Kurumsal senaryolarda Azure Lighthouse

Makale
10/26/2023

Azure Lighthouse için yaygın bir senaryo, müşterilerinin Microsoft Entra kiracılarındaki kaynakları yöneten bir hizmet sağlayıcısını içerir. Azure Lighthouse'un özellikleri, birden çok Microsoft Entra kiracısı kullanan bir kuruluşta kiracılar arası yönetimi basitleştirmek için de kullanılabilir.

Tek ve birden çok kiracı karşılaştırması

Çoğu kuruluş için tek bir Microsoft Entra kiracısı ile yönetim daha kolaydır. Tüm kaynakların tek bir kiracıda olması, yönetim görevlerinin belirlenen kullanıcılar, kullanıcı grupları veya bu kiracı içindeki hizmet sorumluları tarafından merkezileştirilmesine olanak tanır. Mümkün olduğunda kuruluşunuz için bir kiracı kullanmanızı öneririz.

Bazı kuruluşların birden çok Microsoft Entra kiracısı kullanması gerekebilir. Alımlar gerçekleştiğinde ve uzun vadeli bir kiracı birleştirme stratejisi henüz tanımlanmamışsa bu geçici bir durum olabilir. Diğer durumlarda, tamamen bağımsız yan kuruluşlar, coğrafi veya yasal gereksinimler veya diğer önemli noktalar nedeniyle kuruluşların sürekli olarak birden çok kiracı tutması gerekebilir.

Çok kiracılı mimarinin gerekli olduğu durumlarda, Azure Lighthouse yönetim işlemlerini merkezileştirmeye ve kolaylaştırmaya yardımcı olabilir. Azure Lighthouse'u kullanarak tek bir kiracıyı yöneten kullanıcılar, kiracılar arası yönetim işlevlerini merkezi ve ölçeklenebilir bir şekilde gerçekleştirebilir.

Kiracı yönetimi mimarisi

Azure Lighthouse'ı bir kuruluşta kullanmak için, hangi kiracının diğer kiracılarda yönetim işlemleri gerçekleştiren kullanıcıları içereceğini belirlemeniz gerekir. Başka bir deyişle, bir kiracıyı diğer kiracılar için yönetim kiracısı olarak atamanız gerekir.

Örneğin, kuruluşunuzun Kiracı A olarak adlandıracağımız tek bir kiracısı olduğunu varsayalım. Kuruluşunuz daha sonra B Kiracısı ve C Kiracısı'na sahip olur ve bunları ayrı kiracı olarak tutmanızı gerektiren iş nedenleriniz vardır. Ancak, tümü için aynı ilke tanımlarını, yedekleme uygulamalarını ve güvenlik işlemlerini aynı kullanıcı kümesi tarafından gerçekleştirilen yönetim görevleriyle kullanmak istiyorsunuz.

A Kiracısı, kuruluşunuzda A Kiracısı için bu görevleri gerçekleştiren kullanıcıları zaten içerdiğinden, A Kiracısı'ndaki aynı kullanıcıların bu görevleri tüm kiracılarda gerçekleştirmesine olanak tanıyan B Kiracısı ve C Kiracısı'na abonelikler ekleyebilirsiniz.

Diagram showing users in Tenant A managing resources in Tenant B and Tenant C.

Güvenlik ve erişimle ilgili dikkat edilmesi gerekenler

Çoğu kurumsal senaryoda Azure Lighthouse'a tam abonelik temsilcisi atamak istersiniz. Ayrıca, bir abonelik içinde yalnızca belirli kaynak gruplarına temsilci seçmeyi de seçebilirsiniz.

Her iki durumda da, temsilci olarak atanan kaynaklara hangi kullanıcıların erişimi olacağını tanımlarken en az ayrıcalık ilkesini izlediğinize emin olun. Bunu yapmak, kullanıcıların yalnızca gerekli görevleri gerçekleştirmek için gereken izinlere sahip olduğundan emin olmanıza yardımcı olur ve yanlışlıkla hata olasılığını azaltır.

Azure Lighthouse, verileri veya kaynakları fiziksel olarak taşımak yerine yalnızca yönetilen kiracılarla yönetilen kiracılar arasında mantıksal bağlantılar sağlar. Ayrıca, erişim her zaman yönetilen kiracıdan yönetilen kiracılara kadar tek bir yönde ilerler. Yönetilen kiracı kaynaklarında yönetim işlemlerini gerçekleştirirken, yönetici kiracıdaki kullanıcılar ve gruplar çok faktörlü kimlik doğrulamasını kullanmaya devam etmelidir.

İç veya dış idare ve uyumluluk korumalarına sahip kuruluşlar, saydamlık gereksinimlerini karşılamak için Azure Etkinlik günlüklerini kullanabilir. Kurumsal kiracılar yönetim ve yönetilen kiracı ilişkileri kurduğunda, her kiracıdaki kullanıcılar, yönetilen kiracıdaki kullanıcılar tarafından yapılan eylemleri görmek için günlüğe kaydedilen etkinliği görüntüleyebilir.

Eklemeyle ilgili dikkat edilmesi gerekenler

Abonelikler (veya abonelik içindeki kaynak grupları), Azure Resource Manager şablonları dağıtılarak veya Azure Market yayımlanan Yönetilen Hizmetler teklifleri aracılığıyla Azure Lighthouse'a eklenebilir.

Kurumsal kullanıcılar genellikle kuruluşun kiracılarına doğrudan erişime sahip olacağından ve bir yönetim teklifini pazarlamaya veya yükseltmeye gerek olmadığından, Azure Resource Manager şablonlarını dağıtmak genellikle daha hızlı ve daha basittir. Ekleme kılavuzu hizmet sağlayıcılarını ve müşterileri ifade ederken, kuruluşlar kiracılarını eklemek için aynı işlemleri kullanabilir.

İsterseniz, bir kuruluştaki kiracılar Azure Market yönetilen hizmetler teklifi yayımlanarak eklenebilir. Teklifin yalnızca uygun kiracılar tarafından kullanılabildiğinden emin olmak için planlarınızın özel olarak işaretlendiğinden emin olun. Özel bir planla, eklemeyi planladığınız her kiracı için abonelik kimliklerini sağlarsınız ve başka hiç kimse teklifinizi alamaz.

Azure AD B2C

Azure Active Directory B2C (Azure AD B2C), hizmet olarak işletmeden müşteriye kimlik sağlar. Azure Lighthouse aracılığıyla bir kaynak grubuna temsilci seçtiğinizde Azure İzleyici'yi kullanarak Azure Active Directory B2C (Azure AD B2C) oturum açma ve denetim günlüklerini farklı izleme çözümlerine yönlendirebilirsiniz. Günlükleri uzun süreli kullanım için saklayabilir veya ortamınızla ilgili içgörüler elde etmek için üçüncü taraf güvenlik bilgileri ve olay yönetimi (SIEM) araçlarıyla tümleştirebilirsiniz.

Daha fazla bilgi için bkz . Azure İzleyici ile Azure AD B2C'yi izleme.

Terminoloji notları

Kuruluş içinde kiracılar arası yönetim için, Azure Lighthouse belgelerindeki hizmet sağlayıcılarına yapılan başvuruların, bir kuruluştaki yönetim kiracısına,yani Azure Lighthouse aracılığıyla diğer kiracılardaki kaynakları yönetecek kullanıcıları içeren kiracıya uygulanacağı anlaşılabilir. Benzer şekilde, müşterilere yapılan tüm başvuruların, yönetilen kiracıdaki kullanıcılar aracılığıyla yönetilecek kaynakları temsilci olarak ataan kiracılara uygulanacağı anlaşılabilir.

Örneğin, yukarıda açıklanan örnekte, A Kiracısı hizmet sağlayıcısı kiracısı (yöneten kiracı) olarak düşünülebilir ve B Kiracısı ve C Kiracısı müşteri kiracıları olarak düşünülebilir.

Bu örnekten devam edersek, uygun izinlere sahip Kiracı A kullanıcıları Azure portalının Müşterilerim sayfasında temsilci olarak atanan kaynakları görüntüleyebilir ve yönetebilir. Benzer şekilde, uygun izinlere sahip Kiracı B ve Kiracı C kullanıcıları, Azure portalının Hizmet sağlayıcıları sayfasında Kiracı A'ya atanan kaynakları görüntüleyebilir ve yönetebilir.

Sonraki adımlar

Çok kiracılı mimarilerde kaynak düzenleme seçeneklerini keşfedin.
Kiracılar arası yönetim deneyimleri hakkında bilgi edinin.
Azure Lighthouse'un nasıl çalıştığı hakkında daha fazla bilgi edinin.