Bagikan melalui

Penggunaan Azure Lighthouse di zona pendaratan Azure skenario multi-penyewa

  • Artikel

Azure Lighthouse memungkinkan manajemen multi-penyewa dengan skalabilitas, otomatisasi yang lebih tinggi, dan tata kelola yang ditingkatkan di seluruh sumber daya. Azure Lighthouse dapat diadopsi dalam skenario zona pendaratan Azure dalam arsitektur tunggal atau multi-penyewa.

Pertimbangan dan rekomendasi berikut menjelaskan skenario umum untuk Azure Lighthouse di penyebaran zona pendaratan Azure.

Pertimbangan

  • Azure Lighthouse tidak didukung di seluruh cloud Azure, seperti cloud publik Azure ke cloud Azure Government. Untuk informasi selengkapnya, lihat Pertimbangan lintas wilayah dan cloud.
  • Azure Lighthouse mendukung delegasi langganan atau grup sumber daya, bukan grup manajemen atau penyewa. Untuk solusi untuk onboarding beberapa langganan dalam grup manajemen, lihat Onboarding semua langganan dalam grup manajemen. Kebijakan ini mengikuti prinsip desain zona pendaratan Azure dari tata kelola berbasis kebijakan.
  • Untuk informasi tentang batasan dukungan peran dengan Azure Lighthouse, lihat Dukungan peran untuk Azure Lighthouse.

Rekomendasi

  • Lihat Azure Lighthouse dalam skenario perusahaan.
  • Jika Anda adalah ISV, lihat Azure Lighthouse dalam skenario ISV.
  • Gunakan Azure Lighthouse di kedua arah antara penyewa Microsoft Entra untuk menyederhanakan aktivitas manajemen dan mengurangi skenario autentikasi dan otorisasi yang kompleks. Tindakan ini menghapus keandalan pada akun Microsoft Entra B2B (Tamu) untuk identitas pengguna dan beban kerja, dan menghapus kebutuhan untuk memiliki akun terpisah untuk beberapa aktivitas.
  • Gunakan Microsoft Entra Privileged Identity Management (PIM) sebagai bagian dari delegasi Azure Lighthouse Anda. Untuk informasi selengkapnya, lihat Membuat autorisasi yang memenuhi syarat.
    • Fitur ini memerlukan lisensi Microsoft Entra ID P2 tetapi hanya dari sumber atau mengelola penyewa Microsoft Entra.

Skenario zona pendaratan Azure - Azure Lighthouse dan DNS Privat dalam skala besar

Diagram berikut adalah skenario zona pendaratan Azure di mana Azure Lighthouse digunakan di beberapa penyewa Microsoft Entra untuk membantu integrasi Private Link dan DNS.

Saat Anda menggunakan Azure Lighthouse, Azure Policy untuk Private Endpoints Private DNS Zone secara otomatis ditautkan dalam penyewa Microsoft Entra spoke ke Zona DNS Privat terpusat di penyewa Microsoft Entra hub . Untuk informasi selengkapnya, lihat Private Link dan integrasi DNS dalam skala besar.

Diagram of multiple Microsoft Entra tenants with Azure landing zones deployed using Azure Lighthouse in the Private DNS at scale scenario.

Saat Anda menggunakan arsitektur ini, pemilik zona pendaratan aplikasi memiliki akses untuk membuat perubahan pada Zona DNS Privat melalui otorisasi delegasi Azure Lighthouse. Akses ini berguna jika pendekatan yang berbeda digunakan untuk mengelola konfigurasi DNS Titik Akhir Privat, bukan Azure Policy. Untuk informasi selengkapnya, lihat Private Link dan integrasi DNS dalam skala besar.

Langkah berikutnya

Pertimbangan dan rekomendasi untuk skenario zona pendaratan Azure multi-penyewa