Usługa Azure Lighthouse w scenariuszach dla przedsiębiorstw

Artykuł
10/26/2023

Typowy scenariusz dla usługi Azure Lighthouse obejmuje dostawcę usług, który zarządza zasobami w dzierżawach firmy Microsoft firmy Microsoft dla klientów. Możliwości usługi Azure Lighthouse mogą również służyć do uproszczenia zarządzania między dzierżawami w przedsiębiorstwie, które korzysta z wielu dzierżaw firmy Microsoft.

Pojedyncza a wiele dzierżaw

W przypadku większości organizacji zarządzanie jest łatwiejsze w przypadku jednej dzierżawy firmy Microsoft Entra. Posiadanie wszystkich zasobów w ramach jednej dzierżawy umożliwia centralizację zadań zarządzania przez wyznaczonych użytkowników, grup użytkowników lub jednostek usługi w ramach tej dzierżawy. Zalecamy używanie jednej dzierżawy dla twojej organizacji, jeśli jest to możliwe.

Niektóre organizacje mogą wymagać użycia wielu dzierżaw firmy Microsoft Entra. Może to być tymczasowa sytuacja, ponieważ kiedy miały miejsce przejęcia, a długoterminowa strategia konsolidacji dzierżaw nie została jeszcze zdefiniowana. Innym razem organizacje mogą wymagać ciągłego utrzymania wielu dzierżaw ze względu na całkowicie niezależne spółki zależne, wymagania geograficzne lub prawne lub inne zagadnienia.

W przypadkach, gdy wymagana jest architektura wielodostępna, usługa Azure Lighthouse może pomóc w scentralizowaniu i usprawnieniu operacji zarządzania. Korzystając z usługi Azure Lighthouse, użytkownicy w jednej dzierżawie zarządzającej mogą wykonywać funkcje zarządzania między dzierżawami w sposób scentralizowany i skalowalny.

Architektura zarządzania dzierżawami

Aby korzystać z usługi Azure Lighthouse w przedsiębiorstwie, należy określić, która dzierżawa będzie zawierać użytkowników, którzy wykonują operacje zarządzania w innych dzierżawach. Innymi słowy, należy wyznaczyć jedną dzierżawę jako dzierżawę zarządzaną dla innych dzierżaw.

Załóżmy na przykład, że Twoja organizacja ma jedną dzierżawę, która wywoła dzierżawę A. Twoja organizacja uzyskuje następnie dzierżawę B i dzierżawę C i masz powody biznesowe, które wymagają ich utrzymania jako oddzielnych dzierżaw. Jednak chcesz użyć tych samych definicji zasad, praktyk tworzenia kopii zapasowych i procesów zabezpieczeń dla wszystkich z nich, z zadaniami zarządzania wykonywanymi przez ten sam zestaw użytkowników.

Ponieważ dzierżawa A zawiera już użytkowników w organizacji, którzy wykonują te zadania dla dzierżawy A, możesz dołączyć subskrypcje w dzierżawie B i dzierżawie C, co umożliwia tym samym użytkownikom w dzierżawie A wykonywanie tych zadań we wszystkich dzierżawach.

Diagram showing users in Tenant A managing resources in Tenant B and Tenant C.

Zagadnienia dotyczące zabezpieczeń i dostępu

W większości scenariuszy przedsiębiorstwa należy delegować pełną subskrypcję do usługi Azure Lighthouse. Możesz również delegować tylko określone grupy zasobów w ramach subskrypcji.

W obu przypadkach należy przestrzegać zasady najniższych uprawnień podczas definiowania, którzy użytkownicy będą mieli dostęp do delegowanych zasobów. Dzięki temu użytkownicy mają uprawnienia wymagane tylko do wykonywania wymaganych zadań i zmniejszają prawdopodobieństwo niezamierzonych błędów.

Usługa Azure Lighthouse udostępnia tylko logiczne linki między dzierżawą zarządzaną i zarządzaną dzierżawą, a nie fizycznie przenosząc dane lub zasoby. Ponadto dostęp zawsze odbywa się tylko w jednym kierunku, od dzierżawy zarządzającej do zarządzanych dzierżaw. Użytkownicy i grupy w dzierżawie zarządzającej powinny nadal używać uwierzytelniania wieloskładnikowego podczas wykonywania operacji zarządzania na zarządzanych zasobach dzierżawy.

Przedsiębiorstwa z zabezpieczeniami dotyczącymi ładu wewnętrznego lub zewnętrznego i zgodności mogą używać dzienników aktywności platformy Azure, aby spełnić wymagania dotyczące przejrzystości. Gdy dzierżawy przedsiębiorstwa ustanowiły relacje zarządzania dzierżawami i zarządzania nimi, użytkownicy w każdej dzierżawie mogą wyświetlać zarejestrowane działania, aby zobaczyć działania podejmowane przez użytkowników w dzierżawie zarządzającej.

Zagadnienia dotyczące dołączania

Subskrypcje (lub grupy zasobów w ramach subskrypcji) można dołączyć do usługi Azure Lighthouse, wdrażając szablony usługi Azure Resource Manager lub za pośrednictwem ofert usług zarządzanych opublikowanych w witrynie Azure Marketplace.

Ponieważ użytkownicy przedsiębiorstwa zazwyczaj mają bezpośredni dostęp do dzierżaw przedsiębiorstwa i nie ma potrzeby wprowadzania na rynek ani promowania oferty zarządzania, zwykle jest to szybsze i prostsze wdrażanie szablonów usługi Azure Resource Manager. Chociaż wskazówki dotyczące dołączania odnoszą się do dostawców usług i klientów, przedsiębiorstwa mogą używać tych samych procesów do dołączania swoich dzierżaw.

Jeśli wolisz, dzierżawy w przedsiębiorstwie można dołączyć, publikując ofertę usług zarządzanych w witrynie Azure Marketplace. Aby upewnić się, że oferta jest dostępna tylko dla odpowiednich dzierżaw, upewnij się, że plany są oznaczone jako prywatne. W przypadku planu prywatnego należy podać identyfikatory subskrypcji dla każdej dzierżawy, którą planujesz dołączyć, i nikt inny nie będzie mógł uzyskać oferty.

Azure AD B2C

Usługa Azure Active Directory B2C (Azure AD B2C) zapewnia tożsamość biznesową jako usługę. Po delegowaniu grupy zasobów za pośrednictwem usługi Azure Lighthouse można użyć usługi Azure Monitor do kierowania dzienników logowania i inspekcji usługi Azure Active Directory B2C (Azure AD B2C) do różnych rozwiązań do monitorowania. Dzienniki dotyczące długoterminowego użycia można zachować lub zintegrować z narzędziami do zarządzania informacjami i zdarzeniami zabezpieczeń innych firm w celu uzyskania wglądu w środowisko.

Aby uzyskać więcej informacji, zobacz Monitorowanie usługi Azure AD B2C za pomocą usługi Azure Monitor.

Uwagi dotyczące terminologii

W przypadku zarządzania między dzierżawami w przedsiębiorstwie odwołania do dostawców usług w dokumentacji usługi Azure Lighthouse można zrozumieć, aby zastosować je do dzierżawy zarządzającej w przedsiębiorstwie — czyli dzierżawy obejmującej użytkowników, którzy będą zarządzać zasobami w innych dzierżawach za pośrednictwem usługi Azure Lighthouse. Podobnie wszelkie odwołania do klientów można zrozumieć, aby zastosować je do dzierżaw, które delegują zasoby do zarządzania za pośrednictwem użytkowników w dzierżawie zarządzającej.

Na przykład w powyższym przykładzie dzierżawa A może być uważana za dzierżawę dostawcy usług (dzierżawę zarządzacą) oraz dzierżawę B i dzierżawę C jako dzierżawę klienta.

Kontynuując ten przykład, użytkownicy dzierżawy A z odpowiednimi uprawnieniami mogą wyświetlać delegowane zasoby i zarządzać nimi na stronie Moi klienci w witrynie Azure Portal. Podobnie użytkownicy dzierżawy B i dzierżawy C z odpowiednimi uprawnieniami mogą wyświetlać zasoby delegowane do dzierżawy A i zarządzać nimi na stronie Dostawcy usług w witrynie Azure Portal.

Następne kroki

Zapoznaj się z opcjami organizacji zasobów w architekturach wielodostępnych.
Dowiedz się więcej o środowiskach zarządzania między dzierżawami.
Dowiedz się więcej o sposobie działania usługi Azure Lighthouse.