Azure Lighthouse のしくみ
Azure Lighthouse は、サービス プロバイダーによる顧客のエンゲージメントとオンボードのエクスペリエンスを簡略化しながら、機敏かつ正確に委任されたリソースを大規模に管理する上で役立ちます。 承認されたユーザー、グループ、サービス プリンシパルは、顧客の Microsoft Entra テナントにアカウントを持っていない場合や、顧客のテナントの共同所有者になっていない場合でも、顧客のサブスクリプションのコンテキストで直接作業できます。 このアクセスをサポートするために使用されるメカニズムは、Azure の委任されたリソース管理と呼ばれます。
委任のしくみ
Azure の委任されたリソース管理では、あるテナントから別のテナントへのリソースの論理的な投影が作成されます。 これにより、認可されたサービス プロバイダーのユーザーは、委任された顧客サブスクリプションと、オンボーディング プロセス中に付与されたロールを持つリソース グループで作業するための認可を得て、自分のテナントにサインインできるようになります。 その後、サービス プロバイダーのテナント内にいるユーザーは、個々の顧客テナントにサインインしなくても、顧客に代わって管理操作を実行できるようになります。
次の図は、Contoso が Azure Lighthouse を通じて 2 人の顧客を管理する方法を示しています。 顧客 #1 の場合、Contoso ユーザーは 1 つのリソース グループにアクセスでき、さまざまな監視およびポリシー ガバナンス タスクを実行できるロールを持っています。 顧客 #2 は、いくつかのサブスクリプションとリソース グループを Contoso に委任し、委任されたすべてのスコープにわたって監視およびファイルの部分置換操作を実行できるロールを持っています。
プロセスの概要
Contoso などの管理テナントが顧客のオンボードと管理を行うために Azure Lighthouse がどのように機能するかを大まかに見てみましょう。
計画
Contoso は、顧客の Azure リソースに対して特定の管理タスクを実行するために必要なロールを特定します。 次に、テナント内のどのユーザー、グループ、サービス プリンシパルにそれらのロールを付与するかを決定します。 Contoso は、個人ではなくユーザー グループにロールを割り当てることで、アクセス要件が変更された場合に、顧客を再度オンボードすることなく、それらのグループから特定のメンバーを追加および削除できることに注目しています。
オンボード
顧客は、Contoso が提供する Azure Resource Manager テンプレートをデプロイすることによって、Azure Lighthouse にオンボードされます。 このテンプレートは、委任される顧客のスコープ (サブスクリプションやリソース グループ) を指定します。 また、Contoso のテナント内の特定のユーザー、グループ、サービス プリンシパル エンティティに付与されるアクセスも指定します。
または、Contoso は、顧客が受け入れる管理サービス オファーをコマーシャル マーケットプレースに公開することで、顧客をオンボードすることができます。
いずれの場合も、顧客がオンボードされると、顧客のテナントに登録定義と登録割り当てという 2 つのリソースが作成されます。
管理
顧客がオンボードされると、認可されたユーザーは Contoso テナントにサインインし、オンボーディング プロセス中に付与されたロールを使用して、指定された顧客スコープでタスクを実行します。 Azure Resource Manager は、顧客自身のテナント内のユーザーによって行われた要求の場合と同様に、Contoso テナント内のユーザーからの要求を認証します。 Azure Lighthouse によってアクセス権が付与された Contoso ユーザーの場合、Resource Manager は、登録定義と登録割り当てが顧客のテナントに存在していることを確認し、要求されたアクセスを許可します。
Contoso のテナント内のユーザーは、付与されたアクセスを使用して、個々の委任された顧客スコープで直接作業できます。 また、委任されたすべてのリソースにわたって共通のタスクを大規模に実行することもできます。
顧客は、Contoso によって行われたすべてのアクションをアクティビティ ログで確認できます。 また、いつでも Contoso のアクセスを削除できます。