Compartilhar via


Azure Lighthouse em cenários empresariais

Um cenário comum do Azure Lighthouse envolve um provedor de serviços que gerencia recursos nos locatários do Microsoft Entra dos seus clientes. As funcionalidades do Azure Lighthouse também podem ser usadas para simplificar o gerenciamento entre locatários em uma empresa que usa vários locatários do Microsoft Entra.

Locatários únicos versus múltiplos

Para a maioria das organizações, o gerenciamento é mais fácil com um único locatário do Microsoft Entra. Ter todos os recursos em um locatário permite a centralização de tarefas de gerenciamento por usuários, grupos de usuários ou entidades de serviço designados dentro desse locatário. É recomendável usar um locatário para sua organização sempre que possível.

Algumas organizações podem precisar usar vários locatários do Microsoft Entra. Essa situação pode ser temporária, pois quando as aquisições ocorreram, uma estratégia de longo prazo de fusão de locatário ainda não havia sido definida. Em outros casos, as organizações talvez precisem manter vários locatários de modo contínuo. Isso ocorre devido a fatores como subsidiárias totalmente independentes, requisitos geográficos ou legais etc.

Nos casos em que é necessário obter uma arquitetura multilocatário, o Azure Lighthouse poderá ajudar a centralizar e simplificar operações de gerenciamento. Usando o Azure Lighthouse, os usuários em um locatário gerenciador podem executar funções de gerenciamento entre locatários de modo centralizado e escalonável.

Arquitetura de gerenciamento de locatários

Para usar o Azure Lighthouse em uma empresa, será preciso determinar qual locatário incluirá os usuários que executam operações de gerenciamento em outros locatários. Isso significa que será preciso designar um locatário gerenciador para os demais locatários.

Por exemplo, digamos que sua organização tem um único locatário que chamaremos de Locatário A. Em seguida, sua organização adquire Locatário B e Locatário C, e você tem motivos comerciais que exigem que você os mantenha como locatários separados. No entanto, você deseja usar as mesmas definições de políticas e práticas de backup, bem como os mesmos processos de segurança em todos eles, com tarefas de gerenciamento executadas pelo mesmo conjunto de usuários.

Como o Locatário A já inclui os usuários de sua organização que executam essas tarefas, será possível integrar assinaturas ao Locatário B e ao Locatário C. Isso permite que os mesmos usuários do Locatário A executem tarefas em todos os locatários.

Um diagrama mostrando usuários do Locatário A gerenciando recursos no Locatário B e no Locatário C.

Considerações sobre segurança e acesso

Na maioria dos cenários empresariais, você vai querer delegar uma assinatura completa ao Azure Lighthouse. Também é possível optar por delegar somente grupos de recursos específicos em uma assinatura.

De qualquer modo, lembre-se de seguir o princípio de privilégios mínimos ao definir quais usuários terão acesso aos recursos delegados. Fazer isso ajuda a verificar se os usuários só têm as permissões necessárias para executar as tarefas necessárias e reduz a chance de erros inadvertidos.

O Azure Lighthouse fornece links lógicos somente entre um locatário gerenciador e locatários gerenciados, em vez de migrar dados ou recursos de modo físico. Além disso, o acesso sempre vai em apenas uma direção, do locatário gerenciador para os locatários gerenciados. Os usuários e grupos no locatário de gerenciamento devem usar a autenticação multifator ao executar operações de gerenciamento em recursos de locatário gerenciados.

As empresas com proteções de governança e conformidade internas e externas podem usar os Logs de atividade do Azure para atender aos seus requisitos de transparência. Quando os locatários corporativos estabelecem relacionamentos entre um locatário gerenciador e locatários gerenciados, os usuários de cada locatário podem exibir uma atividade registrada para conferir ações executadas por usuários do locatário gerenciador.

Considerações sobre a integração

As assinaturas (ou grupos de recursos dentro de uma assinatura) podem ser integradas ao Azure Lighthouse com a implantação de modelos do Azure Resource Manager ou por meio de ofertas de Serviços Gerenciados publicadas no Azure Marketplace.

Como os usuários corporativos em geral têm acesso direto aos locatários da empresa, e não é preciso comercializar nem promover uma oferta de gerenciamento, normalmente é mais rápido e simples implantar modelos do Azure Resource Manager. Embora as diretrizes de integração mencionem os provedores de serviços e os clientes, as empresas podem usar os mesmos processos para integrar locatários.

Se preferir, os locatários em uma empresa poderão ser integrados publicando uma oferta de Serviços Gerenciados no Azure Marketplace. Para verificar se a oferta só está disponível para os locatários adequados, certifique-se de que seus planos estão marcados como privados. Com um plano privado, é possível fornecer IDs da assinatura para cada locatário que você planeja integrar. Além disso, ninguém mais poderá obter sua oferta.

Azure AD B2C

O Azure AD B2C (Azure Active Directory B2C) fornece a identidade de empresa para cliente como um serviço. Ao delegar um grupo de recursos por meio do Azure Lighthouse, você pode usar o Azure Monitor para rotear logs de conexão e auditoria do Azure AD B2C (Azure AD B2C) do Azure Active Directory B2C para diferentes soluções de monitoramento. Você pode reter os logs para uso de longo prazo ou integrá-lo com ferramentas de gerenciamento de eventos e informações de segurança (SIEM) de terceiros para obter informações sobre seu ambiente.

Para saber mais, confira Monitorar o Azure AD B2C com o Azure Monitor.

Observações sobre terminologia

Para executar um gerenciamento entre locatários dentro de uma empresa, use as mesmas diretrizes aplicadas a provedores de serviços e descritas na documentação do Azure Lighthouse em um locatário gerenciador da empresa, ou seja, o locatário com usuários que gerenciarão recursos em outros locatários por meio do Azure Lighthouse. Do mesmo modo, use diretrizes aplicadas a clientes em locatários que delegam recursos a serem gerenciados por meio de usuários do locatário gerenciador.

Por exemplo, no exemplo descrito acima, o Locatário A pode ser pensado como um locatário de provedor de serviços (o locatário gerenciador) e o Locatário B e o Locatário C podem ser pensados como os locatários do cliente.

Nesse exemplo, os usuários do Locatário A com permissões apropriadas podem exibir e gerenciar recursos delegados na página Meus clientes do portal do Azure. Da mesma forma, os usuários dos Locatários B e C com as permissões adequadas podem exibir e gerenciar os recursos que foram delegados ao Locatário A na página Provedores de serviço do portal do Azure.

Próximas etapas