Kurumsal senaryolarda Azure Lighthouse

Azure Lighthouse için yaygın bir senaryo, bir hizmet sağlayıcısının müşterilere ait Azure Active Directory (Azure AD) kiracılarındaki kaynakları yönetmesi durumudur. Azure Lighthouse'un özellikleri, birden çok Azure AD kiracısı kullanan bir kuruluşta kiracılar arası yönetimi basitleştirmek için de kullanılabilir.

Tek ve birden çok kiracı

Çoğu kuruluş için tek bir Azure AD kiracısı ile yönetim daha kolaydır. Tüm kaynakların bir kiracı içinde olması, yönetim görevlerinin belirlenen kullanıcılar, kullanıcı grupları veya bu kiracı içindeki hizmet sorumluları tarafından merkezileştirilmesine olanak tanır. Mümkün olduğunda kuruluşunuz için tek bir kiracı kullanmanızı öneririz.

Bazı kuruluşların birden çok Azure AD kiracısı kullanması gerekebilir. Alımlar gerçekleştiğinde ve uzun vadeli kiracı birleştirme stratejisi henüz tanımlanmadığından bu geçici bir durum olabilir. Diğer zamanlarda, tamamen bağımsız yan kuruluşlar, coğrafi veya yasal gereksinimler veya diğer önemli noktalar nedeniyle kuruluşların sürekli olarak birden çok kiracı tutması gerekebilir.

Çok kiracılı mimarinin gerekli olduğu durumlarda, Azure Lighthouse yönetim işlemlerini merkezileştirmeye ve kolaylaştırmaya yardımcı olabilir. Azure Lighthouse'u kullanarak tek bir yönetici kiracıdaki kullanıcılar, kiracılar arası yönetim işlevlerini merkezi ve ölçeklenebilir bir şekilde gerçekleştirebilir.

Kiracı yönetimi mimarisi

Azure Lighthouse'u bir kuruluşta kullanmak için, hangi kiracının diğer kiracılarda yönetim işlemleri gerçekleştiren kullanıcıları içereceğini belirlemeniz gerekir. Başka bir deyişle, bir kiracıyı diğer kiracılar için yönetici kiracı olarak atamanız gerekir.

Örneğin, kuruluşunuzun A Kiracısı olarak adlandıracağımız tek bir kiracısı olduğunu varsayalım. Kuruluşunuz daha sonra B Kiracısı ve C Kiracısı'na sahip olur ve bunları ayrı kiracı olarak tutmanızı gerektiren iş nedenleriniz vardır. Ancak, tüm kullanıcılar için aynı ilke tanımlarını, yedekleme uygulamalarını ve güvenlik işlemlerini, aynı kullanıcı kümesi tarafından gerçekleştirilen yönetim görevleriyle birlikte kullanmak istiyorsunuz.

A Kiracısı, kuruluşunuzda A Kiracısı için bu görevleri gerçekleştiren kullanıcıları zaten içerdiğinden, abonelikleri Kiracı B ve Kiracı C'ye ekleyebilir ve bu sayede A Kiracısı'ndaki aynı kullanıcıların tüm kiracılarda bu görevleri gerçekleştirmesine olanak sağlayabilirsiniz.

Diagram showing users in Tenant A managing resources in Tenant B and Tenant C.

Güvenlik ve erişim konusunda dikkat edilmesi gerekenler

Çoğu kurumsal senaryoda Azure Lighthouse'a tam bir abonelik devretmek istersiniz. Ayrıca, abonelik içinde yalnızca belirli kaynak gruplarına temsilci seçmeyi de seçebilirsiniz.

Her iki durumda da, temsilci olarak atanan kaynaklara hangi kullanıcıların erişeceğini tanımlarken en az ayrıcalık ilkesini izlediğinden emin olun. Bunun yapılması, kullanıcıların yalnızca gerekli görevleri gerçekleştirmek için gereken izinlere sahip olmasını sağlamaya yardımcı olur ve yanlışlıkla hata olasılığını azaltır.

Azure Lighthouse, verileri veya kaynakları fiziksel olarak taşımak yerine yalnızca yönetilen kiracılar ile yönetilen kiracılar arasında mantıksal bağlantılar sağlar. Ayrıca erişim, yönetilen kiracıdan yönetilen kiracılara kadar her zaman tek bir yönde ilerler. Yönetilen kiracıdaki kullanıcılar ve gruplar, yönetilen kiracı kaynaklarında yönetim işlemleri gerçekleştirirken çok faktörlü kimlik doğrulamasını kullanmaya devam etmelidir.

İç veya dış idare ve uyumluluk korumalarına sahip kuruluşlar, saydamlık gereksinimlerini karşılamak için Azure Etkinlik günlüklerini kullanabilir. Kurumsal kiracılar yönetim ve yönetilen kiracı ilişkileri kurduklarında, her kiracıdaki kullanıcılar, yönetilen kiracıdaki kullanıcılar tarafından yapılan eylemleri görmek için günlüğe kaydedilen etkinliği görüntüleyebilir.

Ekleme konusunda dikkat edilmesi gerekenler

Abonelikler (veya abonelik içindeki kaynak grupları), Azure Resource Manager şablonları dağıtılarak veya Azure Market'de yayımlanan Yönetilen Hizmetler teklifleri aracılığıyla Azure Lighthouse'a eklenebilir.

Kurumsal kullanıcılar genellikle kuruluşun kiracılarına doğrudan erişime sahip olacağından ve bir yönetim teklifini pazarlamaya veya yükseltmeye gerek olmadığından, Azure Resource Manager şablonlarını dağıtmak genellikle daha hızlı ve daha basittir. Ekleme kılavuzu hizmet sağlayıcılarını ve müşterileri ifade ederken, kuruluşlar kiracılarını eklemek için aynı işlemleri kullanabilir.

İsterseniz, bir kuruluştaki kiracılar Azure Market yönetilen hizmetler teklifi yayımlanarak eklenebilir. Teklifin yalnızca uygun kiracılar tarafından kullanılabildiğinden emin olmak için planlarınızın özel olarak işaretlendiğinden emin olun. Özel bir planla, eklemeyi planladığınız her kiracı için abonelik kimliklerini sağlarsınız ve başka hiç kimse teklifinizi alamaz.

Azure AD B2C

Azure Active Directory B2C (Azure AD B2C), hizmet olarak işletmeden müşteriye kimlik sağlar. Azure Lighthouse aracılığıyla bir kaynak grubuna temsilci eklediğinizde, Azure Active Directory B2C (Azure AD B2C) oturum açma ve denetim günlüklerini farklı izleme çözümlerine yönlendirmek için Azure İzleyici'yi kullanabilirsiniz. Günlükleri uzun süreli kullanım için saklayabilir veya ortamınızla ilgili içgörüler elde etmek için üçüncü taraf güvenlik bilgileri ve olay yönetimi (SIEM) araçlarıyla tümleştirebilirsiniz.

Daha fazla bilgi için bkz. Azure İzleyici ile Azure AD B2C'yi izleme.

Terim notları

Kuruluş içinde kiracılar arası yönetim için, Azure Lighthouse belgelerindeki hizmet sağlayıcılarına yapılan başvuruların bir kuruluştaki yönetim kiracısına, yani Azure Lighthouse aracılığıyla diğer kiracılardaki kaynakları yönetecek kullanıcıları içeren kiracıya uygulanacağı anlaşılabilir. Benzer şekilde, müşterilere yapılan tüm başvuruların, yönetilen kiracıdaki kullanıcılar aracılığıyla yönetilecek kaynakları temsilci olarak ataan kiracılara uygulanacağı anlaşılabilir.

Örneğin, yukarıda açıklanan örnekte, A Kiracısı hizmet sağlayıcısı kiracısı (yönetici kiracı) ve Kiracı B ve C Kiracısı olarak düşünülebilir.

Bu örnekten devam edersek, uygun izinlere sahip Kiracı A kullanıcıları, Azure portal Müşterilerim sayfasında temsilci olarak atanan kaynakları görüntüleyebilir ve yönetebilir. Benzer şekilde, uygun izinlere sahip Kiracı B ve Kiracı C kullanıcıları, Azure portal Hizmet sağlayıcıları sayfasında Kiracı A'ya atanan kaynakları görüntüleyebilir ve yönetebilir.

Sonraki adımlar