Bagikan melalui


Azure Lighthouse dalam skenario perusahaan

Skenario umum untuk Azure Lighthouse melibatkan penyedia layanan yang mengelola sumber daya di penyewa Microsoft Entra pelanggannya. Kemampuan Azure Lighthouse juga dapat digunakan untuk menyederhanakan manajemen lintas penyewa dalam perusahaan yang menggunakan beberapa penyewa Microsoft Entra.

Penyewa tunggal vs. banyak

Untuk sebagian besar organisasi, manajemen lebih mudah dengan satu penyewa Microsoft Entra. Memiliki semua sumber daya dalam satu penyewa memungkinkan pemusatan tugas manajemen oleh pengguna, grup pengguna, atau prinsipal layanan yang ditunjuk dalam penyewa itu. Sebaiknya gunakan satu penyewa untuk organisasi Anda bila memungkinkan.

Beberapa organisasi mungkin perlu menggunakan beberapa penyewa Microsoft Entra. Ini mungkin situasi sementara, seperti ketika akuisisi telah terjadi dan strategi konsolidasi penyewa jangka panjang belum ditentukan. Di lain waktu, organisasi mungkin perlu mempertahankan beberapa penyewa secara berkelanjutan karena anak perusahaan yang sepenuhnya independen, persyaratan geografis atau hukum, atau pertimbangan lainnya.

Jika arsitektur multi penyewa diperlukan, Azure Lighthouse dapat membantu memusatkan dan merampingkan operasi manajemen. Dengan menggunakan Azure Lighthouse, pengguna dalam satu penyewa pengelola dapat melakukan fungsi pengelolaan lintas penyewa secara terpusat dan terskala.

Arsitektur manajemen penyewa

Untuk menggunakan Azure Lighthouse di perusahaan, Anda harus menentukan penyewa mana yang akan menyertakan pengguna yang melakukan operasi manajemen pada penyewa lain. Dengan kata lain, Anda perlu menunjuk satu penyewa sebagai penyewa pengelola untuk penyewa lainnya.

Misalnya, organisasi Anda memiliki satu penyewa yang akan kami panggil Penyewa A. Organisasi Anda kemudian memperoleh Penyewa B dan Penyewa C, dan Anda memiliki alasan bisnis yang mengharuskan Anda untuk mempertahankannya sebagai penyewa terpisah. Namun, Anda ingin menggunakan definisi kebijakan, praktik pencadangan, dan proses keamanan yang sama untuk semuanya, dengan tugas manajemen yang dilakukan oleh kumpulan pengguna yang sama.

Karena Penyewa A sudah menyertakan pengguna di organisasi Anda yang telah melakukan tugas tersebut untuk Penyewa A, Anda dapat mengaktifkan langganan dalam Penyewa B dan Penyewa C, yang memungkinkan pengguna yang sama di Penyewa A untuk melakukan tugas tersebut di semua penyewa.

Diagram yang menunjukkan pengguna di Penyewa A mengelola sumber daya di Penyewa B dan Penyewa C.

Pertimbangan keamanan dan akses

Dalam sebagian besar skenario perusahaan, Anda mungkin ingin mendelegasikan langganan penuh ke Azure Lighthouse. Anda juga dapat memilih untuk mendelegasikan hanya grup sumber daya tertentu dalam langganan.

Apa pun itu, pastikan untuk mengikuti prinsip hak istimewa paling sedikit ketika menentukan pengguna mana yang akan memiliki akses ke sumber daya yang didelegasikan. Melakukannya membantu memastikan bahwa pengguna hanya memiliki izin yang diperlukan untuk melakukan tugas yang diperlukan dan mengurangi kemungkinan kesalahan yang tidak disengaja.

Azure Lighthouse hanya menyediakan hubungan logis antara penyewa pengelola dan penyewa terkelola, daripada memindahkan data atau sumber daya secara fisik. Selain itu, akses selalu berjalan hanya dalam satu arah, dari penyewa pengelola hingga penyewa terkelola. Pengguna dan grup dalam penyewa pengelola harus menggunakan autentikasi multifaktor saat melakukan operasi manajemen pada sumber daya penyewa terkelola.

Perusahaan dengan tata kelola internal atau eksternal dan batasan kepatuhan dapat menggunakan Log Aktivitas Azure untuk memenuhi persyaratan transparansi mereka. Saat penyewa perusahaan telah menetapkan hubungan penyewa pengelola dan terkelola, pengguna di setiap penyewa dapat melihat aktivitas yang dicatat untuk melihat tindakan yang diambil oleh pengguna di penyewa pengelola.

Pertimbangan onboarding

Langganan (atau grup sumber daya dalam langganan) dapat di-onboard ke Azure Lighthouse baik dengan menyebarkan templat Azure Resource Manager atau melalui penawaran Layanan Terkelola yang dipublikasikan ke Azure Marketplace.

Karena pengguna perusahaan biasanya akan memiliki akses langsung ke penyewa perusahaan, dan tidak perlu memasarkan atau mempromosikan penawaran manajemen, biasanya lebih cepat dan lebih mudah untuk menyebarkan templat Azure Resource Manager. Sementara panduan orientasi mengacu pada penyedia layanan dan pelanggan, perusahaan dapat menggunakan proses yang sama untuk onboarding penyewa mereka.

Jika Anda mau, penyewa dalam perusahaan dapat bergabung dengan memublikasikan tawaran Layanan Terkelola ke Azure Marketplace. Untuk memastikan bahwa penawaran hanya tersedia untuk penyewa yang sesuai, pastikan paket Anda ditandai sebagai privat. Dengan paket privat, Anda memberikan ID langganan untuk setiap penyewa yang Anda rencanakan untuk bergabung, dan tidak ada orang lain yang bisa mendapatkan penawaran Anda.

Azure AD B2C

Azure Active Directory B2C (Azure AD B2C) menyediakan identitas bisnis ke pelanggan sebagai layanan. Saat mendelegasikan grup sumber daya melalui Azure Lighthouse, Anda dapat menggunakan Azure Monitor untuk merutekan log masuk dan audit Azure Active Directory B2C (Azure AD B2C) ke berbagai solusi pemantauan. Anda dapat mempertahankan log untuk penggunaan jangka panjang atau diintegrasikan dengan alat informasi keamanan dan manajemen peristiwa (SIEM) pihak ketiga untuk mendapatkan wawasan tentang lingkungan Anda.

Untuk informasi selengkapnya, lihat Memantau Azure AD B2C menggunakan Azure Monitor.

Catatan terminologi

Untuk manajemen lintas penyewa dalam perusahaan, referensi ke penyedia layanan dalam dokumentasi Azure Lighthouse dapat dipahami untuk disebarkan ke penyewa pengelola dalam perusahaan—yaitu, penyewa yang menyertakan pengguna yang akan mengelola sumber daya di penyewa lain melalui Azure Lighthouse. Demikian pula, setiap referensi kepada pelanggan dapat dipahami untuk diterapkan pada penyewa yang mendelegasikan sumber daya untuk dikelola melalui pengguna di penyewa pengelola.

Misalnya, dalam contoh yang dijelaskan di atas, Penyewa A dapat dianggap sebagai penyewa penyedia layanan (penyewa pengelola), lalu Penyewa B dan Penyewa C dapat dianggap sebagai penyewa pelanggan.

Melanjutkan contoh tersebut, pengguna Penyewa A dengan izin yang sesuai dapat melihat dan mengelola sumber daya yang didelegasikan di halaman Pelanggan saya di portal Azure. Demikian juga, pengguna Penyewa B dan Penyewa C dengan izin yang sesuai dapat melihat dan mengelola sumber daya yang telah didelegasikan kepada Penyewa A di halaman Penyedia layanan portal Azure.

Langkah berikutnya