak általában az adott ügyfél bérlőjéhez társított fiókkal kell bejelentkezniük a Azure Portal. Ebben a forgatókönyvben az ügyfél bérlőjének rendszergazdájának létre kell hoznia és kezelnie kell a szolgáltató felhasználói fiókjait.

Az Azure Lighthouse-jal az előkészítési folyamat meghatározza a szolgáltató bérlőjének azon felhasználóit, akik szerepkörökhöz vannak rendelve az ügyfél bérlőjében delegált előfizetésekhez és erőforráscsoportokhoz. Ezek a felhasználók ezután bejelentkezhetnek a Azure Portal a saját hitelesítő adataikkal, és dolgozhatnak azon az összes ügyfél erőforrásain, amelyekhez hozzáféréssel rendelkeznek. A felügyeleti bérlő felhasználói a Azure Portal Saját ügyfelek lapján tekinthetik meg ezeket az ügyfeleket. Az erőforrásokon közvetlenül az ügyfél előfizetésének kontextusában is dolgozhatnak, akár a Azure Portal, akár API-kon keresztül.

Az Azure Lighthouse rugalmasságot biztosít több ügyfél erőforrásainak kezeléséhez anélkül, hogy különböző bérlők különböző fiókjaiba kellene bejelentkeznie. Egy szolgáltatónak például két különböző felelősségi és hozzáférési szintű ügyfele lehet. Az Azure Lighthouse használatával a jogosult felhasználók bejelentkezhetnek a szolgáltató bérlőjéhez, és hozzáférhetnek az ügyfelek összes delegált erőforrásához az egyes delegálásokhoz hozzárendelt szerepköröknek megfelelően.

API-k és felügyeleti eszközök támogatása

Felügyeleti feladatokat végezhet a delegált erőforrásokon a Azure Portal, vagy használhat API-kat és felügyeleti eszközöket, például az Azure CLI-t és a Azure PowerShell. Minden meglévő API használható delegált erőforrásokon, ha a funkciók támogatottak a bérlők közötti felügyelethez, és a felhasználó rendelkezik a megfelelő engedélyekkel.

Az Azure PowerShell Get-AzSubscription parancsmag alapértelmezés szerint a TenantId bérlőt jeleníti meg. Az HomeTenantId egyes előfizetések és ManagedByTenantIds attribútumok segítségével megállapíthatja, hogy a visszaadott előfizetés egy felügyelt bérlőhöz vagy a felügyelt bérlőhöz tartozik-e.

Hasonlóképpen az Azure CLI-parancsok, például az az account list is megjelenítik a és managedByTenants az homeTenantId attribútumokat. Ha nem látja ezeket az értékeket az Azure CLI használatakor, próbálja meg törölni a gyorsítótárat a következő futtatásával az account clearaz login --identity: .

Az Azure REST API-ban az Előfizetések – Lekérés és előfizetések – Listázás parancsok a következők: ManagedByTenant.

Megjegyzés

Az Azure Lighthouse-hoz kapcsolódó bérlői információk mellett az ezen API-k által megjelenített bérlők az Azure Databricks vagy az Azure által felügyelt alkalmazások partnerbérlőit is tükrözhetik.

Olyan API-kat is biztosítunk, amelyek kifejezetten az Azure Lighthouse-feladatok végrehajtására vonatkoznak. További információ: Referencia szakasz.

Továbbfejlesztett szolgáltatások és forgatókönyvek

A legtöbb Azure-feladat és -szolgáltatás delegált erőforrásokkal használható a felügyelt bérlők között, feltéve, hogy a megfelelő szerepkörök meg vannak adva. Az alábbiakban néhány olyan kulcsfontosságú forgatókönyvet láthat, amelyekben a bérlők közötti felügyelet különösen hatékony lehet.

Azure Arc:

• Hibrid kiszolgálók nagy léptékű kezelése – Azure Arc-kompatibilis kiszolgálók:
  • Az Azure-on kívüli, delegált előfizetésekhez és/vagy erőforráscsoportokhoz csatlakoztatott Windows Server- vagy Linux-gépek kezelése az Azure-ban
  • Csatlakoztatott gépek kezelése Azure-szerkezetekkel, például Azure Policy és címkézéssel
  • Győződjön meg arról, hogy ugyanazokat a szabályzatokat alkalmazza a rendszer az ügyfelek hibrid környezetei között.
  • A Microsoft Defender for Cloud használata az ügyfelek hibrid környezeteinek megfelelőségének monitorozásához
• Hibrid Kubernetes-fürtök nagy léptékű kezelése – Azure Arc-kompatibilis Kubernetes:
  • Kubernetes-fürtök csatlakoztatása delegált előfizetésekhez és/vagy erőforráscsoportokhoz
  • Konfigurációk üzembe helyezése csatlakoztatott fürtökön a GitOps használatával
  • Felügyeleti feladatok végrehajtása, például szabályzatok kényszerítése csatlakoztatott fürtök között

Azure Automation:

• Automation-fiókok használata delegált erőforrások eléréséhez és használatához

Azure Backup:

• Ügyféladatok biztonsági mentése és visszaállítása helyszíni számítási feladatokból, Azure-beli virtuális gépekről, Azure-fájlmegosztásokból és egyebekből
• Az összes delegált ügyfélerőforrás adatainak megtekintése a Backup Centerben
• A Backup Explorerrel megtekintheti a biztonsági mentési elemek működési adatait (beleértve a biztonsági mentésre még nem konfigurált Azure-erőforrásokat), valamint a delegált előfizetések figyelési adatait (feladatokat és riasztásokat). A Backup Explorer jelenleg csak Azure-beli virtuális gépek adataihoz érhető el.
• A delegált előfizetések biztonsági mentési jelentéseivel nyomon követheti az előzménytrendeket, elemezheti a biztonsági mentési tárhasználatot, valamint naplózhatja a biztonsági mentéseket és a visszaállításokat.

Azure Blueprints:

• Az Azure Blueprints használata az erőforrássablonok és egyéb összetevők üzembe helyezésének vezénylésére (az ügyfél-előfizetés előkészítéséhez további hozzáférés szükséges )

Azure Cost Management + Számlázás:

• A csp-partnerek a felügyeleti bérlőből megtekinthetik, kezelhetik és elemezhetik az adózás előtti használat költségeit (a vásárlásokat nem beleértve) az Azure-csomagban lévő ügyfelek számára. A költség a kiskereskedelmi díjakon és az Azure szerepköralapú hozzáférés-vezérlési (Azure RBAC) hozzáférésen alapul, amelyet a partner az ügyfél előfizetéséhez használ. Jelenleg minden egyes ügyfél-előfizetéshez kiskereskedelmi áron tekintheti meg a használati költségeket az Azure RBAC-hozzáférés alapján.

Azure Key Vault:

• Kulcstartók létrehozása az ügyfélbérlőkben
• Kulcstartók létrehozása felügyelt identitással az ügyfélbérlőkben

Azure Kubernetes Service (AKS):

• Üzemeltetett Kubernetes-környezetek kezelése, valamint tárolóalapú alkalmazások üzembe helyezése és kezelése az ügyfélbérlőkben
• Fürtök üzembe helyezése és kezelése az ügyfélbérlőkben
• A tárolókhoz készült Azure Monitor használata az ügyfélbérlők teljesítményének monitorozásához

Azure Migrate:

• Migrálási projektek létrehozása az ügyfélbérlőben és virtuális gépek migrálása

Azure Monitor:

• Delegált előfizetések riasztásainak megtekintése, az összes előfizetés riasztásainak megtekintésével és frissítésével
• A delegált előfizetések tevékenységnapló-adatainak megtekintése
• Naplóelemzés: Adatok lekérdezése több bérlő távoli munkaterületéről (vegye figyelembe, hogy az ügyfélbérlők munkaterületeiből származó adatok eléréséhez használt Automation-fiókokat ugyanabban a bérlőben kell létrehozni)
• Riasztások létrehozása, megtekintése és kezelése az ügyfélbérlőkben
• Riasztások létrehozása az ügyfélbérlőkben, amelyek automatizálást váltanak ki, például Azure Automation runbookokat vagy Azure Functions a bérlő kezelése webhookokon keresztül
• Hozzon létre diagnosztikai beállításokat az ügyfélbérlőkben létrehozott munkaterületeken, hogy erőforrásnaplókat küldjön a felügyeleti bérlő munkaterületeinek
• SAP számítási feladatok esetén az SAP Solutions-metrikák monitorozása az ügyfélbérlők összesített nézetével
• A B2C Azure AD a bejelentkezési és naplózási naplókat különböző monitorozási megoldásokhoz irányíthatja

Azure-hálózatkezelés:

• Azure Virtual Network és virtuális hálózati adapterek (vNIC-k) üzembe helyezése és kezelése felügyelt bérlőkben
• Azure Firewall üzembe helyezése és konfigurálása az ügyfelek Virtual Network erőforrásainak védelme érdekében
• Az olyan kapcsolati szolgáltatások kezelése, mint az Azure Virtual WAN, az Azure ExpressRoute és a VPN Gateway
• Az Azure Lighthouse használata az Azure Networking MSP Program kulcsfontosságú forgatókönyveinek támogatásához

Azure Policy:

• Szabályzatdefiníciók létrehozása és szerkesztése delegált előfizetésekben
• Szabályzatdefiníciók és szabályzat-hozzárendelések üzembe helyezése több bérlőn
• Ügyfél által definiált szabályzatdefiníciók hozzárendelése delegált előfizetéseken belül
• Az ügyfelek a szolgáltató által létrehozott szabályzatokat látják a saját maguk által létrehozott szabályzatokkal együtt
• Szervizelheti a deployIfNotExists parancsot, vagy módosíthatja a hozzárendeléseket a felügyelt bérlőn belül
• Vegye figyelembe, hogy a nem megfelelő erőforrások megfelelőségi részleteinek megtekintése az ügyfélbérlőkben jelenleg nem támogatott

Azure Resource Graph:

• Tekintse meg a bérlőazonosítót a visszaadott lekérdezési eredményekben, így megállapíthatja, hogy egy előfizetés felügyelt bérlőhöz tartozik-e

Azure Service Health:

• Az ügyfélerőforrások állapotának monitorozása az Azure Resource Health
• Az ügyfelek által használt Azure-szolgáltatások állapotának nyomon követése

Azure Site Recovery:

• Azure-beli virtuális gépek vészhelyreállítási lehetőségeinek kezelése az ügyfélbérlőkben (vegye figyelembe, hogy a fiókok nem használhatók RunAs a virtuálisgép-bővítmények másolására)

Azure Virtual Machines:

• Üzembe helyezés utáni konfigurációs és automatizálási feladatok biztosítása Azure-beli virtuális gépeken virtuálisgép-bővítmények használatával
• Rendszerindítási diagnosztika használata az Azure-beli virtuális gépek hibaelhárításához
• Virtuális gépek elérése soros konzollal
• Virtuális gépek integrálása az Azure Key Vault jelszóval, titkos kóddal vagy titkosítási kulcsokkal a lemeztitkosításhoz a felügyelt identitás szabályzaton keresztüli használatával, biztosítva, hogy a titkos kulcsok egy Key Vault legyenek tárolva a felügyelt bérlőkben
• Vegye figyelembe, hogy az Azure Active Directory nem használható virtuális gépekre való távoli bejelentkezéshez

Microsoft Defender a felhőhöz:

• Bérlők közötti láthatóság
  • A biztonsági szabályzatok betartásának monitorozása és a biztonsági lefedettség biztosítása az összes bérlői erőforrásra
  • Folyamatos jogszabályi megfelelőség monitorozása több bérlő között egyetlen nézetben
  • Végrehajtható biztonsági javaslatok monitorozása, osztályozása és rangsorolása a biztonsági pontszám kiszámításával
• Bérlők közötti biztonsági helyzet kezelése
  • Biztonsági szabályzatok kezelése
  • Olyan erőforrásokon végzett műveletek végrehajtása, amelyek nem felelnek meg a végrehajtható biztonsági javaslatoknak
  • Biztonsági adatok gyűjtése és tárolása
• Bérlők közötti fenyegetésészlelés és -védelem
  • Fenyegetések észlelése a bérlők erőforrásai között
  • Speciális veszélyforrások elleni védelmi vezérlők, például igény szerinti (JIT) virtuálisgép-hozzáférés alkalmazása
  • Hálózati biztonsági csoport konfigurációjának megkonfigurálása adaptív hálózatkonfigurációval
  • Győződjön meg arról, hogy a kiszolgálók csak azokat az alkalmazásokat és folyamatokat futtatják, amelyeknek adaptív alkalmazásvezérlőkkel kell lenniük
  • Fontos fájlok és beállításjegyzék-bejegyzések változásainak monitorozása a fájlintegritási monitorozással (FIM)
• Vegye figyelembe, hogy a teljes előfizetést delegálni kell a felügyeleti bérlőre; Microsoft Defender a felhőbeli forgatókönyvek nem támogatottak delegált erőforráscsoportokkal

Microsoft Sentinel:

• Microsoft Sentinel-erőforrások kezelése ügyfélbérlőkben
• Támadások nyomon követése és biztonsági riasztások megtekintése több bérlő között
• Több Microsoft Sentinel-munkaterület incidenseinek megtekintése bérlők között

Támogatási kérelmek:

• Támogatási kérések megnyitása a Súgó + támogatás Azure Portal delegált erőforrásokhoz (a delegált hatókör számára elérhető támogatási csomag kiválasztása)
• Az Azure Quota API használata a delegált ügyfélerőforrások Azure-szolgáltatási kvótáinak megtekintéséhez és kezeléséhez

Aktuális korlátozások

Az összes forgatókönyv esetében vegye figyelembe a következő jelenlegi korlátozásokat:

• Az Azure Resource Manager által kezelt kérések az Azure Lighthouse használatával adhatók meg. A kérések URI-jának művelete a következővel https://management.azure.comkezdődik: . Az Azure Lighthouse azonban nem támogatja az erőforrástípus egy példánya által kezelt kéréseket (például Key Vault titkos kódokhoz való hozzáférést vagy táradat-hozzáférést). Az ilyen kérések műveleti URI-jai általában az Ön példányára jellemzően egyedi címmel kezdődnek, például https://myaccount.blob.core.windows.net vagy https://mykeyvault.vault.azure.net/. Az utóbbiak jellemzően adatműveletek, nem pedig felügyeleti műveletek.
• A szerepkör-hozzárendeléseknek beépített Azure-szerepköröket kell használniuk. Az Azure Lighthouse jelenleg az összes beépített szerepkört támogatja, kivéve a Tulajdonos vagy az engedélyekkel rendelkező DataActions beépített szerepköröket. A Felhasználói hozzáférés rendszergazdája szerepkör csak korlátozottan használható a szerepkörök felügyelt identitásokhoz való hozzárendeléséhez. Az egyéni szerepkörök és a klasszikus előfizetési rendszergazdai szerepkörök nem támogatottak. További információ: Szerepkör-támogatás az Azure Lighthouse-hoz.
• Az Azure Lighthouse-ból származó szerepkör-hozzárendelések nem jelennek meg a Access Control (IAM) vagy az olyan CLI-eszközökkel, mint például az role assignment lista . Ezek csak az Azure Lighthouse-ban láthatók a Delegálások szakaszban.
• Az Azure Databrickset használó előfizetések előkészítésekor a bérlőt kezelő felhasználók nem tudják elindítani az Azure Databricks-munkaterületeket egy delegált előfizetésen.
• Bár az erőforrás-zárolásokkal rendelkező előfizetéseket és erőforráscsoportokat előkészítheti, ezek a zárolások nem akadályozzák meg, hogy a felhasználók műveleteket hajtsanak végre a felügyeleti bérlőben. A rendszer által felügyelt erőforrásokat védő megtagadási hozzárendelések (rendszer által hozzárendelt megtagadási hozzárendelések), például az Azure által felügyelt alkalmazások vagy az Azure Blueprints által létrehozottak, megakadályozhatják, hogy a kezelő bérlő felhasználói ezekre az erőforrásokra járnak el. Az ügyfélbérlő felhasználói azonban nem hozhatnak létre saját megtagadási hozzárendeléseket.
• Az előfizetések delegálása egy nemzeti felhőben és az Azure nyilvános felhőben, illetve két különálló nemzeti felhőben nem támogatott.

Következő lépések

• Az ügyfelek előkészítése az Azure Lighthouse-ba Azure Resource Manager-sablonokkal, vagy egy privát vagy nyilvános felügyelt szolgáltatásajánlat közzétételével Azure Marketplace.
• Az ügyfelek megtekintéséhez és kezeléséhez lépjen a Saját ügyfelek elemre a Azure Portal.
• További információ az Azure Lighthouse architektúrájáról.