Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Skenario umum untuk Azure Lighthouse melibatkan penyedia layanan yang mengelola sumber daya di penyewa Microsoft Entra pelanggannya. Kemampuan Azure Lighthouse juga dapat digunakan untuk menyederhanakan manajemen lintas penyewa dalam perusahaan yang menggunakan beberapa penyewa Microsoft Entra. Dalam skenario ini, pengguna di salah satu penyewa perusahaan dapat melakukan tugas manajemen pada penyewa lain melalui Azure Lighthouse, tanpa mengharuskan penyedia layanan lain terlibat.
Penyewa tunggal vs. beberapa penyewa
Untuk sebagian besar organisasi, manajemen lebih mudah dengan satu penyewa Microsoft Entra. Memiliki semua sumber daya dalam satu penyewa memungkinkan pemusatan tugas manajemen oleh pengguna, grup pengguna, atau perwakilan layanan yang ditunjuk dalam penyewa tersebut. Sebaiknya gunakan satu penyewa untuk organisasi Anda jika memungkinkan.
Beberapa organisasi mungkin perlu menggunakan beberapa tenant Microsoft Entra. Ini mungkin situasi sementara, seperti ketika akuisisi telah terjadi dan strategi konsolidasi penyewa jangka panjang belum ditentukan. Di lain waktu, organisasi mungkin perlu mempertahankan beberapa penyewa secara berkelanjutan karena anak perusahaan yang sepenuhnya independen, persyaratan geografis atau hukum, atau pertimbangan lainnya.
Dalam kasus di mana arsitektur multipenyewa diperlukan, Azure Lighthouse dapat membantu memusatkan dan menyederhanakan operasi manajemen. Dengan memanfaatkan Azure Lighthouse, pengguna di dalam satu penyewa yang mengelola dapat melakukan fungsi manajemen lintas penyewa dengan cara yang terpusat dan berskala.
Arsitektur manajemen penyewa
Untuk menggunakan Azure Lighthouse di perusahaan, Anda perlu menentukan penyewa mana yang akan menyertakan pengguna yang melakukan operasi manajemen pada penyewa lain. Dengan kata lain, Anda menunjuk satu penyewa sebagai penyewa pengelola untuk penyewa lain.
Misalnya, organisasi Anda memiliki satu penyewa yang akan kami panggil Penyewa A. Organisasi Anda kemudian memperoleh Penyewa B dan Penyewa C, dan Anda memiliki alasan bisnis yang mengharuskan Anda untuk mempertahankannya sebagai penyewa terpisah. Namun, Anda ingin menggunakan definisi kebijakan, praktik pencadangan, dan proses keamanan yang sama untuk semuanya, dengan tugas manajemen yang dilakukan oleh sekumpulan pengguna yang sama.
Karena Penyewa A sudah menyertakan pengguna di organisasi Anda yang telah melakukan tugas tersebut untuk Penyewa A, Anda dapat menetapkan Penyewa A sebagai penyewa manajemen. Kemudian Anda dapat memulai langganan dalam Penyewa B dan Penyewa C agar dapat didelegasikan ke Penyewa A. Selama proses memulai, Anda membuat otorisasi yang memberikan izin kepada pengguna di Penyewa A, memungkinkan mereka untuk melakukan tugas-tugas manajemen di dalam Penyewa B dan Penyewa C.
Pertimbangan keamanan dan akses
Dalam sebagian besar skenario perusahaan, Anda mungkin ingin mendelegasikan langganan lengkap ke Azure Lighthouse. Anda juga dapat memilih untuk mendelegasikan hanya grup sumber daya tertentu dalam langganan.
Bagaimanapun, pastikan untuk mengikuti prinsip hak istimewa paling sedikit saat menentukan pengguna mana yang dapat mengakses sumber daya yang didelegasikan. Melakukannya membantu memastikan bahwa pengguna hanya memiliki izin yang diperlukan untuk melakukan tugas yang diperlukan dan mengurangi kemungkinan kesalahan yang tidak disengaja.
Azure Lighthouse hanya menyediakan tautan logis antara penyewa yang mengelola dan yang dikelola, bukan memindahkan data atau sumber daya secara fisik. Selain itu, akses selalu hanya dalam satu arah, dari penyewa manajer ke penyewa yang dikelola. Pengguna dan grup dalam penyewa pengelola harus menggunakan autentikasi multifaktor saat melakukan operasi manajemen pada sumber daya penyewa terkelola.
Perusahaan dengan pagar pembatas tata kelola dan kepatuhan internal atau eksternal dapat menggunakan log Aktivitas Azure untuk memenuhi persyaratan transparansinya. Saat perusahaan membangun pengelolaan dan hubungan penyewa terkelola, pengguna di setiap penyewa dapat melihat aktivitas yang dicatat untuk melihat tindakan yang diambil oleh pengguna di penyewa pengelola.
Untuk mengetahui informasi selengkapnya, lihat Praktik keamanan yang disarankan.
Pertimbangan onboarding
Langganan (atau grup sumber daya dalam langganan) dapat di-onboard ke Azure Lighthouse baik dengan menyebarkan templat Azure Resource Manager atau melalui penawaran Layanan Terkelola yang diterbitkan ke Azure Marketplace.
Karena pengguna perusahaan biasanya memiliki akses langsung ke penyewa perusahaan, dan tidak perlu memarkan atau mempromosikan penawaran manajemen, biasanya lebih cepat dan lebih mudah untuk menyebarkan templat Azure Resource Manager. Meskipun panduan orientasi mengacu pada penyedia layanan dan pelanggan, perusahaan dapat menggunakan proses yang sama untuk onboarding penyewa mereka.
Jika mau, penyewa dalam perusahaan dapat di-onboarding dengan menerbitkan penawaran Layanan Terkelola ke Marketplace Azure. Untuk memastikan bahwa penawaran hanya tersedia untuk penyewa yang sesuai, pastikan paket Anda diatur ke privat. Dengan paket privat, Anda menyediakan ID langganan untuk setiap penyewa yang Anda rencanakan untuk onboarding, dan tidak ada orang lain yang akan bisa mendapatkan penawaran Anda.
Microsoft Entra ID Eksternal
MICROSOFT Entra External ID menyediakan identitas bisnis-ke-pelanggan sebagai layanan. Saat mendelegasikan grup sumber daya melalui Azure Lighthouse, Anda dapat menggunakan Azure Monitor untuk merutekan log masuk dan audit ID Eksternal Microsoft Entra ke solusi pemantauan yang berbeda. Anda dapat menyimpan log untuk penggunaan jangka panjang, atau berintegrasi dengan alat informasi keamanan dan manajemen peristiwa (SIEM) pihak ketiga untuk mendapatkan wawasan tentang lingkungan Anda.
Untuk informasi selengkapnya, lihat Menyiapkan Azure Monitor di penyewa eksternal.
Catatan terminologi
Untuk manajemen lintas penyewa dalam perusahaan, referensi ke penyedia layanan dalam dokumentasi Azure Lighthouse dapat dipahami untuk diterapkan ke penyewa pengelola dalam perusahaan—yaitu, penyewa yang menyertakan pengguna yang akan mengelola sumber daya di penyewa lain melalui Azure Lighthouse. Demikian pula, setiap referensi kepada pelanggan dapat dipahami berlaku bagi penyewa yang mendelegasikan sumber daya untuk dikelola melalui pengguna di penyewa yang mengelola.
Misalnya, dalam contoh yang dijelaskan di atas, Penyewa A dapat dianggap sebagai penyewa penyedia layanan (penyewa pengelola) dan Penyewa B dan Penyewa C dapat dianggap sebagai penyewa pelanggan.
Melanjutkan dengan contoh tersebut, Pengguna Penyewa A dengan izin yang sesuai dapat melihat dan mengelola sumber daya yang didelegasikan di halaman Pelanggan saya di portal Microsoft Azure. Demikian juga, pengguna Penyewa B dan Penyewa C dengan izin yang sesuai dapat melihat dan mengelola detail tentang delegasi mereka di halaman Penyedia layanan portal Microsoft Azure.
Langkah selanjutnya
- Jelajahi opsi untuk organisasi sumber daya dalam arsitektur multipenyewa.
- Pelajari tentang pengalaman manajemen lintas penyewa.
- Pelajari selengkapnya tentang cara kerja Azure Lighthouse.