Azure Lighthouse и программа поставщиков облачных решений

Если вы являетесь партнером CSP (поставщик облачных решений), вы уже можете получить доступ к подпискам Azure, созданным для клиентов, с помощью функции Администратор ister On Behalf Of (AOBO). Это позволяет непосредственно обслуживать и настраивать подписки клиентов, а также управлять ими.

С помощью Azure Lighthouse вы можете использовать делегированное управление ресурсами в Azure вместе с AOBO. Это помогает улучшить безопасность и не допускать излишние попытки доступа с помощью более детализированных разрешений для пользователей. Кроме того, повышается эффективность и масштабируемость, так как пользователи могут работать с несколькими клиентскими подписками, используя одно имя входа в клиенте.

Совет

Чтобы защитить ресурсы клиентов, обязательно ознакомьтесь с рекомендациями по обеспечению безопасности и требованиями к безопасности партнеров.

Администрирование от имени (AOBO)

С AOBO любой пользователь с ролью агента администратора в своем арендаторе будет иметь доступ AOBO к подпискам Azure, которые создаются с помощью программы CSP. Пользователи, которым нужен доступ к подпискам клиентов, должны быть членами этой группы. AOBO не позволяет гибко создавать отдельные группы, которые работают с разными клиентами, или разрешать разные роли для групп или пользователей.

Azure Lighthouse

Используя Azure Lighthouse, можно назначать разные группы разным клиентам или ролям, как продемонстрировано на схеме ниже. Поскольку у пользователей будет соответствующий уровень доступа благодаря делегированному управлению ресурсами Azure, можно уменьшить количество пользователей, имеющих роль администратора (и, таким образом, полный доступ к AOBO).

Azure Lighthouse помогает улучшить безопасность путем ограничения ненужного доступа к ресурсам клиентов. Кроме того, это дает большую гибкость в управлении несколькими клиентами в масштабе благодаря встроенной роли Azure, оптимальным образом отвечающей обязанностям каждого пользователя, без необходимости предоставлять пользователю больше прав доступа, чем требуется.

Чтобы свести к минимуму количество постоянных назначений, можно создать соответствующие разрешения для предоставления дополнительных разрешений пользователям на основе JIT-запросов.

Подключение подписки, созданной с помощью программы CSP, выполняет действия, описанные в разделе "Подключение клиента к Azure Lighthouse". Любой пользователь, имеющий роль агента администратора в арендаторе клиента, может выполнить это подключение.

Совет

Предложения управляемых служб с частными планами не поддерживаются подписками, установленными через торгового посредника по программе поставщика облачных решений (CSP). Вместо этого, вы можете подключить эти подписки к Azure Lighthouse с использованием шаблонов Azure Resource Manager.

Примечание.

Страница Мои клиенты на портале Azure теперь включает в себя раздел Поставщик облачных решений (предварительная версия), где можно просмотреть сведения о выставлении счетов и ресурсы для клиентов CSP, которые заключили Клиентское соглашение Майкрософт (MCA) и на которых распространяется план Azure. Чтобы узнать больше, ознакомьтесь с разделом Начало работы с учетной записью выставления счетов Соглашения с партнером Майкрософт.

Клиенты CSP могут появиться в этом разделе независимо от того, были ли они подключены к Azure Lighthouse. Если были, то они также будут отображаться в разделе Клиенты, как описано в статье Просмотр клиентов и делегированных ресурсов, а также управление ими. Аналогичным образом, клиент CSP не должен отображаться в разделе Поставщик облачных решений (предварительная версия) на странице Мои клиенты, чтобы вы могли подключить их к Azure Lighthouse.

Привязка идентификатора партнера для отслеживания влияния на переданные ресурсы

Участники Программы Microsoft Cloud Partner могут связать идентификатор партнера с учетными данными, используемыми для управления делегированными ресурсами клиента. Эта ссылка позволяет корпорации Майкрософт выявлять и идентифицировать партнеров, которые обеспечивают успех клиентов Azure. Он также позволяет партнерам CSP (поставщик облачных решений) получать партнерские кредиты (PEC) для клиентов, подписавших Клиентское соглашение Майкрософт (MCA) и находящихся в рамках плана Azure.

Чтобы получить признание для действий Azure Lighthouse, необходимо связать идентификатор партнера по крайней мере с одной учетной записью пользователя в вашем управляемом клиенте и убедиться, что связанная учетная запись имеет доступ к каждой из подключенных подписок. Для простоты мы рекомендуем создать учетную запись субъекта-службы в клиенте, связав ее с идентификатором партнера, а затем предоставить ему доступ ко всем клиентам, которые вы подключены со встроенной ролью Azure, которая имеет право на получение кредита партнера.

Дополнительные сведения см. в разделе "Связывание идентификатора партнера".

Следующие шаги

• Узнайте больше об интерфейсах управления для различных клиентов.
• Узнайте, как подключить подписку к Azure Lighthouse.
• Узнайте больше о программе для поставщиков облачных решений.