Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Typowy scenariusz dla Azure Lighthouse obejmuje dostawcę usług, który zarządza zasobami w dzierżawcach Microsoft Entra swoich klientów. Możesz również użyć możliwości Azure Lighthouse, aby uprościć zarządzanie dzierżawami w przedsiębiorstwie, które korzysta z wielu dzierżaw Microsoft Entra. W tym scenariuszu użytkownicy w jednej z dzierżaw przedsiębiorstwa mogą wykonywać zadania zarządzania w innych dzierżawach za pośrednictwem Azure Lighthouse, bez konieczności angażowania innego dostawcy usług.
Pojedynczy wobec wielu dzierżawców przedsiębiorstwa
Dla większości organizacji zarządzanie jest łatwiejsze z jednym tenantem Microsoft Entra. Posiadanie wszystkich zasobów w ramach jednej dzierżawy umożliwia centralizację zadań zarządzania przez wyznaczonych użytkowników, grup użytkowników lub jednostek usługi w ramach tej dzierżawy. Jeśli to możliwe, użyj jednej dzierżawy dla swojej organizacji.
Niektóre organizacje muszą korzystać z wielu dzierżaw Microsoft Entra. To może być potrzebne tymczasowo, na przykład w przypadku przejęć, kiedy długoterminowa strategia konsolidacji najemców nie jest jeszcze zdefiniowana. W innych przypadkach organizacje muszą utrzymywać wielu tenantów w sposób ciągły z powodu całkowicie niezależnych spółek zależnych, wymagań geograficznych lub prawnych bądź innych względów.
W przypadkach, gdy wymagana jest architektura multitenant Azure Lighthouse może pomóc w scentralizowaniu i usprawnieniu operacji zarządzania. Korzystając z Azure Lighthouse, użytkownicy w jednej dzierżawie zarządzającej mogą wykonywać funkcje zarządzania międzydzierżawowego w sposób scentralizowany i skalowalny.
Architektura zarządzania najemcą przedsiębiorstwa
Aby używać Azure Lighthouse w przedsiębiorstwie, określ, który dzierżawca powinien zawierać użytkowników, którzy wykonują operacje zarządzania dla innych dzierżawców. Innymi słowy, należy wyznaczyć jednego najemcę jako najemcę zarządzającego innymi najemcami.
Załóżmy na przykład, że organizacja ma jedną dzierżawę o nazwie Tenant A. Twoja organizacja uzyskuje następnie dzierżawę B i dzierżawę C i masz powody biznesowe, które wymagają ich utrzymania jako oddzielnych dzierżaw. Jednak chcesz użyć tych samych definicji zasad, praktyk tworzenia kopii zapasowych i procesów zabezpieczeń dla wszystkich z nich, z zadaniami zarządzania wykonywanymi przez ten sam zestaw użytkowników.
Ponieważ dzierżawa A zawiera już użytkowników w organizacji, którzy wykonują te zadania dla dzierżawy A, możesz wyznaczyć dzierżawę A jako dzierżawę zarządzania. Następnie możesz dołączyć subskrypcje w dzierżawie B i dzierżawie C, aby były delegowane do dzierżawy A. Podczas procesu dołączania tworzone są autoryzacje, które udzielają uprawnień użytkownikom w dzierżawie A, umożliwiając im wykonywanie zadań zarządzania w dzierżawie B i dzierżawie C.
Zagadnienia dotyczące zabezpieczeń i dostępu w scenariuszach przedsiębiorstwa
W większości scenariuszy przedsiębiorstwa delegujesz całą subskrypcję do Azure Lighthouse. Możesz również delegować tylko określone grupy zasobów w ramach subskrypcji.
Tak czy inaczej, należy postępować zgodnie z zasadą najniższych uprawnień podczas definiowania, którzy użytkownicy mogą uzyskiwać dostęp do delegowanych zasobów. Takie podejście pomaga zapewnić, że użytkownicy mają uprawnienia wymagane tylko do wykonywania wymaganych zadań i zmniejszają prawdopodobieństwo niezamierzonych błędów.
Azure Lighthouse zapewnia jedynie logiczne połączenia między dzierżawą zarządzającą a dzierżawą zarządzaną, zamiast fizycznie przenosić dane lub zasoby. Ponadto dostęp zawsze odbywa się wyłącznie w jednym kierunku, od dzierżawcy zarządzającego do dzierżawców zarządzanych. Użytkownicy i grupy w dzierżawie zarządzającej powinny używać uwierzytelniania wieloskładnikowego podczas wykonywania operacji zarządzania na zarządzanych zasobach dzierżawy.
Przedsiębiorstwa z zabezpieczeniami dotyczącymi ładu wewnętrznego lub zewnętrznego i zgodności mogą używać Azure Monitor dzienników aktywności w celu spełnienia wymagań dotyczących przejrzystości. Gdy przedsiębiorstwa ustanawiają relacje zarządzania i obsługi dzierżaw, użytkownicy każdej dzierżawy mogą wyświetlać zarejestrowane działania, zobaczyć działania podejmowane przez użytkowników w dzierżawie zarządzającej.
Aby uzyskać więcej informacji, zobacz Zalecane rozwiązania w zakresie zabezpieczeń.
Rozważania dotyczące wdrażania najemców korporacyjnych
Możesz dołączyć subskrypcje (lub grupy zasobów w ramach subskrypcji) do Azure Lighthouse, wdrażając szablony usługi Azure Resource Manager lub korzystając z ofert usług zarządzanych opublikowanych w witrynie Microsoft Marketplace.
Ponieważ użytkownicy przedsiębiorstwa zazwyczaj mają bezpośredni dostęp do dzierżaw przedsiębiorstwa i nie ma potrzeby promowania na rynku ani reklamowania oferty zarządzania, wdrażanie szablonów Azure Resource Manager zwykle przebiega szybciej i prościej. Chociaż wskazówki dotyczące wdrażania odnoszą się do dostawców usług i klientów, przedsiębiorstwa mogą używać tych samych procesów do wdrażania swoich dzierżawców.
Jeśli wolisz, dzierżawcy w przedsiębiorstwie mogą być integrowani przez publikowanie oferty usług zarządzanych do Microsoft Marketplace. Aby zapewnić, że oferta jest dostępna tylko dla odpowiednich najemców, upewnij się, że plany są ustawione na prywatne. W przypadku planu prywatnego należy podać identyfikatory subskrypcji dla każdego dzierżawcy, którego planujesz przyłączyć, i nikt inny nie może uzyskać twojej oferty.
Tożsamość zewnętrzna Microsoft Entra
Tożsamość zewnętrzna Microsoft Entra zapewnia tożsamość biznesową jako usługę. W przypadku delegowania grupy zasobów za pomocą Azure Lighthouse można użyć Azure Monitor do kierowania dzienników logowania i inspekcji Tożsamość zewnętrzna Microsoft Entra do różnych rozwiązań do monitorowania. Dzienniki można zachować do długoterminowego użytku lub zintegrować z narzędziami do zarządzania informacjami i zdarzeniami zabezpieczeń od innych firm, aby lepiej zrozumieć swoje środowisko.
Aby uzyskać więcej informacji, zobacz Konfigurowanie zewnętrznych dzierżaw Azure Monitor.
Uwagi dotyczące terminologii
W przypadku zarządzania między dzierżawami w przedsiębiorstwie odwołania do dostawców usług w dokumentacji Azure Lighthouse odnoszą się do dzierżawy zarządzającej, czyli tej, która obejmuje użytkowników zarządzających zasobami w innych dzierżawach poprzez Azure Lighthouse. Podobnie wszelkie odniesienia do klientów można rozumieć jako dotyczące najemców, którzy delegują zasoby do zarządzania za pośrednictwem użytkowników w zarządzającej dzierżawie.
Na przykład w powyższym przykładzie dzierżawa A może być uważana za dzierżawę dostawcy usług (dzierżawę zarządzacą) i dzierżawę B i dzierżawę C można traktować jako dzierżawy klientów.
Kontynuując ten przykład, użytkownicy dzierżawy A z odpowiednimi uprawnieniami mogą przeglądać i zarządzać delegowanymi zasobami na stronie Moi klienci portalu Azure. Podobnie użytkownicy dzierżawy B i dzierżawy C z odpowiednimi uprawnieniami mogą przeglądać i zarządzać szczegółami dotyczącymi delegowania na stronie Dostawców usług w portalu Azure.
Dalsze kroki
- Zapoznaj się z opcjami organizacji zasobów w architekturach wielodostępnych.
- Dowiedz się więcej o doświadczeniach zarządzania między dzierżawcami.
- Dowiedz się więcej o Jak działa Azure Lighthouse.