Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Ett vanligt scenario för Azure Lighthouse omfattar en tjänstleverantör som hanterar resurser i sina kunders Microsoft Entra klienter. Du kan också använda Azure Lighthouse funktioner för att förenkla hantering mellan klientorganisationer i ett företag som använder flera Microsoft Entra klienter. I det här scenariot kan användare i en av företagets klientorganisationer utföra hanteringsuppgifter på de andra klienterna via Azure Lighthouse, utan att kräva att någon annan tjänstleverantör deltar.
Enkel- kontra flera företagsklienters hyresmodeller
För de flesta organisationer är hantering enklare med en enda Microsoft Entra klientorganisation. Om alla resurser finns inom en klientorganisation kan hanteringsuppgifter centraliseras av utsedda användare, användargrupper, eller tjänsteprincipaler inom den klientorganisationen. Använd en klient för din organisation när det är möjligt.
Vissa organisationer behöver använda flera Microsoft Entra klienter. Det här behovet kan vara tillfälligt, eftersom när förvärv äger rum och en långsiktig strategi för klientorganisationskonsolidering ännu inte har definierats. Andra gånger behöver organisationer underhålla flera klienter kontinuerligt på grund av helt oberoende dotterbolag, geografiska eller juridiska krav eller andra överväganden.
I de fall där en multitenant arkitektur krävs kan Azure Lighthouse hjälpa till att centralisera och effektivisera hanteringsåtgärder. Med hjälp av Azure Lighthouse kan användare i en hanterande klientorganisation utföra cross-tenant management functions på ett centraliserat och skalbart sätt.
Arkitektur för hantering av företagsklienthyresgäster
Om du vill använda Azure Lighthouse i ett företag ska du bestämma vilken klientorganisation som ska inkludera användare som utför hanteringsåtgärder för de andra klienterna. Med andra ord anger du en hyresgäst som den hanterande hyresgästen för de andra hyresgästerna.
Anta till exempel att din organisation har en enda klientorganisation som heter Klient A. Din organisation hämtar sedan klient B och klientorganisation C, och du har affärsskäl som kräver att du underhåller dem som separata klientorganisationer. Du vill dock använda samma principdefinitioner, säkerhetskopieringsmetoder och säkerhetsprocesser för dem alla, med hanteringsuppgifter som utförs av samma uppsättning användare.
Eftersom Klient A redan innehåller användare i din organisation som utför dessa uppgifter för klient A kan du ange Klient A som hanteringsklient. Sedan kan du registrera prenumerationer i klient B och klientorganisation C så att de delegeras till Klient A. Under registreringsprocessen skapar du auktoriseringar som beviljar behörigheter till användare i klient A, så att de kan utföra hanteringsuppgifter i klient B och klientorganisation C.
Säkerhets- och åtkomstöverväganden för företagsscenarier
I de flesta företagsscenarier delegerar du en hel prenumeration till Azure Lighthouse. Du kan också välja att endast delegera specifika resursgrupper i en prenumeration.
Hur som helst följer du principen om lägsta behörighet när du definierar vilka användare som kan komma åt delegerade resurser. Den här metoden hjälper till att säkerställa att användarna bara har de behörigheter som krävs för att utföra de uppgifter som krävs och minskar risken för oavsiktliga fel.
Azure Lighthouse tillhandahåller endast logiska länkar mellan en hanterande klient och hanterade klienter, i stället för att fysiskt flytta data eller resurser. Dessutom går åtkomsten alltid bara i en riktning, från den hanterande hyresgästen till de hanterade hyresgästerna. Användare och grupper i den hanterande klientorganisationen bör använda multifaktorautentisering när de utför hanteringsåtgärder på hanterade klientresurser.
Företag med intern eller extern styrning och efterlevnadsskydd kan använda Azure Monitor aktivitetsloggar för att uppfylla sina transparenskrav. När företag upprättar hanterings- och hanterade klientrelationer kan användare i varje klientorganisation visa loggad aktivitet för att se åtgärder som vidtas av användare i den hanterande klientorganisationen.
Mer information finns i Rekommenderade säkerhetsrutiner.
Introduktionsöverväganden för företagskunder
Du kan registrera prenumerationer (eller resursgrupper i en prenumeration) till Azure Lighthouse genom att antingen distribuera Azure Resource Manager-mallarna eller genom Managed Services-erbjudanden som publicerats till Microsoft Marketplace.
Eftersom företagsanvändare vanligtvis har direkt åtkomst till företagets klientorganisationer och det inte finns något behov av att marknadsföra ett hanteringserbjudande, är det vanligtvis snabbare och enklare att distribuera Azure Resource Manager-mallar. Registreringsvägledningen avser tjänsteleverantörer och kunder, men företag kan använda samma processer för att registrera sina klienter.
Om du vill kan hyresgäster inom ett företag registreras genom att publicera ett erbjudande om hanterade tjänster på Microsoft Marketplace. Kontrollera att erbjudandet endast är tillgängligt för lämpliga klienter genom att se till att dina planer är inställda på privat. Med en privat plan anger du abonnemangs-ID:n för varje hyresgäst som du planerar att registrera, och ingen annan kan få ditt erbjudande.
Microsoft Entra External ID
Microsoft Entra External ID tillhandahåller företags-till-kund-identitet som en tjänst. När du delegerar en resursgrupp via Azure Lighthouse kan du använda Azure Monitor för att dirigera Microsoft Entra External ID inloggnings- och granskningsloggar till olika övervakningslösningar. Du kan behålla loggarna för långsiktig användning eller integrera med siem-verktyg (säkerhetsinformation och händelsehantering) från tredje part för att få insikter om din miljö.
Mer information finns i Set up Azure Monitor in external tenants.
Terminologianteckningar
För hantering mellan klientorganisationer i företaget kan referenser till tjänstleverantörer i Azure Lighthouse dokumentation tolkas som tillämpliga på den hanterande klientorganisationen inom ett företag, det vill ex. den klientorganisation som innehåller de användare som ska hantera resurser i andra klientorganisationer via Azure Lighthouse. På samma sätt kan alla referenser till kunder anses gälla för de klienter som delegerar resurser som ska hanteras via användare i den hanterande klientorganisationen.
I exemplet som beskrivs ovan kan du till exempel betrakta klientorganisation A som tjänstleverantörsklient (den hanterande klientorganisationen) och Klient B och Klientorganisation C som kundklientorganisationer.
Om du fortsätter med det exemplet kan användare hos klient A med rätt behörighet visa och hantera delegerade resurser på sidan Mina kunder i Azure-portalen. På samma sätt kan klient-B- och klient-C-användare med rätt behörighet visa och hantera information om sina delegeringar i Tjänstproviders sidan i Azure portalen.
Nästa steg
- Utforska alternativ för resursorganisation i arkitekturer med flera klientorganisationer.
- Lär dig mer om hanteringsupplevelser mellan klienter.
- Läs mer om hur Azure Lighthouse fungerar.