跨租使用者管理體驗
身為服務提供者,您可以使用 Azure Lighthouse ,從您自己的 Microsoft Entra 租使用者中管理客戶的 Azure 資源。 您可以跨這些受控租使用者執行許多常見的工作和服務。
提示
Azure Lighthouse 也可以在擁有自己多個 Microsoft Entra 租用戶的企業內使用,以簡化跨租使用者管理。
瞭解租使用者和委派
Microsoft Entra 租用戶是組織的代表專案。 這是組織透過註冊 Azure、Microsoft 365 或其他服務來建立與 Microsoft 建立關聯性時所收到的 Microsoft Entra 標識符專用實例。 每個 Microsoft Entra 租使用者都是相異且與其他 Microsoft Entra 租使用者分開的,而且有自己的租用戶識別碼(GUID)。 如需詳細資訊,請參閱 什麼是 Microsoft Entra ID?
一般而言,為了管理客戶的 Azure 資源,服務提供者必須使用與客戶租使用者相關聯的帳戶登入 Azure 入口網站。 在此案例中,客戶租使用者中的系統管理員必須建立和管理服務提供者的用戶帳戶。
透過 Azure Lighthouse,上線程式會指定服務提供者租使用者中指派角色給客戶租使用者中委派訂用帳戶和資源群組的使用者。 然後,這些使用者可以使用自己的認證登入 Azure 入口網站,並處理屬於他們有權存取之所有客戶的資源。 管理租使用者中的用戶可流覽 Azure 入口網站 中的 [我的客戶] 頁面,以查看所有這些客戶。 他們也可以直接在客戶訂用帳戶的內容中,在 Azure 入口網站 或透過 API 處理資源。
Azure Lighthouse 提供彈性來管理多個客戶的資源,而不需要登入不同租使用者中的不同帳戶。 例如,服務供應商可能有兩個不同職責和存取層級的客戶。 使用 Azure Lighthouse,授權的使用者可以登入服務提供者的租使用者,並根據每個委派指派的角色,存取這些客戶的所有委派資源。
API 和管理工具支援
您可以在 Azure 入口網站 中對委派的資源執行管理工作,也可以使用 Azure CLI 和 Azure PowerShell 等 API 和管理工具。 所有現有的 API 都可以用於委派的資源,只要跨租使用者管理支援此功能,而且使用者具有適當的許可權。
Azure PowerShell Get-AzSubscription Cmdlet 預設會顯示 TenantId
管理租使用者的 。 HomeTenantId
每個訂用帳戶的 和 ManagedByTenantIds
屬性可讓您識別傳回的訂用帳戶是否屬於受控租使用者或管理租使用者。
同樣地,az account list 之類的 Azure CLI 命令會顯示 homeTenantId
和 managedByTenants
屬性。 如果您在使用 Azure CLI 時看不到這些值,請嘗試執行 ,然後az login --identity
執行 az account clear
來清除快取。
在 Azure REST API 中 ,訂用帳戶 - 取得 和 訂用帳戶 - 清單 命令包括 ManagedByTenant
。
注意
除了與 Azure Lighthouse 相關的租用戶資訊之外,這些 API 所顯示的租使用者也可能反映 Azure Databricks 或 Azure 受控應用程式的合作夥伴租使用者。
我們也提供執行 Azure Lighthouse 工作的特定 API。 如需詳細資訊,請參閱 參考 一節。
增強的服務與案例
大部分的 Azure 工作和服務都可以與受控租用戶之間的委派資源搭配使用,假設已授與適當的角色。 以下是跨租使用者管理特別有效的一些主要案例。
- 大規模管理混合式伺服器 - 已啟用 Azure Arc 的伺服器:
- 將伺服器 上線至 Azure 中委派的客戶訂用帳戶和/或資源群組
- 管理 Azure 外部連線至委派訂用帳戶的 Windows Server 或 Linux 機器
- 使用 Azure 建構管理連線的電腦,例如 Azure 原則 和標記
- 確定在客戶的混合式環境中套用相同的原則集
- 使用 適用於雲端的 Microsoft Defender 監視客戶混合式環境的合規性
- 大規模管理混合式 Kubernetes 叢集 - 已啟用 Azure Arc 的 Kubernetes:
- 連線 Kubernetes 叢集至委派的訂用帳戶和/或資源群組
- 使用 GitOps 將組態部署至連線的叢集
- 執行管理工作,例如 跨連線叢集強制執行原則
- 使用自動化帳戶來存取和使用委派的資源
- 從內部部署工作負載、Azure VM、Azure 檔案共用等等備份和還原客戶數據
- 在備份中心檢視 所有委派客戶資源的數據
- 使用備份總管來協助檢視備份專案的作業資訊(包括尚未針對備份設定的 Azure 資源),以及委派訂用帳戶的監視資訊(作業和警示)。 備份總管目前僅適用於 Azure VM 數據。
- 使用 跨委派訂閱的備份報告 來追蹤歷程記錄趨勢、分析備份記憶體耗用量,以及稽核備份和還原。
- 使用 Azure 藍圖協調資源範本和其他成品的部署(需要 額外的存取 權才能準備客戶訂用帳戶)
- 從管理租使用者中,CSP 合作夥伴可以檢視、管理及分析 Azure 方案下客戶的稅前消費成本(不包括購買)。 成本是以零售費率和 Azure 角色型存取控制 (Azure RBAC) 存取權為基礎,合作夥伴針對客戶的訂用帳戶擁有。 目前,您可以根據 Azure RBAC 存取權,檢視每個個別客戶訂用帳戶的零售費率耗用量成本。
- 在客戶租使用者中建立 金鑰保存庫
- 使用受控識別在客戶租使用者中建立 金鑰保存庫
Azure Kubernetes Service (AKS):
- 管理託管的 Kubernetes 環境,並在客戶租使用者內部署和管理容器化應用程式
- 在客戶租使用者中部署和管理叢集
- 使用適用於容器 的 Azure 監視器來監視客戶租使用者的效能
- 在客戶租使用者中建立移轉專案並移轉 VM
- 檢視委派訂閱的警示,並能夠檢視和重新整理所有訂用帳戶的警示
- 檢視委派訂閱的活動記錄詳細數據
- Log Analytics:從多個租使用者中的遠端工作區查詢數據(請注意,用來從客戶租使用者中工作區存取數據的自動化帳戶必須在相同的租使用者中建立)
- 在客戶租使用者中建立、檢視及管理警示
- 在客戶租使用者中建立警示,以觸發自動化,例如 Azure 自動化 Runbook 或 Azure Functions,透過 Webhook 管理租使用者
- 在客戶租使用者中建立的工作區中建立診斷設定,以將資源記錄傳送至管理租使用者中的工作區
- 針對 SAP 工作負載, 使用跨客戶租用戶的匯總檢視來監視 SAP 解決方案計量
- 針對 Azure AD B2C, 將登入和稽核記錄 路由傳送至不同的監視解決方案
Azure 網络功能:
- 在受控租使用者內部署和管理 Azure 虛擬網絡 和虛擬網路介面卡 (vNIC)
- 部署和設定 Azure 防火牆 以保護客戶的 虛擬網絡 資源
- 管理 Azure 虛擬 WAN、Azure ExpressRoute 和 VPN 閘道 等連線服務
- 使用 Azure Lighthouse 支援 Azure 網路 MSP 計劃的主要案例
- 在委派的訂用帳戶內建立和編輯原則定義
- 跨多個租使用者部署原則定義和原則指派
- 在委派的訂用帳戶內指派客戶定義的原則定義
- 客戶會看到服務提供者所撰寫的原則,以及他們自行撰寫的任何原則
- 可以 補救 managed 租使用者內的 deployIfNotExists 或修改指派
- 請注意,目前不支援在客戶租用戶中檢視不符合規範資源的合規性詳細數據
- 查看傳回查詢結果中的租使用者標識碼,讓您識別訂用帳戶是否屬於受控租使用者
- 使用 Azure 資源健康狀態 監視客戶資源的健康情況
- 追蹤客戶所使用的 Azure 服務健康情況
- 管理客戶租使用者中 Azure 虛擬機的災害復原選項(請注意,您無法使用
RunAs
帳戶來複製 VM 擴充功能)
- 使用虛擬機擴充功能在 Azure VM 上提供部署後設定和自動化工作
- 使用開機診斷對 Azure VM 進行疑難解答
- 使用序列主控台存取 VM
- 透過原則使用受控識別來整合 VM 與 Azure 金鑰保存庫,以取得磁碟加密的密碼、秘密或密碼編譯密鑰,確保秘密儲存在受控租使用者中的 金鑰保存庫
- 請注意,您無法使用 Microsoft Entra ID 遠端登入 VM
- 跨租用戶可見度
- 監視安全策略的合規性,並確保所有租用戶資源的安全性涵蓋範圍
- 單一檢視中跨多個租用戶的連續法規合規性監視
- 使用安全分數計算來監視、分級及排定可採取動作的安全性建議優先順序
- 跨租用戶安全性狀態管理
- 管理安全性原則
- 對不符合可採取動作的安全性建議的資源採取動作
- 收集和儲存安全性相關數據
- 跨租用戶威脅偵測和保護
- 偵測租用戶資源之間的威脅
- 套用進階威脅防護控件,例如 Just-In-Time (JIT) VM 存取
- 使用自適性網路強化強化網路安全組設定
- 請確定伺服器只執行應用程式,而且應該使用調適型應用程控來處理這些伺服器
- 使用檔案完整性監視來監視重要檔案和登錄項目變更 (FIM)
- 請注意,整個訂用帳戶必須委派給管理租使用者;委派的資源群組不支援 適用於雲端的 Microsoft Defender 案例
- 管理客戶租使用者中的 Microsoft Sentinel 資源
- 追蹤攻擊並檢視跨多個租用戶的安全性警示
- 檢視跨多個 Microsoft Sentinel 工作區分散於租使用者的事件
支援要求:
- 在委派資源的 Azure 入口網站 中開啟 [說明 + 支援] 的支援要求(選取委派範圍可用的支援方案)
- 使用 Azure 配額 API 來檢視和管理委派客戶資源的 Azure 服務配額
目前的限制
在所有案例中,請注意下列目前的限制:
- Azure Resource Manager 處理的要求可以使用 Azure Lighthouse 來執行。 這些要求的作業 URI 開頭為
https://management.azure.com
。 不過,Azure Lighthouse 不支援由資源類型的實例處理的要求(例如 金鑰保存庫 秘密存取或記憶體數據存取)。 這些要求的作業 URI 通常會以實體唯一的位址開頭,例如https://myaccount.blob.core.windows.net
或https://mykeyvault.vault.azure.net/
。 後者通常是數據作業,而不是管理作業。 - 角色指派必須使用 Azure 內建角色。 Azure Lighthouse 目前支援所有內建角色,但擁有者或任何具有
DataActions
許可權的內建角色除外。 只有在將角色指派給受控識別時,才支援使用者存取 管理員 istrator 角色。 不支援自定義角色和 傳統訂用帳戶管理員角色 。 如需詳細資訊,請參閱 Azure Lighthouse 的角色支援。 - 針對受控租使用者中的使用者,透過 Azure Lighthouse 建立的角色指派不會顯示在 存取控制 (IAM) 或 CLI 工具下,例如
az role assignment list
。 這些指派只會顯示在 Azure Lighthouse 的 [委派] 區段中的 Azure 入口網站,或透過 Azure Lighthouse API 顯示。 - 雖然您可以讓使用 Azure Databricks 的訂用帳戶上線,但管理租使用者中的使用者無法在委派的訂用帳戶上啟動 Azure Databricks 工作區。
- 雖然您可以將具有資源鎖定的訂用帳戶和資源群組上線,但這些鎖定不會防止管理租使用者中的使用者執行動作。 拒絕保護系統管理資源的指派 (系統指派的拒絕指派),例如 Azure 受控應用程式或 Azure 藍圖所建立的指派,可防止管理租使用者中的使用者對這些資源採取行動。 不過,客戶租使用者中的用戶無法建立自己的拒絕指派。
- 不支援跨 國家雲端 和 Azure 公用雲端或跨兩個不同的國家雲端委派訂用帳戶。
下一步
- 使用 Azure Resource Manager 範本或將私人或公用受控服務供應專案發佈至 Azure Marketplace,將您的客戶上線至 Azure Lighthouse。
- 前往 Azure 入口網站 中的 [我的客戶] 來檢視和管理客戶。
- 深入瞭解 Azure Lighthouse 架構。