Azure Lighthouse 在企業案例中的運用

  • 發行項

Azure Lighthouse 的常見案例涉及其客戶的 Microsoft Entra 租用戶中管理資源的服務提供者。 Azure Lighthouse 的功能也能用於在使用多個 Microsoft Entra 租用戶的企業中簡化跨租用戶管理。

單一與多個租用戶的比較

對於大部分的組織而言,單一 Microsoft Entra 租用戶的管理比較輕鬆。 讓一個租用戶內的所有資源,都可由指定的使用者、使用者群組,或該租用戶內的服務主體集中進行管理工作。 我們建議盡可能讓貴組織使用一個租用戶。

部分組織可能需要使用多個 Microsoft Entra 租用戶。 這可能是暫時性情況,像是進行收購時尚未決定長期租用戶彙總策略, 又或者是組織因為完全獨立的子公司、地理或法律需求等其他考量需要持續維護多個租用戶。

需要使用多租用戶結構時,Azure Lighthouse 可協助集中和簡化管理作業。 藉由使用 Azure Lighthouse,在管理租用戶中的使用者便能以可調整的集中式方法執行跨租用戶管理功能

租用戶管理架構

若要在企業中使用 Azure Lighthouse,您必須決定要在哪個租用戶中加入能對其他所有租用戶執行管理作業的使用者; 換句話說,您必須將一個租用戶指定為所有其他租用戶的管理租用戶。

例如,假設貴組織有一個我們會稱之為「租用戶 A」的租用戶。貴組織接著會取得租用戶 B租用戶 C,而您有需要將其當作個別租用戶維護的商務理由。 不過,您想讓所有租用戶使用相同的原則定義、備份做法和安全性程序,並由同一組使用者執行管理工作。

由於租用戶 A 已包含貴組織中為該租用戶執行上述工作的使用者,因此您可以將訂閱上線至租用戶 B 與租用戶 C,藉此讓租用戶 A 中同一批使用者對所有租用戶執行同樣工作。

Diagram showing users in Tenant A managing resources in Tenant B and Tenant C.

安全性和存取考量

大部分企業案例會將完整訂閱委派給 Azure Lighthouse, 但您也可以選擇只委派訂閱內的特定資源群組。

無論採取哪種做法,定義可存取委派資源的使用者時,請務必遵循最低權限原則, 這麼做有助於確保使用者只擁有執行必要工作所需的權限,並可減少意外錯誤的機會。

Azure Lighthouse 僅提供管理租用戶與受控租用戶之間的邏輯連結,不會實際移動資料或資源。 此外,存取一律只限單一方向:從管理租用戶到受控租用戶。 管理租用戶中的使用者和群組對受控租用戶的資源執行管理作業時,必須繼續使用多重要素驗證。

具有內部或外部治理和合規性防護的企業可以使用 Azure 活動記錄來符合其透明度需求。 企業租用戶的管理和受控租用戶之間建立關聯性後,每個租用戶中的使用者均可檢視記錄活動,藉此查看管理租用戶內的使用者採取的動作。

上線考量事項

訂閱 (或訂閱內的資源群組) 可藉由部署 Azure Resource Manager 範本,或透過發佈至 Azure Marketplace 的受控服務供應項目上線至 Azure Lighthouse。

由於企業使用者通常能夠直接存取企業的租用戶,因此不需要行銷或推廣管理供應項目;一般而言,部署 Azure Resource Manager 範本會更快速簡單。 雖然上線指導的目標對象為服務提供者和客戶,但企業也能使用相同的程序將租用戶上線。

如果您想要,將受控服務供應項目發佈至 Azure Marketplace,即可在企業內將租用戶上架。 若要確保供應項目僅適用於適當的租用戶,請確定您的方案已標示為私人。 您可以透過私人方案為計畫要上線的每個租用戶提供訂閱識別碼,其他人都無法取得您的供應項目。

Azure AD B2C

Azure Active Directory B2C (Azure AD B2C) 提供企業對客戶的身分識別即服務。 透過 Azure Lighthouse 委派資源群組時,可以使用 Azure 監視器將 Azure Active Directory B2C (Azure AD B2C) 登入和稽核記錄路由傳送至不同的監視解決方案。 您可以保留記錄以供長期使用,或將記錄與第三方安全性資訊與事件管理 (SIEM) 工具整合,以深入了解您的環境。

如需詳細資訊,請參閱使用 Azure 監視器監視 Azure AD B2C

術語注意事項

針對企業內的跨租用戶管理,Azure Lighthouse 文件中提及的服務提供者可理解為企業內的管理租用戶;這些租用戶內含會透過 Azure Lighthouse 管理其他租用戶資源的使用者。 同樣地,文件中提及的客戶可理解為要委派資源供管理租用戶中的使用者進行管理的租用戶。

例如,在上述範例中,可以將租用戶 A 視為服務提供者租用戶 (管理租用戶),而租用戶 B 和租用戶 C 則被視為客戶租用戶。

在該範例中,具有適當權限的租用戶 A 使用者可以在 Azure 入口網站的 [我的客戶] 頁面中檢視及管理委派的資源。 同樣地,具有適當權限的租用戶 B 和租用戶 C 使用者可以在 Azure 入口網站的 [服務提供者] 頁面中,檢視和管理已被委派的資源

下一步