Środowiska zarządzania wieloma dzierżawami

Jako dostawca usług możesz użyć usługi Azure Lighthouse do zarządzania zasobami platformy Azure klientów z poziomu własnej dzierżawy firmy Microsoft Entra. W tych zarządzanych dzierżawach można wykonywać wiele typowych zadań i usług.

Napiwek

Usługa Azure Lighthouse może być również używana w przedsiębiorstwie, które ma wiele własnych dzierżaw firmy Microsoft Entra, aby uprościć administrację między dzierżawami.

Opis dzierżaw i delegowania

Dzierżawa firmy Microsoft Entra jest reprezentacją organizacji. Jest to dedykowane wystąpienie identyfikatora Entra firmy Microsoft, które organizacja otrzymuje podczas tworzenia relacji z firmą Microsoft, tworząc konto na platformie Azure, platformie Microsoft 365 lub innych usługach. Każda dzierżawa firmy Microsoft Entra jest odrębna i oddzielona od innych dzierżaw firmy Microsoft Entra i ma własny identyfikator dzierżawy (identyfikator GUID). Aby uzyskać więcej informacji, zobacz Co to jest identyfikator Entra firmy Microsoft?

Zazwyczaj aby zarządzać zasobami platformy Azure dla klienta, dostawcy usług muszą zalogować się do witryny Azure Portal przy użyciu konta skojarzonego z dzierżawą tego klienta. W tym scenariuszu administrator w dzierżawie klienta musi tworzyć konta użytkowników dla dostawcy usług i zarządzać nimi.

W usłudze Azure Lighthouse proces dołączania określa użytkowników w dzierżawie dostawcy usług, którzy mają przypisane role do delegowanych subskrypcji i grup zasobów w dzierżawie klienta. Ci użytkownicy mogą następnie zalogować się do witryny Azure Portal przy użyciu własnych poświadczeń i pracować nad zasobami należącymi do wszystkich klientów, do których mają dostęp. Użytkownicy w dzierżawie zarządzającej mogą zobaczyć wszystkich tych klientów, odwiedzając stronę Moje klienci w witrynie Azure Portal. Mogą również pracować nad zasobami bezpośrednio w kontekście subskrypcji tego klienta w witrynie Azure Portal lub za pośrednictwem interfejsów API.

Usługa Azure Lighthouse zapewnia elastyczność zarządzania zasobami dla wielu klientów bez konieczności logowania się do różnych kont w różnych dzierżawach. Na przykład dostawca usług może mieć dwóch klientów z różnymi obowiązkami i poziomami dostępu. Korzystając z usługi Azure Lighthouse, autoryzowani użytkownicy mogą logować się do dzierżawy dostawcy usług i uzyskiwać dostęp do wszystkich delegowanych zasobów dla tych klientów, zgodnie z przypisanymi rolami dla każdego delegowania.

Diagram showing resources for two customers managed through one service provider tenant.

Obsługa interfejsów API i narzędzi do zarządzania

Zadania zarządzania można wykonywać na delegowanych zasobach w witrynie Azure Portal lub użyć interfejsów API i narzędzi do zarządzania, takich jak interfejs wiersza polecenia platformy Azure i program Azure PowerShell. Wszystkie istniejące interfejsy API mogą być używane w zasobach delegowanych, o ile funkcja jest obsługiwana w przypadku zarządzania między dzierżawami, a użytkownik ma odpowiednie uprawnienia.

Polecenie cmdlet Get-AzSubscription programu Azure PowerShell domyślnie wyświetla TenantId polecenie dla dzierżawy zarządzającej. Atrybuty HomeTenantId i ManagedByTenantIds dla każdej subskrypcji umożliwiają określenie, czy zwrócona subskrypcja należy do dzierżawy zarządzanej, czy do dzierżawy zarządzającej.

Podobnie polecenia interfejsu wiersza polecenia platformy Azure, takie jak az account list , pokazują homeTenantId atrybuty i managedByTenants . Jeśli te wartości nie są widoczne podczas korzystania z interfejsu wiersza polecenia platformy Azure, spróbuj wyczyścić pamięć podręczną, uruchamiając az account clear polecenie , a następnie .az login --identity

W interfejsie API REST platformy Azure polecenia Subskrypcje — Pobierz i Subskrypcje — Lista zawierają polecenia ManagedByTenant.

Uwaga

Oprócz informacji o dzierżawie związanych z usługą Azure Lighthouse dzierżawy wyświetlane przez te interfejsy API mogą również odzwierciedlać dzierżawy partnerskie dla usługi Azure Databricks lub aplikacji zarządzanych przez platformę Azure.

Udostępniamy również interfejsy API specyficzne dla wykonywania zadań usługi Azure Lighthouse. Aby uzyskać więcej informacji, zobacz sekcję Dokumentacja .

Ulepszone usługi i scenariusze

Większość zadań i usług platformy Azure może być używana z delegowanymi zasobami w dzierżawach zarządzanych, przy założeniu, że przyznano odpowiednie role. Poniżej przedstawiono niektóre z kluczowych scenariuszy, w których zarządzanie między dzierżawami może być szczególnie skuteczne.

Azure Arc:

  • Zarządzanie serwerami hybrydowymi na dużą skalę — serwery z obsługą usługi Azure Arc:
    • Dołączanie serwerów do delegowanych subskrypcji klientów i/lub grup zasobów na platformie Azure
    • Zarządzanie maszynami z systemem Windows Server lub Linux spoza platformy Azure połączonymi z delegowanymi subskrypcjami
    • Zarządzanie połączonymi maszynami przy użyciu konstrukcji platformy Azure, takich jak usługa Azure Policy i tagowanie
    • Upewnij się, że ten sam zestaw zasad jest stosowany w środowiskach hybrydowych klientów
    • Monitorowanie zgodności w środowiskach hybrydowych klientów przy użyciu Microsoft Defender dla Chmury
  • Zarządzanie hybrydowymi klastrami Kubernetes na dużą skalę — kubernetes z obsługą usługi Azure Arc:

Azure Automation:

  • Używanie kont usługi Automation do uzyskiwania dostępu do delegowanych zasobów i pracy z nimi

Azure Backup:

  • Tworzenie kopii zapasowych i przywracanie danych klientów z obciążeń lokalnych, maszyn wirtualnych platformy Azure, udziałów plików platformy Azure i nie tylko
  • Wyświetlanie danych dla wszystkich delegowanych zasobów klientów w Centrum kopii zapasowych
  • Użyj Eksploratora kopii zapasowych, aby wyświetlić informacje operacyjne elementów kopii zapasowych (w tym zasobów platformy Azure, które nie zostały jeszcze skonfigurowane do tworzenia kopii zapasowej) i informacje monitorowania (zadania i alerty) dla delegowanych subskrypcji. Eksplorator kopii zapasowych jest obecnie dostępny tylko dla danych maszyny wirtualnej platformy Azure.
  • Użyj raportów kopii zapasowych w ramach delegowanych subskrypcji, aby śledzić trendy historyczne, analizować użycie magazynu kopii zapasowych oraz przeprowadzać inspekcję kopii zapasowych i przywracania.

Azure Blueprints:

  • Użyj usługi Azure Blueprints, aby zorganizować wdrażanie szablonów zasobów i innych artefaktów (wymaga dodatkowego dostępu do przygotowania subskrypcji klienta)

Zarządzanie kosztami i rozliczenia platformy Azure:

  • Z poziomu dzierżawy zarządzającej partnerzy CSP mogą wyświetlać, zarządzać i analizować koszty zużycia przed opodatkowaniem (nie włącznie z zakupami) dla klientów, którzy są w ramach planu platformy Azure. Koszt jest oparty na stawkach detalicznych i dostępie kontroli dostępu na podstawie ról (RBAC) platformy Azure, który partner ma dla subskrypcji klienta. Obecnie można wyświetlać koszty zużycia według stawek detalicznych dla każdej indywidualnej subskrypcji klienta na podstawie dostępu RBAC platformy Azure.

Usługa Azure Key Vault:

  • Tworzenie magazynów kluczy w dzierżawach klientów
  • Tworzenie magazynów kluczy w dzierżawach klientów przy użyciu tożsamości zarządzanej

Azure Kubernetes Service (AKS):

Azure Migrate:

  • Tworzenie projektów migracji w dzierżawie klienta i migrowanie maszyn wirtualnych

Azure Monitor:

  • Wyświetlanie alertów dla delegowanych subskrypcji z możliwością wyświetlania i odświeżania alertów we wszystkich subskrypcjach
  • Wyświetlanie szczegółów dziennika aktywności dla delegowanych subskrypcji
  • Log Analytics: wykonywanie zapytań dotyczących danych z zdalnych obszarów roboczych w wielu dzierżawach (należy pamiętać, że konta automatyzacji używane do uzyskiwania dostępu do danych z obszarów roboczych w dzierżawach klientów muszą być tworzone w tej samej dzierżawie)
  • Tworzenie, wyświetlanie alertów i zarządzanie nimi w dzierżawach klientów
  • Tworzenie alertów w dzierżawach klientów, które wyzwalają automatyzację, taką jak elementy Runbook usługi Azure Automation lub Azure Functions, w dzierżawie zarządzającej za pomocą elementów webhook
  • Tworzenie ustawień diagnostycznych w obszarach roboczych utworzonych w dzierżawach klientów w celu wysyłania dzienników zasobów do obszarów roboczych w dzierżawie zarządzającej
  • W przypadku obciążeń SAP monitoruj metryki rozwiązań SAP przy użyciu zagregowanego widoku w dzierżawach klientów
  • W przypadku usługi Azure AD B2C należy kierować dzienniki logowania i inspekcji do różnych rozwiązań do monitorowania

Sieć platformy Azure:

Azure Policy:

  • Tworzenie i edytowanie definicji zasad w ramach delegowanych subskrypcji
  • Wdrażanie definicji zasad i przypisań zasad w wielu dzierżawach
  • Przypisywanie definicji zasad zdefiniowanych przez klienta w ramach delegowanych subskrypcji
  • Klienci widzą zasady utworzone przez dostawcę usług wraz z zasadami utworzonymi przez siebie
  • Może skorygować wdrożenieIfNotExists lub zmodyfikować przypisania w dzierżawie zarządzanej
  • Należy pamiętać, że wyświetlanie szczegółów zgodności dla niezgodnych zasobów w dzierżawach klienta nie jest obecnie obsługiwane

Azure Resource Graph:

  • Zobacz identyfikator dzierżawy w zwróconych wynikach zapytania, co pozwala określić, czy subskrypcja należy do dzierżawy zarządzanej

Azure Service Health:

  • Monitorowanie kondycji zasobów klientów za pomocą usługi Azure Resource Health
  • Śledzenie kondycji usług platformy Azure używanych przez klientów

Azure Site Recovery:

  • Zarządzanie opcjami odzyskiwania po awarii dla maszyn wirtualnych platformy Azure w dzierżawach klientów (pamiętaj, że nie można używać RunAs kont do kopiowania rozszerzeń maszyn wirtualnych)

Maszyny wirtualne platformy Azure:

  • Korzystanie z rozszerzeń maszyn wirtualnych w celu zapewnienia konfiguracji po wdrożeniu i zadań automatyzacji na maszynach wirtualnych platformy Azure
  • Rozwiązywanie problemów z maszynami wirtualnymi platformy Azure przy użyciu diagnostyki rozruchu
  • Uzyskiwanie dostępu do maszyn wirtualnych za pomocą konsoli szeregowej
  • Integrowanie maszyn wirtualnych z usługą Azure Key Vault na potrzeby haseł, wpisów tajnych lub kluczy kryptograficznych na potrzeby szyfrowania dysków przy użyciu tożsamości zarządzanej za pomocą zasad, zapewniając przechowywanie wpisów tajnych w usłudze Key Vault w zarządzanych dzierżawach
  • Należy pamiętać, że nie można użyć identyfikatora Entra firmy Microsoft na potrzeby zdalnego logowania do maszyn wirtualnych

Microsoft Defender dla Chmury:

  • Widoczność między dzierżawami
    • Monitorowanie zgodności z zasadami zabezpieczeń i zapewnianie pokrycia zabezpieczeń we wszystkich zasobach dzierżaw
    • Ciągłe monitorowanie zgodności z przepisami w wielu dzierżawach w jednym widoku
    • Monitorowanie, klasyfikowanie i określanie priorytetów zaleceń dotyczących zabezpieczeń z możliwością działania przy użyciu obliczeń wskaźnika bezpieczeństwa
  • Zarządzanie stanem zabezpieczeń między dzierżawami
    • Zarządzanie zasadami zabezpieczeń
    • Podejmij działania dotyczące zasobów, które nie są zgodne z zaleceniami dotyczącymi zabezpieczeń z możliwością działania
    • Zbieranie i przechowywanie danych związanych z zabezpieczeniami
  • Wykrywanie i ochrona przed zagrożeniami między dzierżawami
    • Wykrywanie zagrożeń w zasobach dzierżawców
    • Stosowanie zaawansowanych mechanizmów kontroli ochrony przed zagrożeniami, takich jak dostęp do maszyn wirtualnych just in time (JIT)
    • Wzmacnianie konfiguracji sieciowej grupy zabezpieczeń za pomocą adaptacyjnego wzmacniania zabezpieczeń sieci
    • Upewnij się, że serwery działają tylko w aplikacjach i procesach, które powinny być z adaptacyjnymi kontrolkami aplikacji
    • Monitorowanie zmian w ważnych plikach i wpisach rejestru za pomocą monitorowania integralności plików (FIM)
  • Należy pamiętać, że cała subskrypcja musi być delegowana do dzierżawy zarządzającej; scenariusze Microsoft Defender dla Chmury nie są obsługiwane w przypadku delegowanych grup zasobów

Microsoft Sentinel:

Żądania pomocy technicznej:

Bieżące ograniczenia

W przypadku wszystkich scenariuszy należy pamiętać o następujących bieżących ograniczeniach:

  • Żądania obsługiwane przez usługę Azure Resource Manager można wykonywać przy użyciu usługi Azure Lighthouse. Identyfikatory URI operacji dla tych żądań rozpoczynają się od https://management.azure.com. Jednak żądania obsługiwane przez wystąpienie typu zasobu (takie jak dostęp do wpisów tajnych usługi Key Vault lub dostęp do danych magazynu) nie są obsługiwane w usłudze Azure Lighthouse. Identyfikatory URI operacji dla tych żądań zwykle zaczynają się od adresu unikatowego dla twojego wystąpienia, takiego jak https://myaccount.blob.core.windows.net lub https://mykeyvault.vault.azure.net/. Te ostatnie są również zwykle operacjami na danych, a nie operacjami zarządzania.
  • Przypisania ról muszą używać wbudowanych ról platformy Azure. Wszystkie wbudowane role są obecnie obsługiwane w usłudze Azure Lighthouse, z wyjątkiem ról właściciela lub ról wbudowanych z uprawnieniami DataActions . Rola Administracja istratora dostępu użytkowników jest obsługiwana tylko w przypadku ograniczonego użycia w przypisywaniu ról do tożsamości zarządzanych. Role niestandardowe i klasyczne role administratora subskrypcji nie są obsługiwane. Aby uzyskać więcej informacji, zobacz Obsługa ról dla usługi Azure Lighthouse.
  • W przypadku użytkowników w dzierżawie zarządzanej przypisania ról wykonywane za pośrednictwem usługi Azure Lighthouse nie są wyświetlane w obszarze Kontrola dostępu (IAM) ani za pomocą narzędzi interfejsu wiersza polecenia, takich jak az role assignment list. Te przypisania są widoczne tylko w witrynie Azure Portal w sekcji Delegowanie usługi Azure Lighthouse lub za pośrednictwem interfejsu API usługi Azure Lighthouse.
  • Chociaż możesz dołączać subskrypcje korzystające z usługi Azure Databricks, użytkownicy w dzierżawie zarządzającej nie mogą uruchamiać obszarów roboczych usługi Azure Databricks w ramach delegowanej subskrypcji.
  • Chociaż można dołączać subskrypcje i grupy zasobów, które mają blokady zasobów, te blokady nie uniemożliwiają wykonywania akcji przez użytkowników w dzierżawie zarządzającej. Odmów przypisań , które chronią zasoby zarządzane przez system (przypisania odmowy przypisane przez system), takie jak te utworzone przez aplikacje zarządzane platformy Azure lub usługa Azure Blueprints, uniemożliwiają użytkownikom w dzierżawie zarządzającej działanie na tych zasobach. Jednak użytkownicy w dzierżawie klienta nie mogą tworzyć własnych przypisań odmowy.
  • Delegowanie subskrypcji w chmurze krajowej i w chmurze publicznej platformy Azure lub w dwóch oddzielnych chmurach krajowych nie jest obsługiwane.

Następne kroki