Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Lighthouse pomaga dostawcom usług uprościć zaangażowanie klientów i środowiska dołączania, jednocześnie zarządzając delegowanymi zasobami na dużą skalę dzięki elastyczności i precyzji. Autoryzowani użytkownicy, grupy i jednostki usługi mogą pracować bezpośrednio w kontekście subskrypcji klienta bez posiadania konta w dzierżawie firmy Microsoft firmy Microsoft lub współwłaścicielem dzierżawy klienta. Mechanizm używany do obsługi tego dostępu jest nazywany delegowanym zarządzaniem zasobami platformy Azure.
Wskazówka
Usługa Azure Lighthouse może być również używana w przedsiębiorstwie, które ma wiele własnych dzierżaw firmy Microsoft Entra , aby uprościć zarządzanie między dzierżawami.
Ten temat dotyczy relacji między dzierżawcami w Azure Lighthouse i zasobami utworzonymi w dzierżawie klienta, które umożliwiają tę relację.
Uwaga / Notatka
Dołączanie klienta do usługi Azure Lighthouse wymaga przeprowadzenia wdrożenia przez konto w dzierżawie klienta, które ma rolę z uprawnieniami Microsoft.Authorization/roleAssignments/write, Microsoft.Authorization/roleAssignments/delete i Microsoft.Authorization/roleAssignments/read, takimi jak Właściciel, dla dołączanej subskrypcji lub takiej, która zawiera dołączane grupy zasobów.
Zasoby delegowania utworzone w dzierżawie klienta
Po dołączeniu subskrypcji lub grupy zasobów klienta do usługi Azure Lighthouse tworzone są dwa zasoby: definicja rejestracji i przypisanie rejestracji. Możesz użyć interfejsów API i narzędzi do zarządzania , aby uzyskać dostęp do tych zasobów lub pracować z nimi w witrynie Azure Portal.
Definicja rejestracji
Definicja rejestracji zawiera szczegóły oferty Azure Lighthouse (identyfikator dzierżawy zarządzającej oraz autoryzacje, które nadają wbudowane role określonym użytkownikom, grupom i/lub zasadom usługi w dzierżawie zarządzającej).
Definicja rejestracji jest tworzona na poziomie subskrypcji dla każdej delegowanej subskrypcji lub w każdej subskrypcji zawierającej delegowana grupę zasobów. W przypadku tworzenia definicji rejestracji przy użyciu interfejsów API należy pracować na poziomie subskrypcji. Na przykład przy użyciu programu Azure PowerShell należy użyć New-AzureRmDeployment przed utworzeniem nowej definicji rejestracji (New-AzManagedServicesDefinition), zamiast używania polecenia New-AzureRmResourceGroupDeployment.
Zadanie rejestracji
Przypisanie rejestracji przypisuje definicję rejestracji do określonego zakresu — czyli dołączonych subskrypcji i/lub grup zasobów.
Przypisanie rejestracji jest tworzone w każdym zakresie delegowanym, więc będzie na poziomie grupy subskrypcji lub na poziomie grupy zasobów, w zależności od tego, co zostało dołączone.
Każde przypisanie rejestracji musi odwoływać się do prawidłowej definicji rejestracji na poziomie subskrypcji, wiążąc autoryzacje tego dostawcy usług z zakresem delegowanym, a tym samym udzielając dostępu.
Projekcja logiczna
Usługa Azure Lighthouse tworzy logiczne projekcje zasobów z jednej dzierżawy do innej dzierżawy. Dzięki temu autoryzowani użytkownicy dostawcy usług mogą logować się do swojego środowiska dzierżawczego z uprawnieniami do pracy w delegowanych subskrypcjach klientów i grupach zasobów. Użytkownicy w dzierżawie dostawcy usług mogą następnie wykonywać operacje zarządzania w imieniu swoich klientów bez konieczności logowania się do każdej dzierżawy klienta.
Za każdym razem, gdy użytkownik, grupa lub główna jednostka usługi w dzierżawie dostawcy usług uzyskuje dostęp do zasobów w dzierżawie klienta, Azure Resource Manager otrzymuje żądanie. Usługa Resource Manager uwierzytelnia te żądania podobnie jak w przypadku żądań składanych przez użytkowników w ramach dzierżawy należącej do klienta. W przypadku usługi Azure Lighthouse jest to możliwe, potwierdzając, że w dzierżawie klienta znajdują się dwa zasoby — definicja rejestracji i przypisanie rejestracji. Jeśli tak, usługa Resource Manager autoryzuje dostęp zgodnie z informacjami zdefiniowanymi przez te zasoby.
Aktywność użytkowników w dzierżawie dostawcy usług jest śledzona w dzienniku aktywności, który jest przechowywany w dzierżawie klienta. Dzięki temu klient może zobaczyć, jakie zmiany zostały wprowadzone i przez kogo.
Jak działa usługa Azure Lighthouse
Na wysokim poziomie przedstawiono sposób działania usługi Azure Lighthouse dla dzierżawy zarządzającej:
- Zidentyfikuj role , które grupy, jednostki usługi lub użytkownicy będą musieli zarządzać zasobami platformy Azure klienta.
- Określ ten dostęp i dołącz klienta do usługi Azure Lighthouse, publikując ofertę usługi zarządzanej w witrynie Azure Marketplace lub wdrażając szablon usługi Azure Resource Manager. Ten proces wdrożenia tworzy dwa zasoby opisane powyżej (definicja rejestracji i przypisanie rejestracji) w dzierżawie klienta.
- Po zintegrowaniu klienta, autoryzowani użytkownicy logują się do dzierżawy zarządzającej i wykonują zadania w określonym zakresie klienta, takim jak subskrypcja lub grupa zasobów, zgodnie z zdefiniowanym dostępem. Klienci mogą przeglądać wszystkie podjęte działania i mogą w dowolnym momencie usuwać dostęp.
Chociaż w większości przypadków tylko jeden dostawca usług będzie zarządzać określonymi zasobami dla klienta, klient może utworzyć wiele delegacji dla tej samej subskrypcji lub grupy zasobów, co umożliwi wielu dostawcom usług dostęp. Ten scenariusz umożliwia również scenariusze dostawców oprogramowania (ISV), które przeznaczają zasoby z dzierżawy dostawcy usług dla wielu klientów.
Dalsze kroki
- Zapoznaj się z poleceniami interfejsu wiersza polecenia platformy Azure i programu Azure PowerShell , aby pracować z definicjami rejestracji i przypisaniami rejestracji.
- Dowiedz się więcej na temat rozszerzonych usług i scenariuszy dla usługi Azure Lighthouse.
- Dowiedz się więcej o tym, jak dzierżawcy, użytkownicy i role współpracują z Azure Lighthouse.