Esperienze di gestione tra tenant
In qualità di provider di servizi, è possibile usare Azure Lighthouse per gestire le risorse di Azure dei clienti dall'interno del proprio tenant di Microsoft Entra. Molte attività e servizi comuni possono essere eseguite in questi tenant gestiti.
Suggerimento
Azure Lighthouse può anche essere usato all'interno di un'azienda che dispone di più tenant Di Microsoft Entra propri per semplificare l'amministrazione tra tenant.
Informazioni sui tenant e sulla delega
Un tenant di Microsoft Entra è una rappresentazione di un'organizzazione. Si tratta di un'istanza dedicata dell'ID Microsoft Entra che un'organizzazione riceve quando crea una relazione con Microsoft iscrivendosi ad Azure, Microsoft 365 o ad altri servizi. Ogni tenant di Microsoft Entra è distinto e separato da altri tenant di Microsoft Entra e ha il proprio ID tenant (GUID). Per altre informazioni, vedere Che cos'è Microsoft Entra ID?
In genere, per gestire le risorse di Azure per un cliente, i provider di servizi devono accedere al portale di Azure usando un account associato al tenant del cliente. In questo scenario, un amministratore nel tenant del cliente deve creare e gestire gli account utente per il provider di servizi.
Con Azure Lighthouse, il processo di onboarding specifica gli utenti nel tenant del provider di servizi a cui sono assegnati ruoli alle sottoscrizioni delegate e ai gruppi di risorse nel tenant del cliente. Questi utenti possono quindi accedere al portale di Azure, usando le proprie credenziali e lavorare sulle risorse appartenenti a tutti i clienti a cui hanno accesso. Gli utenti nel tenant di gestione possono visualizzare tutti questi clienti visitando la pagina Clienti personali nella portale di Azure. Possono anche lavorare sulle risorse direttamente all'interno del contesto della sottoscrizione del cliente, nel portale di Azure o tramite API.
Azure Lighthouse offre flessibilità per gestire le risorse per più clienti senza dover accedere a account diversi in tenant diversi. Un provider di servizi, ad esempio, può avere due clienti, con responsabilità e livelli di accesso diversi. Usando Azure Lighthouse, gli utenti autorizzati possono accedere al tenant del provider di servizi e accedere a tutte le risorse delegate tra questi clienti, in base ai ruoli assegnati per ogni delega.
Supporto delle API e degli strumenti di gestione
È possibile eseguire attività di gestione sulle risorse delegate nella portale di Azure oppure è possibile usare API e strumenti di gestione come l'interfaccia della riga di comando di Azure e Azure PowerShell. Tutte le API esistenti possono essere usate nelle risorse delegate, purché la funzionalità sia supportata per la gestione tra tenant e l'utente disponga delle autorizzazioni appropriate.
Il cmdlet Get-AzSubscription di Azure PowerShell mostra per impostazione predefinita per TenantId
il tenant di gestione. Gli HomeTenantId
attributi e ManagedByTenantIds
per ogni sottoscrizione consentono di identificare se una sottoscrizione restituita appartiene a un tenant gestito o al tenant di gestione.
Analogamente, i comandi dell'interfaccia della riga di comando di Azure, ad esempio az account list , mostrano gli homeTenantId
attributi e managedByTenants
. Se, quando si usa l'interfaccia della riga di comando di Azure, questi valori non vengono visualizzati, provare a cancellare la cache eseguendo az account clear
seguito da az login --identity
.
Nell'API REST di Azure, i comandi Subscriptions - Get and Subscriptions - List includono ManagedByTenant
.
Nota
Oltre alle informazioni sul tenant correlate ad Azure Lighthouse, i tenant mostrati da queste API possono anche riflettere i tenant partner per Azure Databricks o le applicazioni gestite di Azure.
Vengono fornite anche API specifiche per l'esecuzione di attività di Azure Lighthouse. Per altre informazioni, vedere la sezione Riferimento.
Scenari e servizi avanzati
La maggior parte delle attività e dei servizi di Azure può essere usata con risorse delegate tra tenant gestiti, presupponendo che vengano concessi i ruoli appropriati. Di seguito sono riportati alcuni degli scenari principali in cui la gestione tra tenant può essere particolarmente efficace.
- Gestire i server ibridi su larga scala - Server abilitati per Azure Arc:
- Eseguire l'onboarding dei server per le sottoscrizioni dei clienti delegate e/o i gruppi di risorse in Azure
- Gestire computer Windows Server o Linux esterni ad Azure connessi a sottoscrizioni delegate
- Gestire computer connessi usando costrutti di Azure, ad esempio Criteri di Azure e assegnazione di tag
- Assicurarsi che lo stesso set di criteri venga applicato negli ambienti ibridi dei clienti
- Usare Microsoft Defender per il cloud per monitorare la conformità tra gli ambienti ibridi dei clienti
- Gestire cluster Kubernetes ibridi su larga scala - Kubernetes abilitato per Azure Arc:
- Connessione cluster Kubernetes a sottoscrizioni delegate e/o gruppi di risorse
- Usare GitOps per distribuire configurazioni ai cluster connessi
- Eseguire attività di gestione, ad esempio l'applicazione di criteri nei cluster connessi
- Usare gli account di Automazione per accedere e usare le risorse delegate
- Eseguire il backup e il ripristino dei dati dei clienti da carichi di lavoro locali, macchine virtuali di Azure, condivisioni file di Azure e altro ancora
- Visualizzare i dati per tutte le risorse dei clienti delegate nel Centro backup
- Usare l'Explorer di Backup per visualizzare le informazioni operative degli elementi di backup (incluse le risorse di Azure non ancora configurate per il backup) e le informazioni di monitoraggio (processi e avvisi) per le sottoscrizioni delegate. L'Explorer di Backup è attualmente disponibile solo per i dati delle macchine virtuali di Azure.
- Usare i report di backup tra sottoscrizioni delegate per tenere traccia delle tendenze cronologiche, analizzare l'utilizzo dell'archiviazione di backup e controllare i backup e i ripristini.
- Usare Azure Blueprints per orchestrare la distribuzione di modelli di risorse e altri artefatti (richiede un accesso aggiuntivo per preparare la sottoscrizione del cliente)
Gestione costi e fatturazione di Azure:
- Dal tenant di gestione, i partner CSP possono visualizzare, gestire e analizzare i costi di consumo pre-imposta (non inclusi gli acquisti) per i clienti che si trovano nel piano di Azure. Il costo è basato sulle tariffe al dettaglio e sull'accesso al controllo degli accessi in base al ruolo di Azure che il partner ha per la sottoscrizione del cliente. Attualmente, è possibile visualizzare i costi di consumo a tariffe di vendita al dettaglio per ogni singola sottoscrizione del cliente in base al controllo degli accessi in base al ruolo di Azure.
- Creare insiemi di credenziali delle chiavi nei tenant dei clienti
- Usare un'identità gestita per creare insiemi di credenziali delle chiavi nei tenant dei clienti
Servizio Azure Kubernetes (AKS):
- Gestire gli ambienti Kubernetes ospitati e distribuire e gestire le applicazioni in contenitori nei tenant dei clienti
- Distribuire e gestire cluster nei tenant dei clienti
- Usare Monitoraggio di Azure per i contenitori per monitorare le prestazioni nei tenant dei clienti
- Creare progetti di migrazione nel tenant del cliente ed eseguire la migrazione di macchine virtuali
- Visualizzare gli avvisi per le sottoscrizioni delegate, con la possibilità di visualizzare e aggiornare gli avvisi in tutte le sottoscrizioni
- Visualizzare i dettagli del log attività per le sottoscrizioni delegate
- Log Analytics: eseguire query sui dati da aree di lavoro remote in più tenant (si noti che gli account di automazione usati per accedere ai dati dalle aree di lavoro nei tenant dei clienti devono essere creati nello stesso tenant)
- Creare, visualizzare e gestire gli avvisi nei tenant dei clienti
- Creare avvisi nei tenant dei clienti che attivano l'automazione, ad esempio Automazione di Azure runbook o Funzioni di Azure, nel tenant di gestione tramite webhook
- Creare le impostazioni di diagnostica nelle aree di lavoro create nei tenant dei clienti per inviare i log delle risorse alle aree di lavoro nel tenant di gestione
- Per i carichi di lavoro SAP, monitorare le metriche delle soluzioni SAP con una visualizzazione aggregata nei tenant dei clienti
- Per Azure AD B2C, indirizzare i log di accesso e controllo a diverse soluzioni di monitoraggio
- Distribuire e gestire schede di interfaccia di rete virtuale e di Rete virtuale di Azure all'interno di tenant gestiti
- Distribuire e configurare il Firewall di Azure per proteggere le risorse della rete virtuale dei clienti
- Gestire servizi di connettività come Azure rete WAN virtuale, Azure ExpressRoute e Gateway VPN
- Usare Azure Lighthouse per supportare gli scenari principali per il programma Rete di Azure MSP
- Creare e modificare le definizioni dei criteri nelle sottoscrizioni delegate
- Distribuire definizioni di criteri e assegnazioni di criteri in più tenant
- Assegnare definizioni di criteri definite dal cliente nelle sottoscrizioni delegate
- I clienti visualizzano i criteri creati dal provider di servizi insieme ai criteri che hanno creato personalmente
- Può correggere deployIfNotExists o modificare le assegnazioni all'interno del tenant gestito
- Si noti che la visualizzazione dei dettagli di conformità per le risorse non conformi nei tenant dei clienti non è attualmente supportata
- Vedere l'ID tenant nei risultati delle query restituiti, consentendo di identificare se una sottoscrizione appartiene a un tenant gestito
Integrità dei servizi di Azure:
- Monitorare l'integrità delle risorse dei clienti con Integrità risorse di Azure
- Tenere traccia dell'integrità dei servizi di Azure usati dai clienti
- Gestire le opzioni di ripristino di emergenza per le macchine virtuali di Azure nei tenant dei clienti (si noti che non è possibile usare
RunAs
gli account per copiare le estensioni della macchina virtuale)
- Usare le estensioni macchina virtuale per fornire attività di configurazione e automazione post-distribuzione nelle macchine virtuali di Azure
- Usare la diagnostica di avvio per risolvere i problemi delle macchine virtuali di Azure
- Accedere alle macchine virtuali con la console seriale
- Integrare le macchine virtuali con Azure Key Vault per password, segreti o chiavi crittografiche per la crittografia del disco usando l'identità gestita tramite criteri, assicurandosi che i segreti vengano archiviati in un insieme di credenziali delle chiavi nei tenant gestiti
- Si noti che non è possibile usare l'ID Microsoft Entra per l'accesso remoto alle macchine virtuali
Microsoft Defender per il cloud:
- Visibilità tra tenant
- Monitorare la conformità ai criteri di sicurezza e garantire la copertura della sicurezza tra tutte le risorse dei tenant
- Monitoraggio continuo della conformità alle normative in più tenant in un'unica visualizzazione
- Monitorare, valutare e classificare in ordine di priorità le raccomandazioni sulla sicurezza di utilità pratica con il calcolo del punteggio di sicurezza
- Gestione del comportamento di sicurezza tra tenant
- Gestire i criteri di sicurezza
- Intervenire sulle risorse non conformi alle raccomandazioni sulla sicurezza di utilità pratica
- Raccogliere e archiviare i dati relativi alla sicurezza
- Rilevamento e protezione delle minacce tra tenant
- Rilevare le minacce nelle risorse dei tenant
- Applicare controlli avanzati di protezione dalle minacce, ad esempio l'accesso JIT alle macchine virtuali
- Rafforzare la configurazione dei gruppi di sicurezza di rete con Protezione avanzata adattiva per la rete
- Assicurarsi che i server eseguano solo le applicazioni e i processi che devono eseguire con i controlli applicazione adattivi
- Monitorare le modifiche apportate a file e voci del Registro di sistema importanti con Monitoraggio dell'integrità dei file
- Si noti che l'intera sottoscrizione deve essere delegata al tenant di gestione; Microsoft Defender per il cloud scenari non sono supportati con i gruppi di risorse delegati
- Gestire le risorse di Microsoft Sentinel nei tenant dei clienti
- Tenere traccia degli attacchi e visualizzare gli avvisi di sicurezza in più tenant
- Visualizzare gli eventi imprevisti in più aree di lavoro di Microsoft Sentinel distribuite tra tenant
Richieste di supporto:
- Aprire le richieste di supporto dalla Guida e dal supporto nella portale di Azure per le risorse delegate (selezionando il piano di supporto disponibile per l'ambito delegato)
- Usare l'API Quota di Azure per visualizzare e gestire le quote dei servizi di Azure per le risorse dei clienti delegate
Limitazioni correnti
Con tutti gli scenari, tenere presente le limitazioni correnti seguenti:
- Le richieste gestite da Azure Resource Manager possono essere eseguite tramite Azure Lighthouse. Gli URI delle operazioni per queste richieste iniziano con
https://management.azure.com
. Tuttavia, le richieste gestite da un'istanza di un tipo di risorsa ,ad esempio l'accesso ai segreti di Key Vault o l'accesso ai dati di archiviazione, non sono supportate con Azure Lighthouse. Gli URI delle operazioni per queste richieste iniziano in genere con un indirizzo univoco per l'istanza, ad esempiohttps://myaccount.blob.core.windows.net
ohttps://mykeyvault.vault.azure.net/
. Questi ultimi sono in genere operazioni sui dati anziché operazioni di gestione. - Le assegnazioni di ruolo devono usare i ruoli predefiniti di Azure. Tutti i ruoli predefiniti sono attualmente supportati con Azure Lighthouse, ad eccezione del proprietario o di qualsiasi ruolo predefinito con
DataActions
autorizzazione. Il ruolo Amministratore Accesso utenti è supportato solo per uso limitato nell'assegnazione di ruoli a identità gestite. I ruoli personalizzati e i ruoli di amministratore della sottoscrizione classica non sono supportati. Per altre informazioni, vedere Supporto dei ruoli per Azure Lighthouse. - Per gli utenti nel tenant gestito, le assegnazioni di ruolo effettuate tramite Azure Lighthouse non vengono visualizzate in Controllo di accesso (IAM) o con strumenti dell'interfaccia della riga di comando come
az role assignment list
. Queste assegnazioni sono visibili solo nella portale di Azure nella sezione Delega di Azure Lighthouse o tramite l'API di Azure Lighthouse. - Anche se è possibile eseguire l'onboarding di sottoscrizioni che usano Azure Databricks, gli utenti nel tenant di gestione non possono avviare aree di lavoro di Azure Databricks in una sottoscrizione delegata.
- Anche se è possibile eseguire l'onboarding di sottoscrizioni e gruppi di risorse con blocchi delle risorse, tali blocchi non impediscono l'esecuzione di azioni da parte degli utenti nel tenant di gestione. Negare le assegnazioni che proteggono le risorse gestite dal sistema (assegnazioni di rifiuto assegnate dal sistema), ad esempio quelle create da applicazioni gestite di Azure o Azure Blueprints, impediscono agli utenti del tenant di gestire tali risorse. Tuttavia, gli utenti nel tenant del cliente non possono creare assegnazioni di rifiuto personalizzate.
- La delega delle sottoscrizioni in un cloud nazionale e nel cloud pubblico di Azure o in due cloud nazionali separati non è supportata.
Passaggi successivi
- Eseguire l'onboarding dei clienti in Azure Lighthouse usando modelli di Azure Resource Manager o pubblicando un'offerta di servizi gestiti privati o pubblici in Azure Marketplace.
- Visualizzare e gestire i clienti passando a Clienti personali nel portale di Azure.
- Altre informazioni sull'architettura di Azure Lighthouse.