Share via

Uso di Azure Lighthouse in scenari multi-tenant delle zone di destinazione di Azure

  • Articolo

Azure Lighthouse consente la gestione multi-tenant con scalabilità, automazione più elevata e governance avanzata tra le risorse. Azure Lighthouse può essere adottato in scenari di zona di destinazione di Azure in architetture a tenant singolo o multi-tenant.

Le considerazioni e le raccomandazioni seguenti descrivono scenari comuni per Azure Lighthouse nelle distribuzioni di zone di destinazione di Azure.

Considerazioni

  • Azure Lighthouse non è supportato nei cloud di Azure, ad esempio il cloud pubblico di Azure per Azure per enti pubblici cloud. Per altre informazioni, vedere Considerazioni tra aree e cloud.
  • Azure Lighthouse supporta le deleghe di sottoscrizioni o gruppi di risorse, non di gruppi di gestione o tenant. Per una soluzione per l'onboarding di più sottoscrizioni all'interno di un gruppo di gestione, vedere Onboarding di tutte le sottoscrizioni in un gruppo di gestione. Questo criterio segue il principio di progettazione delle zone di destinazione di Azure della governance basata su criteri.
  • Per informazioni sulle limitazioni del supporto dei ruoli con Azure Lighthouse, vedere Supporto dei ruoli per Azure Lighthouse.

Consigli

  • Vedere Azure Lighthouse in scenari aziendali.
  • Se si è un ISV, vedere Azure Lighthouse in scenari ISV.
  • Usare Azure Lighthouse in entrambe le direzioni tra i tenant di Microsoft Entra per semplificare le attività di gestione e ridurre scenari di autenticazione e autorizzazione complessi. Questa azione rimuove la dipendenza dagli account Microsoft Entra B2B (Guest) per le identità utente e carico di lavoro e rimuove la necessità di avere account separati per alcune attività.
  • Usare Microsoft Entra Privileged Identity Management (PIM) come parte delle deleghe di Azure Lighthouse. Per altre informazioni, vedere Creare autorizzazioni idonee.
    • Questa funzionalità richiede licenze microsoft Entra ID P2, ma solo dall'origine o dalla gestione del tenant di Microsoft Entra.

Scenario di zone di destinazione di Azure - Azure Lighthouse e DNS privato su larga scala

Il diagramma seguente è uno scenario di zona di destinazione di Azure in cui Azure Lighthouse viene usato in più tenant di Microsoft Entra per facilitare l'integrazione di collegamento privato e DNS.

Quando si usa Azure Lighthouse, Criteri di Azure per endpoint privati DNS privato Zona viene collegato automaticamente ai tenant di Microsoft Entra in spoke alle zone di DNS privato centralizzate nel tenant di Microsoft Entra dell'hub. Per altre informazioni, vedere integrazione di collegamento privato e DNS su larga scala.

Diagram of multiple Microsoft Entra tenants with Azure landing zones deployed using Azure Lighthouse in the Private DNS at scale scenario.

Quando si usa questa architettura, i proprietari della zona di destinazione dell'applicazione hanno accesso per apportare modifiche alla zona di DNS privato tramite le autorizzazioni di delega di Azure Lighthouse. Questo accesso è utile se viene usato un approccio diverso per gestire la configurazione DNS degli endpoint privati, anziché Criteri di Azure. Per altre informazioni, vedere integrazione di collegamento privato e DNS su larga scala.

Passaggi successivi

Considerazioni e consigli per scenari di zona di destinazione di Azure multi-tenant