Azure Lighthouse em cenários empresariais
Um cenário comum para o Azure Lighthouse envolve um provedor de serviços que gerencia recursos nos locatários do Microsoft Entra de seus clientes. Os recursos do Azure Lighthouse também podem ser usados para simplificar o gerenciamento entre locatários em uma empresa que usa vários locatários do Microsoft Entra.
Inquilinos únicos vs. múltiplos
Para a maioria das organizações, o gerenciamento é mais fácil com um único locatário do Microsoft Entra. Ter todos os recursos em um locatário permite a centralização de tarefas de gerenciamento por usuários designados, grupos de usuários ou entidades de serviço dentro desse locatário. Recomendamos o uso de um locatário para sua organização sempre que possível.
Algumas organizações podem precisar usar vários locatários do Microsoft Entra. Esta pode ser uma situação temporária, como quando as aquisições ocorreram e uma estratégia de consolidação de inquilinos de longo prazo ainda não foi definida. Outras vezes, as organizações podem precisar manter vários locatários continuamente devido a subsidiárias totalmente independentes, requisitos geográficos ou legais ou outras considerações.
Nos casos em que uma arquitetura multilocatária é necessária, o Azure Lighthouse pode ajudar a centralizar e simplificar as operações de gerenciamento. Usando o Azure Lighthouse, os usuários em um locatário de gerenciamento podem executar funções de gerenciamento entre locatários de maneira centralizada e escalável.
Arquitetura de gerenciamento de locatários
Para usar o Azure Lighthouse em uma empresa, você precisará determinar qual locatário incluirá os usuários que executam operações de gerenciamento nos outros locatários. Em outras palavras, você precisará designar um locatário como o locatário gerente para os outros locatários.
Por exemplo, digamos que sua organização tenha um único locatário que chamaremos de Locatário A. Em seguida, sua organização adquire o Locatário B e o Locatário C, e você tem motivos comerciais que exigem que você os mantenha como locatários separados. No entanto, você gostaria de usar as mesmas definições de política, práticas de backup e processos de segurança para todos eles, com tarefas de gerenciamento executadas pelo mesmo conjunto de usuários.
Como o Locatário A já inclui usuários em sua organização que executam essas tarefas para o Locatário A, você pode integrar assinaturas no Locatário B e no Locatário C, o que permite que os mesmos usuários no Locatário A executem essas tarefas em todos os locatários.
Considerações sobre segurança e acesso
Na maioria dos cenários empresariais, convém delegar uma assinatura completa ao Azure Lighthouse. Você também pode optar por delegar apenas grupos de recursos específicos dentro de uma assinatura.
De qualquer forma, certifique-se de seguir o princípio de menor privilégio ao definir quais usuários terão acesso aos recursos delegados. Isso ajuda a garantir que os usuários tenham apenas as permissões necessárias para executar as tarefas necessárias e reduz a chance de erros inadvertidos.
O Azure Lighthouse fornece apenas ligações lógicas entre um inquilino gestor e inquilinos geridos, em vez de mover fisicamente dados ou recursos. Além disso, o acesso sempre vai em apenas uma direção, desde o locatário gerente até os locatários gerenciados. Os usuários e grupos no locatário de gerenciamento devem continuar a usar a autenticação multifator ao executar operações de gerenciamento em recursos de locatário gerenciados.
As empresas com grades de proteção e conformidade internas ou externas podem usar os logs de atividades do Azure para atender aos seus requisitos de transparência. Quando os locatários corporativos estabelecem relacionamentos de locatário gerenciado e gerenciado, os usuários em cada locatário podem exibir a atividade registrada para ver as ações tomadas pelos usuários no locatário de gerenciamento.
Considerações sobre integração
As subscrições (ou grupos de recursos numa subscrição) podem ser integradas no Azure Lighthouse através da implementação de modelos do Azure Resource Manager ou através de ofertas de Serviços Geridos publicadas no Azure Marketplace.
Como os usuários corporativos normalmente terão acesso direto aos locatários da empresa e não há necessidade de comercializar ou promover uma oferta de gerenciamento, geralmente é mais rápido e direto implantar modelos do Azure Resource Manager. Embora a orientação de integração se refira a prestadores de serviços e clientes, as empresas podem usar os mesmos processos para integrar seus locatários.
Se preferir, os locatários de uma empresa podem ser integrados publicando uma oferta de Serviços Gerenciados no Azure Marketplace. Para garantir que a oferta esteja disponível apenas para os locatários apropriados, certifique-se de que seus planos estejam marcados como privados. Com um plano privado, você fornece os IDs de assinatura para cada locatário que planeja integrar e ninguém mais poderá receber sua oferta.
Azure AD B2C
O Azure Ative Directory B2C (Azure AD B2C) fornece identidade de empresa para cliente como um serviço. Ao delegar um grupo de recursos por meio do Azure Lighthouse, você pode usar o Azure Monitor para rotear logs de entrada e auditoria do Azure Ative Directory B2C (Azure AD B2C) para diferentes soluções de monitoramento. Você pode reter os logs para uso de longo prazo ou integrar-se a ferramentas de gerenciamento de eventos e informações de segurança (SIEM) de terceiros para obter informações sobre seu ambiente.
Para obter mais informações, consulte Monitorar o Azure AD B2C com o Azure Monitor.
Notas terminológicas
Para o gerenciamento entre locatários dentro da empresa, as referências a provedores de serviços na documentação do Azure Lighthouse podem ser entendidas como aplicáveis ao locatário de gerenciamento dentro de uma empresa, ou seja, o locatário que inclui os usuários que gerenciarão recursos em outros locatários por meio do Azure Lighthouse. Da mesma forma, quaisquer referências a clientes podem ser entendidas como aplicáveis aos locatários que estão delegando recursos a serem gerenciados por meio de usuários no locatário de gerenciamento.
Por exemplo, no exemplo descrito acima, o Locatário A pode ser considerado como o locatário do provedor de serviços (o locatário administrador) e o Locatário B e o Locatário C podem ser considerados como os locatários do cliente.
Continuando com esse exemplo, os usuários do Locatário A com as permissões apropriadas podem exibir e gerenciar recursos delegados na página Meus clientes do portal do Azure. Da mesma forma, os usuários do Locatário B e do Locatário C com as permissões apropriadas podem exibir e gerenciar os recursos que foram delegados ao Locatário A na página Provedores de serviços do portal do Azure.
Próximos passos
- Explore opções para organização de recursos em arquiteturas multilocatário.
- Saiba mais sobre as experiências de gerenciamento entre locatários.
- Saiba mais sobre como funciona o Azure Lighthouse.