ISV シナリオにおける Azure Lighthouse

  • [アーティクル]

Azure Lighthouse の通常のシナリオでは、顧客の Microsoft Entra テナント内のリソースを管理するサービス プロバイダーが関与します。 ただし、Azure Lighthouse の機能は、SaaS ベースのオファリングを顧客と使用する、独立系ソフトウェア ベンダー (ISV) が使用することもできます。 Azure Lighthouse は、サブスクリプションのスコープへのアクセスを必要とする管理されたサービスまたはサポートを提供する ISV で特に役立ちます。

Azure Marketplace のマネージド サービス オファー

ISV は、Azure Marketplace にソリューションを既に発行している可能性があります。 マネージド サービスを顧客に提供する場合は、マネージド サービス オファーを発行することによってそれを行うことができます。 これらのオファーによって、オンボード プロセスが効率化され、必要とされる顧客の数に応じてサービスをさらに拡張できます。 Azure Lighthouse では、さまざまな管理タスクとシナリオがサポートされており、顧客に価値を提供するためにそれらを使用できます。

詳細については、「Azure Marketplace にマネージド サービス オファーを発行する」を参照してください。

Azure Lighthouse を Azure Managed Applications とともに使用する

Azure Managed Applications は、ISV が顧客にサービスを提供できるもう 1 つの方法です。 Azure Lighthouse を Azure Managed Applications と共に使用することで、拡張されたシナリオを実現できます。

詳細については、「Azure Lighthouse と Azure Managed Applications」を参照してください。

SaaS ベースのマルチテナント オファリング

その他のシナリオとして、ISV 自身のテナントのサブスクリプションでリソースをホストし、Azure Lighthouse を使用して、顧客をこれら特定のリソースにアクセスできるようにする場合があります。 このアクセスが付与されると、顧客はこのテナントにログインし、必要に応じてリソースにアクセスできます。 ISV は自身の IP を独自のテナントに保持するため、顧客のプランではなく独自のサポート プランを使用して、そのテナントでホストされているソリューションに関連したチケットを作成できます。 リソースは ISV のテナント内にあるため、ISV がすべてのアクションを直接実行できます (VM へのログイン、アプリのインストール、メンテナンス タスクの実行など)。

このシナリオでは、顧客は ISV のリソースを管理していませんが、顧客のテナントのユーザーには基本的に "テナント管理" としてのアクセス権が付与されます。 顧客は ISV のテナントに直接アクセスしているため、顧客がソリューションや他の ISV リソースを誤って変更できないように、必要最小限のアクセス許可のみを付与することが重要です。

このアーキテクチャを有効にするには、ISV は顧客の Microsoft Entra テナントにあるユーザー グループのオブジェクト ID とテナント ID を取得する必要があります。 その後、ISV は、このユーザー グループに適切なアクセス許可を付与する ARM テンプレートを作成して、顧客がアクセスするリソースを含む ISV のサブスクリプションにデプロイします。

次のステップ