Azure Lighthouse-gebruik in Scenario's met meerdere tenants in Azure-landingszones

  • Artikel

Azure Lighthouse maakt beheer met meerdere tenants mogelijk met schaalbaarheid, hogere automatisering en verbeterde governance tussen resources. Azure Lighthouse kan worden gebruikt in azure-landingszonescenario's in architecturen met één of meerdere tenants.

In de volgende overwegingen en aanbevelingen worden veelvoorkomende scenario's beschreven voor Implementaties van Azure Lighthouse in Azure-landingszones.

Overwegingen

  • Azure Lighthouse wordt niet ondersteund in Azure-clouds, zoals de openbare Azure-cloud naar de Azure Government-cloud. Zie Overwegingen voor meerdere regio's en clouds voor meer informatie.
  • Azure Lighthouse biedt ondersteuning voor delegaties van abonnementen of resourcegroepen, niet voor beheergroepen of tenants. Zie Alle abonnementen in een beheergroep onboarden voor een oplossing voor het onboarden van meerdere abonnementen binnen een beheergroep. Dit beleid volgt het ontwerpprincipe voor Azure-landingszones van beleidgestuurde governance.
  • Zie Rolondersteuning voor Azure Lighthouse voor informatie over de beperkingen van rolondersteuning met Azure Lighthouse.

Aanbevelingen

  • Zie Azure Lighthouse in bedrijfsscenario's.
  • Als u een ISV bent, raadpleegt u Azure Lighthouse in ISV-scenario's.
  • Gebruik Azure Lighthouse in beide richtingen tussen Microsoft Entra-tenants om beheeractiviteiten te vereenvoudigen en complexe verificatie- en autorisatiescenario's te verminderen. Met deze actie wordt de afhankelijkheid van Microsoft Entra B2B-accounts (gastaccounts) voor gebruikers- en workloadidentiteiten verwijderd en wordt de noodzaak om afzonderlijke accounts voor sommige activiteiten te hebben verwijderd.
  • Gebruik Microsoft Entra Privileged Identity Management (PIM) als onderdeel van uw Azure Lighthouse-delegaties. Zie In aanmerking komende autorisaties maken voor meer informatie.
    • Voor deze functie is Microsoft Entra ID P2-licentieverlening vereist, maar alleen vanuit de bron of het beheren van de Microsoft Entra-tenant.

Scenario met Azure-landingszones - Azure Lighthouse en Privé-DNS op schaal

Het volgende diagram is een Azure-landingszonescenario waarin Azure Lighthouse wordt gebruikt in meerdere Microsoft Entra-tenants om te helpen bij private link- en DNS-integratie.

Wanneer u Azure Lighthouse gebruikt, wordt Azure Policy voor privé-eindpunten Privé-DNS Zone automatisch gekoppeld in spoke Microsoft Entra-tenants aan de gecentraliseerde Privé-DNS Zones in de Hub Microsoft Entra-tenant. Zie Private Link en DNS-integratie op schaal voor meer informatie.

Diagram of multiple Microsoft Entra tenants with Azure landing zones deployed using Azure Lighthouse in the Private DNS at scale scenario.

Wanneer u deze architectuur gebruikt, hebben eigenaren van toepassingslandingszones toegang om wijzigingen aan te brengen in Privé-DNS Zone via Azure Lighthouse-delegatieautorisaties. Deze toegang is handig als een andere benadering wordt gebruikt voor het beheren van de DNS-configuratie van privé-eindpunten in plaats van Azure Policy. Zie Private Link en DNS-integratie op schaal voor meer informatie.

Volgende stappen

Overwegingen en aanbevelingen voor azure-landingszonescenario's met meerdere tenants