Kiracılar arası yönetim deneyimleri

Hizmet sağlayıcısı olarak, müşterilerinizin Azure kaynaklarını kendi Microsoft Entra kiracınızdan yönetmek için Azure Lighthouse'u kullanabilirsiniz. Bu yönetilen kiracılar arasında birçok yaygın görev ve hizmet gerçekleştirilebilir.

İpucu

Azure Lighthouse, kiracılar arası yönetimi basitleştirmek için kendi başına birden çok Microsoft Entra kiracısı olan bir kuruluşta da kullanılabilir.

Kiracıları ve temsilci seçmeyi anlama

Microsoft Entra kiracısı, bir kuruluşun temsilidir. Bu, bir kuruluşun Azure, Microsoft 365 veya diğer hizmetlere kaydolarak Microsoft ile ilişki oluşturduğunuzda aldığı özel bir Microsoft Entra Id örneğidir. Her Microsoft Entra kiracısı, diğer Microsoft Entra kiracılarından ayrıdır ve kendi kiracı kimliğine (GUID) sahiptir. Daha fazla bilgi için bkz . Microsoft Entra Id nedir?

Genellikle, bir müşterinin Azure kaynaklarını yönetmek için hizmet sağlayıcılarının bu müşterinin kiracısıyla ilişkili bir hesabı kullanarak Azure portalında oturum açması gerekir. Bu senaryoda, müşterinin kiracısında bir yöneticinin hizmet sağlayıcısı için kullanıcı hesapları oluşturması ve yönetmesi gerekir.

Azure Lighthouse ile ekleme işlemi, hizmet sağlayıcısının kiracısında, müşterinin kiracısında temsilci aboneliklere ve kaynak gruplarına roller atanan kullanıcıları belirtir. Bu kullanıcılar daha sonra kendi kimlik bilgilerini kullanarak Azure portalında oturum açabilir ve erişim sahibi oldukları tüm müşterilere ait kaynaklar üzerinde çalışabilir. Yönetici kiracıdaki kullanıcılar, Azure portalındaki Müşterilerim sayfasını ziyaret ederek bu müşterilerin tümünü görebilir. Ayrıca, azure portalında veya API'ler aracılığıyla doğrudan müşterinin aboneliği bağlamındaki kaynaklar üzerinde çalışabilir.

Azure Lighthouse, farklı kiracılardaki farklı hesaplarda oturum açmak zorunda kalmadan birden çok müşterinin kaynaklarını yönetme esnekliği sağlar. Örneğin, bir hizmet sağlayıcısının farklı sorumlulukları ve erişim düzeyleri olan iki müşterisi olabilir. Yetkili kullanıcılar, Azure Lighthouse'ı kullanarak hizmet sağlayıcısının kiracısında oturum açabilir ve her temsilci için atanan rollere göre bu müşteriler genelindeki tüm temsilci kaynaklarına erişebilir.

API'ler ve yönetim aracı desteği

Yönetim görevlerini Azure portalında temsilci olarak atanan kaynaklarda gerçekleştirebilir veya Azure CLI ve Azure PowerShell gibi API'leri ve yönetim araçlarını kullanabilirsiniz. İşlevler kiracılar arası yönetim için desteklendiği ve kullanıcının uygun izinlere sahip olduğu sürece, mevcut tüm API'ler temsilci olarak atanan kaynaklarda kullanılabilir.

Azure PowerShell Get-AzSubscription cmdlet'i , yönetici kiracı için varsayılan olarak öğesini TenantId gösterir. Her aboneliğin HomeTenantId ve ManagedByTenantIds öznitelikleri, döndürülen aboneliğin yönetilen bir kiracıya mı yoksa yönetilen kiracınıza mı ait olduğunu belirlemenize olanak sağlar.

Benzer şekilde az account list gibi Azure CLI komutları da ve managedByTenants özniteliklerini gösterirhomeTenantId. Azure CLI kullanırken bu değerleri görmüyorsanız, komutunu çalıştırarak az account clear az login --identityönbelleğinizi temizlemeyi deneyin.

Azure REST API'sinde Abonelikler - Alma ve Abonelikler - Liste komutları içerir ManagedByTenant.

Not

Azure Lighthouse ile ilgili kiracı bilgilerine ek olarak, bu API'ler tarafından gösterilen kiracılar Azure Databricks veya Azure yönetilen uygulamaları için iş ortağı kiracılarını da yansıtabilir.

Ayrıca Azure Lighthouse görevlerini gerçekleştirmeye özgü API'ler de sağlıyoruz. Daha fazla bilgi için Başvuru bölümüne bakın.

Gelişmiş hizmetler ve senaryolar

Azure görevlerinin ve hizmetlerinin çoğu, uygun rollerin verildiği varsayılarak yönetilen kiracılar genelinde temsilci olarak atanan kaynaklarla kullanılabilir. Aşağıda, kiracılar arası yönetimin özellikle etkili olabileceği temel senaryolardan bazıları yer almaktadır.

Azure Arc:

• Hibrit sunucuları büyük ölçekte yönetme - Azure Arc özellikli sunucular:
  • Azure'da temsilci müşteri aboneliklerine ve/veya kaynak gruplarına sunucuları ekleme
  • Temsilci aboneliklerine bağlı Azure dışındaki Windows Server veya Linux makinelerini yönetme
  • Azure İlkesi ve etiketleme gibi Azure yapılarını kullanarak bağlı makineleri yönetme
  • Müşterilerin karma ortamlarında aynı ilke kümesinin uygulandığından emin olun
  • Müşterilerin karma ortamlarında uyumluluğu izlemek için Bulut için Microsoft Defender kullanma
• Hibrit Kubernetes kümelerini büyük ölçekte yönetme - Azure Arc özellikli Kubernetes:
  • Kubernetes kümelerini temsilci aboneliklere ve/veya kaynak gruplarına bağlama
  • Bağlı kümelere yapılandırma dağıtmak için GitOps kullanma
  • Bağlı kümeler arasında ilkeleri zorlama gibi yönetim görevlerini gerçekleştirme

Azure Otomasyonu:

• Otomasyon hesaplarını kullanarak temsilci olarak atanan kaynaklara erişme ve bu kaynaklarla çalışma

Azure Backup:

• Azure Backup'ı kullanarak müşteri verilerini yedekleyin ve geri yükleyin. Şu anda şu Azure iş yükleri desteklenmektedir: Azure Sanal Makineler (Azure VM), Azure Dosyalar, Azure VM'lerinde SQL Server, Azure VM'lerinde SAP HANA. Backup kasasından (PostgreSQL için Azure Veritabanı, Azure Blob, Azure Yönetilen Disk ve Azure Kubernetes Services gibi) yararlanan iş yükleri şu anda tam olarak desteklenmemektedir.
• Yedekleme merkezinde tüm temsilci müşteri kaynakları için verileri görüntüleme
• Yedekleme öğelerinin (henüz yedekleme için yapılandırılmamış Azure kaynakları dahil) işletimsel bilgilerini ve temsilci abonelikleri için izleme bilgilerini (işler ve uyarılar) görüntülemeye yardımcı olması için Yedekleme Gezgini'ni kullanın. Yedekleme Gezgini şu anda yalnızca Azure VM verileri için kullanılabilir.
• Geçmiş eğilimleri izlemek, yedekleme depolama alanı tüketimini analiz etmek ve yedeklemeleri ve geri yüklemeleri denetlemek için temsilci abonelikleri arasında Yedekleme raporlarını kullanın.

Azure Blueprints:

• Kaynak şablonlarının ve diğer yapıtların dağıtımını yönetmek için Azure Blueprints'i kullanın (müşteri aboneliğini hazırlamak için ek erişim gerektirir)

Azure Maliyet Yönetimi + Faturalama:

• YÖNETILEN kiracıda CSP iş ortakları, Azure planı kapsamındaki müşteriler için vergi öncesi tüketim maliyetlerini (satın almalar dahil değildir) görüntüleyebilir, yönetebilir ve analiz edebilir. Maliyet, perakende fiyatlarına ve iş ortağının müşterinin aboneliği için sahip olduğu Azure rol tabanlı erişim denetimi (Azure RBAC) erişimine bağlıdır. Şu anda, Azure RBAC erişimine göre her bir müşteri aboneliği için tüketim maliyetlerini perakende fiyatlarıyla görüntüleyebilirsiniz.

Azure Key Vault:

• Müşteri kiracılarında Anahtar Kasaları oluşturma
• Müşteri kiracılarında Anahtar Kasaları oluşturmak için yönetilen kimlik kullanma

Azure Kubernetes Service (AKS):

• Barındırılan Kubernetes ortamlarını yönetme ve kapsayıcılı uygulamaları müşteri kiracılarında dağıtma ve yönetme
• Müşteri kiracılarında kümeleri dağıtma ve yönetme
• Müşteri kiracıları arasında performansı izlemek için kapsayıcılar için Azure İzleyici'yi kullanma

Azure Geçişi:

• Müşteri kiracısında geçiş projeleri oluşturma ve VM'leri geçirme

Azure İzleyici:

• Tüm aboneliklerde uyarıları görüntüleme ve yenileme özelliğiyle temsilci abonelikleri için uyarıları görüntüleme
• Temsilci abonelikleri için etkinlik günlüğü ayrıntılarını görüntüleme
• Log Analytics: Birden çok kiracıdaki uzak çalışma alanlarından veri sorgulama (müşteri kiracılarındaki çalışma alanlarındaki verilere erişmek için kullanılan otomasyon hesaplarının aynı kiracıda oluşturulması gerektiğini unutmayın)
• Müşteri kiracılarında uyarı oluşturma, görüntüleme ve yönetme
• Web kancaları aracılığıyla yönetim kiracısında, Azure Otomasyonu runbook'ları veya Azure İşlevleri gibi otomasyonu tetikleyen müşteri kiracılarında uyarılar oluşturma
• Kaynak günlüklerini yönetim kiracısında çalışma alanlarına göndermek için müşteri kiracılarında oluşturulan çalışma alanlarında tanılama ayarları oluşturma
• SAP iş yükleri için sap çözümleri ölçümlerini müşteri kiracıları genelinde toplu bir görünümle izleyin
• Azure AD B2C için oturum açma ve denetim günlüklerini farklı izleme çözümlerine yönlendirin

Azure Ağı:

• Yönetilen kiracılarda Azure Sanal Ağ ve sanal ağ arabirimi kartlarını (vNIC) dağıtma ve yönetme
• Müşterilerin Sanal Ağ kaynaklarını korumak için Azure Güvenlik Duvarı dağıtma ve yapılandırma
• Azure Sanal WAN, Azure ExpressRoute ve VPN Gateway gibi bağlantı hizmetlerini yönetme
• Azure Ağ MSP Programı için önemli senaryoları desteklemek için Azure Lighthouse'ı kullanma

Azure İlkesi:

• Temsilci abonelikleri içinde ilke tanımları oluşturma ve düzenleme
• İlke tanımlarını ve ilke atamalarını birden çok kiracıya dağıtma
• Temsilci abonelikleri içinde müşteri tanımlı ilke tanımları atama
• Müşteriler, hizmet sağlayıcısı tarafından yazılan ilkeleri ve kendi yazdıkları ilkeleri görür
• Yönetilen kiracı içinde deployIfNotExists'i düzeltebilir veya atamaları değiştirebilir
• Müşteri kiracılarındaki uyumlu olmayan kaynaklar için uyumluluk ayrıntılarını görüntülemenin şu anda desteklenmediğini unutmayın

Azure Kaynak Grafı:

• Bir aboneliğin yönetilen bir kiracıya ait olup olmadığını belirlemenize olanak sağlayan döndürülen sorgu sonuçlarında kiracı kimliğini görün

Azure Hizmet Durumu:

• Azure Kaynak Durumu ile müşteri kaynaklarının durumunu izleme
• Müşterileriniz tarafından kullanılan Azure hizmetlerinin durumunu izleme

Azure Site Recovery:

• Müşteri kiracılarındaki Azure sanal makineleri için olağanüstü durum kurtarma seçeneklerini yönetme (VM uzantılarını kopyalamak için hesapları kullanamazsınız RunAs )

Azure Sanal Makineler:

• Azure VM'lerinde dağıtım sonrası yapılandırma ve otomasyon görevleri sağlamak için sanal makine uzantılarını kullanma
• Azure VM'lerinde sorun gidermek için önyükleme tanılamasını kullanma
• Seri konsol ile VM'lere erişme
• İlke aracılığıyla yönetilen kimlik kullanarak parolalar, gizli diziler veya disk şifreleme anahtarları için VM'leri Azure Key Vault ile tümleştirin ve gizli dizilerin yönetilen kiracılardaki bir Key Vault'ta depolandığından emin olun
• VM'lerde uzaktan oturum açmak için Microsoft Entra Id'yi kullanamazsınız

Bulut için Microsoft Defender:

• Kiracılar arası görünürlük
  • Güvenlik ilkeleriyle uyumluluğu izleme ve tüm kiracıların kaynakları arasında güvenlik kapsamı sağlama
  • Tek bir görünümde birden çok kiracıda sürekli mevzuat uyumluluğu izleme
  • Güvenli puan hesaplamasıyla eyleme dönüştürülebilir güvenlik önerilerini izleme, önceliklendirme ve önceliklendirme
• Kiracılar arası güvenlik duruşu yönetimi
  • Güvenlik ilkelerini yönetin
  • Eyleme dönüştürülebilir güvenlik önerileriyle uyumlu olmayan kaynaklar üzerinde eylem gerçekleştirme
  • Güvenlikle ilgili verileri toplama ve depolama
• Kiracılar arası tehdit algılama ve koruma
  • Kiracıların kaynakları arasındaki tehditleri algılama
  • Tam zamanında (JIT) VM erişimi gibi gelişmiş tehdit koruma denetimleri uygulama
  • Uyarlamalı Ağ Sağlamlaştırma ile ağ güvenlik grubu yapılandırmasını sağlamlaştırma
  • Sunucuların yalnızca uyarlamalı uygulama denetimleriyle olması gereken uygulamaları ve işlemleri çalıştırdığından emin olun
  • Dosya Bütünlüğünü İzleme (FIM) ile önemli dosyalarda ve kayıt defteri girdilerinde yapılan değişiklikleri izleme
• Aboneliğin tamamının yönetim kiracısına temsilci olarak atanması gerektiğini unutmayın; Bulut için Microsoft Defender senaryoları temsilcili kaynak gruplarında desteklenmez

Microsoft Sentinel:

• Müşteri kiracılarındaki Microsoft Sentinel kaynaklarını yönetme
• Saldırıları izleme ve birden çok kiracıda güvenlik uyarılarını görüntüleme
• Kiracılara yayılmış birden çok Microsoft Sentinel çalışma alanında olayları görüntüleme

Destek istekleri:

• Temsilci olarak atanan kaynaklar için Azure portalında Yardım + destekten gelen destek isteklerini açın (temsilci kapsamı için kullanılabilir destek planını seçme)
• Temsilci olarak atanan müşteri kaynakları için Azure hizmet kotalarını görüntülemek ve yönetmek için Azure Kota API'sini kullanma

Geçerli sınırlamalar

Tüm senaryolarda aşağıdaki geçerli sınırlamalara dikkat edin:

• Azure Resource Manager tarafından işlenen istekler Azure Lighthouse kullanılarak gerçekleştirilebilir. Bu isteklerin işlem URI'leri ile https://management.azure.combaşlar. Ancak, kaynak türünün bir örneği (Key Vault gizli dizi erişimi veya depolama verileri erişimi gibi) tarafından işlenen istekler Azure Lighthouse ile desteklenmez. Bu isteklerin işlem URI'leri genellikle örneğine özgü veya https://mykeyvault.vault.azure.net/gibi https://myaccount.blob.core.windows.net bir adresle başlar. İkincisi de genellikle yönetim işlemleri yerine veri işlemleridir.
• Rol atamaları Azure yerleşik rollerini kullanmalıdır. Sahip veya izni olan yerleşik roller dışında tüm yerleşik roller şu anda Azure Lighthouse ile DataActions desteklenmektedir. Kullanıcı Erişimi Yöneticisi rolü yalnızca yönetilen kimliklere rol atamada sınırlı kullanım için desteklenir. Özel roller ve klasik abonelik yöneticisi rolleri desteklenmez. Daha fazla bilgi için bkz . Azure Lighthouse için rol desteği.
• Yönetilen kiracıdaki kullanıcılar için Azure Lighthouse aracılığıyla yapılan rol atamaları Erişim Denetimi (IAM) altında veya gibi az role assignment listCLI araçlarıyla gösterilmez. Bu atamalar yalnızca Azure portalında Azure Lighthouse'un Temsilciler bölümünde veya Azure Lighthouse API'sinde görünür.
• Azure Databricks kullanan abonelikleri ekleyebilirken, yönetici kiracıdaki kullanıcılar temsilci aboneliğinde Azure Databricks çalışma alanlarını başlatamaz.
• Kaynak kilitleri olan abonelikleri ve kaynak gruplarını eklemenize karşın, bu kilitler eylemlerin yönetici kiracıdaki kullanıcılar tarafından gerçekleştirilmesini engellemez. Azure yönetilen uygulamaları veya Azure Blueprints tarafından oluşturulanlar gibi sistem tarafından yönetilen kaynakları (sistem tarafından atanan reddetme atamaları) koruyan atamaları reddetme, yönetici kiracıdaki kullanıcıların bu kaynaklar üzerinde hareket etmesini engeller. Ancak, müşteri kiracısında kullanıcılar kendi reddetme atamalarını oluşturamaz.
• Bir ulusal bulut ve Azure genel bulutu veya iki ayrı ulusal bulut genelinde aboneliklerin temsili desteklenmez.

Sonraki adımlar

• Azure Resource Manager şablonlarını kullanarak veya Azure Market için özel veya genel yönetilen bir hizmet teklifi yayımlayarak müşterilerinizi Azure Lighthouse'a ekleyin.
• Azure portalında Müşterilerim'e giderek müşterileri görüntüleyin ve yönetin.
• Azure Lighthouse mimarisi hakkında daha fazla bilgi edinin.