Bérlők közötti felügyeleti megoldások

Szolgáltatóként az Azure Lighthouse használatával kezelheti ügyfelei Azure-erőforrásait a saját Azure Active Directory-bérlőjén (Azure AD) belülről. Ezeken a felügyelt bérlőkön számos gyakori feladat és szolgáltatás végezhető el.

Tipp

Az Azure Lighthouse egy olyan vállalaton belül is használható, amely több Azure AD saját bérlői fiókkal rendelkezik a bérlők közötti felügyelet egyszerűsítése érdekében.

A bérlők és a delegálás ismertetése

A Azure AD bérlő egy szervezet reprezentációja. Ez a Azure AD dedikált példánya, amelyet a szervezetek akkor kapnak, amikor kapcsolatot hoznak létre a Microsofttal az Azure-ra, a Microsoft 365-be vagy más szolgáltatásokra való regisztrációval. Minden Azure AD bérlő eltérő és elkülönül a többi Azure AD bérlőtől, és saját bérlőazonosítóval (GUID) rendelkezik. További információ: Mi az az Azure Active Directory?

Az ügyfelek Azure-erőforrásainak kezeléséhez a szolgáltatóknak általában az adott ügyfél bérlőjéhez társított fiókkal kell bejelentkezniük a Azure Portal. Ebben a forgatókönyvben az ügyfél bérlőjének rendszergazdájának létre kell hoznia és kezelnie kell a szolgáltató felhasználói fiókjait.

Az Azure Lighthouse-jal az előkészítési folyamat meghatározza a szolgáltató bérlőjének azon felhasználóit, akik szerepkörökhöz vannak rendelve az ügyfél bérlőjében delegált előfizetésekhez és erőforráscsoportokhoz. Ezek a felhasználók ezután bejelentkezhetnek a Azure Portal a saját hitelesítő adataikkal, és dolgozhatnak azon az összes ügyfél erőforrásain, amelyekhez hozzáféréssel rendelkeznek. A felügyeleti bérlő felhasználói a Azure Portal Saját ügyfelek lapján tekinthetik meg ezeket az ügyfeleket. Az erőforrásokon közvetlenül az ügyfél előfizetésének kontextusában is dolgozhatnak, akár a Azure Portal, akár API-kon keresztül.

Az Azure Lighthouse rugalmasságot biztosít több ügyfél erőforrásainak kezeléséhez anélkül, hogy különböző bérlők különböző fiókjaiba kellene bejelentkeznie. Egy szolgáltatónak például két különböző felelősségi és hozzáférési szintű ügyfele lehet. Az Azure Lighthouse használatával a jogosult felhasználók bejelentkezhetnek a szolgáltató bérlőjéhez, és hozzáférhetnek az ügyfelek összes delegált erőforrásához az egyes delegálásokhoz hozzárendelt szerepköröknek megfelelően.

Két, egy szolgáltatói bérlőn keresztül felügyelt ügyfél erőforrásait bemutató ábra.

API-k és felügyeleti eszközök támogatása

Felügyeleti feladatokat végezhet a delegált erőforrásokon a Azure Portal, vagy használhat API-kat és felügyeleti eszközöket, például az Azure CLI-t és a Azure PowerShell. Minden meglévő API használható delegált erőforrásokon, ha a funkciók támogatottak a bérlők közötti felügyelethez, és a felhasználó rendelkezik a megfelelő engedélyekkel.

Az Azure PowerShell Get-AzSubscription parancsmag alapértelmezés szerint a TenantId bérlőt jeleníti meg. Az HomeTenantId egyes előfizetések és ManagedByTenantIds attribútumok segítségével megállapíthatja, hogy a visszaadott előfizetés egy felügyelt bérlőhöz vagy a felügyelt bérlőhöz tartozik-e.

Hasonlóképpen az Azure CLI-parancsok, például az az account list is megjelenítik a és managedByTenants az homeTenantId attribútumokat. Ha nem látja ezeket az értékeket az Azure CLI használatakor, próbálja meg törölni a gyorsítótárat a következő futtatásával az account clearaz login --identity: .

Az Azure REST API-ban az Előfizetések – Lekérés és előfizetések – Listázás parancsok a következők: ManagedByTenant.

Megjegyzés

Az Azure Lighthouse-hoz kapcsolódó bérlői információk mellett az ezen API-k által megjelenített bérlők az Azure Databricks vagy az Azure által felügyelt alkalmazások partnerbérlőit is tükrözhetik.

Olyan API-kat is biztosítunk, amelyek kifejezetten az Azure Lighthouse-feladatok végrehajtására vonatkoznak. További információ: Referencia szakasz.

Továbbfejlesztett szolgáltatások és forgatókönyvek

A legtöbb Azure-feladat és -szolgáltatás delegált erőforrásokkal használható a felügyelt bérlők között, feltéve, hogy a megfelelő szerepkörök meg vannak adva. Az alábbiakban néhány olyan kulcsfontosságú forgatókönyvet láthat, amelyekben a bérlők közötti felügyelet különösen hatékony lehet.

Azure Arc:

Azure Automation:

  • Automation-fiókok használata delegált erőforrások eléréséhez és használatához

Azure Backup:

Azure Blueprints:

  • Az Azure Blueprints használata az erőforrássablonok és egyéb összetevők üzembe helyezésének vezénylésére (az ügyfél-előfizetés előkészítéséhez további hozzáférés szükséges )

Azure Cost Management + Számlázás:

  • A csp-partnerek a felügyeleti bérlőből megtekinthetik, kezelhetik és elemezhetik az adózás előtti használat költségeit (a vásárlásokat nem beleértve) az Azure-csomagban lévő ügyfelek számára. A költség a kiskereskedelmi díjakon és az Azure szerepköralapú hozzáférés-vezérlési (Azure RBAC) hozzáférésen alapul, amelyet a partner az ügyfél előfizetéséhez használ. Jelenleg minden egyes ügyfél-előfizetéshez kiskereskedelmi áron tekintheti meg a használati költségeket az Azure RBAC-hozzáférés alapján.

Azure Key Vault:

  • Kulcstartók létrehozása az ügyfélbérlőkben
  • Kulcstartók létrehozása felügyelt identitással az ügyfélbérlőkben

Azure Kubernetes Service (AKS):

  • Üzemeltetett Kubernetes-környezetek kezelése, valamint tárolóalapú alkalmazások üzembe helyezése és kezelése az ügyfélbérlőkben
  • Fürtök üzembe helyezése és kezelése az ügyfélbérlőkben
  • A tárolókhoz készült Azure Monitor használata az ügyfélbérlők teljesítményének monitorozásához

Azure Migrate:

  • Migrálási projektek létrehozása az ügyfélbérlőben és virtuális gépek migrálása

Azure Monitor:

  • Delegált előfizetések riasztásainak megtekintése, az összes előfizetés riasztásainak megtekintésével és frissítésével
  • A delegált előfizetések tevékenységnapló-adatainak megtekintése
  • Naplóelemzés: Adatok lekérdezése több bérlő távoli munkaterületéről (vegye figyelembe, hogy az ügyfélbérlők munkaterületeiből származó adatok eléréséhez használt Automation-fiókokat ugyanabban a bérlőben kell létrehozni)
  • Riasztások létrehozása, megtekintése és kezelése az ügyfélbérlőkben
  • Riasztások létrehozása az ügyfélbérlőkben, amelyek automatizálást váltanak ki, például Azure Automation runbookokat vagy Azure Functions a bérlő kezelése webhookokon keresztül
  • Hozzon létre diagnosztikai beállításokat az ügyfélbérlőkben létrehozott munkaterületeken, hogy erőforrásnaplókat küldjön a felügyeleti bérlő munkaterületeinek
  • SAP számítási feladatok esetén az SAP Solutions-metrikák monitorozása az ügyfélbérlők összesített nézetével
  • A B2C Azure AD a bejelentkezési és naplózási naplókat különböző monitorozási megoldásokhoz irányíthatja

Azure-hálózatkezelés:

Azure Policy:

  • Szabályzatdefiníciók létrehozása és szerkesztése delegált előfizetésekben
  • Szabályzatdefiníciók és szabályzat-hozzárendelések üzembe helyezése több bérlőn
  • Ügyfél által definiált szabályzatdefiníciók hozzárendelése delegált előfizetéseken belül
  • Az ügyfelek a szolgáltató által létrehozott szabályzatokat látják a saját maguk által létrehozott szabályzatokkal együtt
  • Szervizelheti a deployIfNotExists parancsot, vagy módosíthatja a hozzárendeléseket a felügyelt bérlőn belül
  • Vegye figyelembe, hogy a nem megfelelő erőforrások megfelelőségi részleteinek megtekintése az ügyfélbérlőkben jelenleg nem támogatott

Azure Resource Graph:

  • Tekintse meg a bérlőazonosítót a visszaadott lekérdezési eredményekben, így megállapíthatja, hogy egy előfizetés felügyelt bérlőhöz tartozik-e

Azure Service Health:

  • Az ügyfélerőforrások állapotának monitorozása az Azure Resource Health
  • Az ügyfelek által használt Azure-szolgáltatások állapotának nyomon követése

Azure Site Recovery:

  • Azure-beli virtuális gépek vészhelyreállítási lehetőségeinek kezelése az ügyfélbérlőkben (vegye figyelembe, hogy a fiókok nem használhatók RunAs a virtuálisgép-bővítmények másolására)

Azure Virtual Machines:

  • Üzembe helyezés utáni konfigurációs és automatizálási feladatok biztosítása Azure-beli virtuális gépeken virtuálisgép-bővítmények használatával
  • Rendszerindítási diagnosztika használata az Azure-beli virtuális gépek hibaelhárításához
  • Virtuális gépek elérése soros konzollal
  • Virtuális gépek integrálása az Azure Key Vault jelszóval, titkos kóddal vagy titkosítási kulcsokkal a lemeztitkosításhoz a felügyelt identitás szabályzaton keresztüli használatával, biztosítva, hogy a titkos kulcsok egy Key Vault legyenek tárolva a felügyelt bérlőkben
  • Vegye figyelembe, hogy az Azure Active Directory nem használható virtuális gépekre való távoli bejelentkezéshez

Microsoft Defender a felhőhöz:

  • Bérlők közötti láthatóság
    • A biztonsági szabályzatok betartásának monitorozása és a biztonsági lefedettség biztosítása az összes bérlői erőforrásra
    • Folyamatos jogszabályi megfelelőség monitorozása több bérlő között egyetlen nézetben
    • Végrehajtható biztonsági javaslatok monitorozása, osztályozása és rangsorolása a biztonsági pontszám kiszámításával
  • Bérlők közötti biztonsági helyzet kezelése
    • Biztonsági szabályzatok kezelése
    • Olyan erőforrásokon végzett műveletek végrehajtása, amelyek nem felelnek meg a végrehajtható biztonsági javaslatoknak
    • Biztonsági adatok gyűjtése és tárolása
  • Bérlők közötti fenyegetésészlelés és -védelem
    • Fenyegetések észlelése a bérlők erőforrásai között
    • Speciális veszélyforrások elleni védelmi vezérlők, például igény szerinti (JIT) virtuálisgép-hozzáférés alkalmazása
    • Hálózati biztonsági csoport konfigurációjának megkonfigurálása adaptív hálózatkonfigurációval
    • Győződjön meg arról, hogy a kiszolgálók csak azokat az alkalmazásokat és folyamatokat futtatják, amelyeknek adaptív alkalmazásvezérlőkkel kell lenniük
    • Fontos fájlok és beállításjegyzék-bejegyzések változásainak monitorozása a fájlintegritási monitorozással (FIM)
  • Vegye figyelembe, hogy a teljes előfizetést delegálni kell a felügyeleti bérlőre; Microsoft Defender a felhőbeli forgatókönyvek nem támogatottak delegált erőforráscsoportokkal

Microsoft Sentinel:

Támogatási kérelmek:

Aktuális korlátozások

Az összes forgatókönyv esetében vegye figyelembe a következő jelenlegi korlátozásokat:

  • Az Azure Resource Manager által kezelt kérések az Azure Lighthouse használatával adhatók meg. A kérések URI-jának művelete a következővel https://management.azure.comkezdődik: . Az Azure Lighthouse azonban nem támogatja az erőforrástípus egy példánya által kezelt kéréseket (például Key Vault titkos kódokhoz való hozzáférést vagy táradat-hozzáférést). Az ilyen kérések műveleti URI-jai általában az Ön példányára jellemzően egyedi címmel kezdődnek, például https://myaccount.blob.core.windows.net vagy https://mykeyvault.vault.azure.net/. Az utóbbiak jellemzően adatműveletek, nem pedig felügyeleti műveletek.
  • A szerepkör-hozzárendeléseknek beépített Azure-szerepköröket kell használniuk. Az Azure Lighthouse jelenleg az összes beépített szerepkört támogatja, kivéve a Tulajdonos vagy az engedélyekkel rendelkező DataActions beépített szerepköröket. A Felhasználói hozzáférés rendszergazdája szerepkör csak korlátozottan használható a szerepkörök felügyelt identitásokhoz való hozzárendeléséhez. Az egyéni szerepkörök és a klasszikus előfizetési rendszergazdai szerepkörök nem támogatottak. További információ: Szerepkör-támogatás az Azure Lighthouse-hoz.
  • Az Azure Lighthouse-ból származó szerepkör-hozzárendelések nem jelennek meg a Access Control (IAM) vagy az olyan CLI-eszközökkel, mint például az role assignment lista . Ezek csak az Azure Lighthouse-ban láthatók a Delegálások szakaszban.
  • Az Azure Databrickset használó előfizetések előkészítésekor a bérlőt kezelő felhasználók nem tudják elindítani az Azure Databricks-munkaterületeket egy delegált előfizetésen.
  • Bár az erőforrás-zárolásokkal rendelkező előfizetéseket és erőforráscsoportokat előkészítheti, ezek a zárolások nem akadályozzák meg, hogy a felhasználók műveleteket hajtsanak végre a felügyeleti bérlőben. A rendszer által felügyelt erőforrásokat védő megtagadási hozzárendelések (rendszer által hozzárendelt megtagadási hozzárendelések), például az Azure által felügyelt alkalmazások vagy az Azure Blueprints által létrehozottak, megakadályozhatják, hogy a kezelő bérlő felhasználói ezekre az erőforrásokra járnak el. Az ügyfélbérlő felhasználói azonban nem hozhatnak létre saját megtagadási hozzárendeléseket.
  • Az előfizetések delegálása egy nemzeti felhőben és az Azure nyilvános felhőben, illetve két különálló nemzeti felhőben nem támogatott.

Következő lépések