Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Typowy scenariusz dla usługi Azure Lighthouse obejmuje dostawcę usług, który zarządza zasobami w dzierżawach Microsoft Entra należących do klientów. Można wykorzystać możliwości usługi Azure Lighthouse do uproszczenia zarządzania dzierżawami w ramach przedsiębiorstwa, które korzysta z wielu dzierżaw Microsoft Entra. W tym scenariuszu użytkownicy w jednej z dzierżaw przedsiębiorstwa mogą wykonywać zadania zarządzania w innych dzierżawach za pośrednictwem usługi Azure Lighthouse bez konieczności angażowania innego dostawcy usług.
Pojedynczy kontra wielu najemców
Dla większości organizacji zarządzanie jest łatwiejsze z jednym dzierżawcą Microsoft Entra. Posiadanie wszystkich zasobów w ramach jednej dzierżawy umożliwia centralizację zadań zarządzania przez wyznaczonych użytkowników, grup użytkowników lub jednostek usługi w ramach tej dzierżawy. Zalecamy używanie jednej dzierżawy dla twojej organizacji, jeśli jest to możliwe.
Niektóre organizacje mogą wymagać użycia wielu dzierżawców Microsoft Entra. Może to być tymczasowa sytuacja, tak jak w przypadku, gdy miało miejsce przejęcie i długoterminowa strategia konsolidacji najemców nie jest jeszcze zdefiniowana. W innych przypadkach organizacje mogą wymagać stałego zarządzania wieloma użytkownikami ze względu na całkowicie niezależne spółki zależne, wymagania geograficzne lub prawne czy inne czynniki.
W przypadkach, gdy wymagana jest architektura wielodostępna , usługa Azure Lighthouse może pomóc w scentralizowaniu i usprawnieniu operacji zarządzania. Korzystając z usługi Azure Lighthouse, użytkownicy w jednej dzierżawie zarządzającej mogą wykonywać funkcje zarządzania między dzierżawami w sposób scentralizowany i skalowalny.
Architektura zarządzania dzierżawami
Aby korzystać z usługi Azure Lighthouse w przedsiębiorstwie, należy określić, która dzierżawa obejmie użytkowników zarządzających innymi dzierżawami. Innymi słowy, należy wyznaczyć jednego lokatora jako zarządzającego lokatora dla pozostałych lokatorów.
Na przykład, powiedzmy, że Twoja organizacja ma jednego najemcę, którego nazwiemy Najemca A. Następnie Twoja organizacja przejmuje Najemcę B i Najemcę C, a Ty masz powody biznesowe, które wymagają utrzymania ich jako oddzielnych najemców. Jednak chcesz użyć tych samych definicji zasad, praktyk tworzenia kopii zapasowych i procesów zabezpieczeń dla wszystkich z nich, z zadaniami zarządzania wykonywanymi przez ten sam zestaw użytkowników.
Ponieważ dzierżawca A zawiera już użytkowników w organizacji, którzy wykonują te zadania dla niego, możesz wyznaczyć dzierżawcę A jako dzierżawcę zarządzającego. Następnie możesz dołączyć subskrypcje w dzierżawie B i dzierżawie C, aby były delegowane do dzierżawy A. Podczas procesu dołączania tworzone są autoryzacje, które udzielają uprawnień użytkownikom w dzierżawie A, umożliwiając im wykonywanie zadań zarządzania w dzierżawie B i dzierżawie C.
Zagadnienia dotyczące zabezpieczeń i dostępu
W większości scenariuszy przedsiębiorstwa należy delegować pełną subskrypcję do usługi Azure Lighthouse. Możesz również delegować tylko określone grupy zasobów w ramach subskrypcji.
W obu przypadkach należy przestrzegać zasady najniższych uprawnień podczas definiowania użytkowników, którzy mogą uzyskiwać dostęp do delegowanych zasobów. Dzięki temu użytkownicy mają uprawnienia wymagane tylko do wykonywania wymaganych zadań i zmniejszają prawdopodobieństwo niezamierzonych błędów.
Usługa Azure Lighthouse udostępnia tylko logiczne linki między dzierżawą zarządzającą a dzierżawami zarządzanymi, zamiast fizycznie przenosić dane lub zasoby. Ponadto dostęp zawsze odbywa się wyłącznie w jednym kierunku, od dzierżawcy zarządzającego do dzierżawców zarządzanych. Użytkownicy i grupy w dzierżawie zarządzającej powinny używać uwierzytelniania wieloskładnikowego podczas wykonywania operacji zarządzania na zarządzanych zasobach dzierżawy.
Przedsiębiorstwa z zabezpieczeniami dotyczącymi ładu wewnętrznego lub zewnętrznego i zgodności mogą używać dzienników aktywności platformy Azure , aby spełnić wymagania dotyczące przejrzystości. Gdy przedsiębiorstwa ustanawiają relacje zarządzania i obsługi dzierżaw, użytkownicy każdej dzierżawy mogą wyświetlać zarejestrowane działania, zobaczyć działania podejmowane przez użytkowników w dzierżawie zarządzającej.
Aby uzyskać więcej informacji, zobacz Zalecane rozwiązania w zakresie zabezpieczeń.
Zagadnienia dotyczące wprowadzenia do firmy
Subskrypcje (lub grupy zasobów w ramach subskrypcji) można dołączyć do usługi Azure Lighthouse, wdrażając szablony usługi Azure Resource Manager lub za pośrednictwem ofert usług zarządzanych opublikowanych w witrynie Azure Marketplace.
Ponieważ użytkownicy przedsiębiorstwa zazwyczaj mają bezpośredni dostęp do dzierżaw przedsiębiorstwa i nie ma potrzeby reklamowania ani promowania rozwiązania zarządzającego, zwykle jest szybciej i prościej wdrożyć szablony Azure Resource Manager. Chociaż wskazówki dotyczące wdrażania odnoszą się do dostawców usług i klientów, przedsiębiorstwa mogą używać tych samych procesów do wdrażania swoich dzierżawców.
Jeśli wolisz, jednostki organizacyjne w przedsiębiorstwie można onboardować, publikując ofertę usług zarządzanych w witrynie Azure Marketplace. Aby zapewnić, że oferta jest dostępna tylko dla odpowiednich najemców, upewnij się, że plany są ustawione na prywatne. W przypadku planu prywatnego należy podać identyfikatory subskrypcji dla każdej dzierżawy, którą planujesz przyjąć, i nikt inny nie będzie mógł skorzystać z Twojej oferty.
Identyfikator zewnętrzny Microsoft Entra
Microsoft Entra External ID zapewnia tożsamość biznesowa dla klientów jako usługę. Po przekazaniu grupy zasobów za pomocą Azure Lighthouse, możesz użyć Azure Monitor do przekierowania dzienników logowania i inspekcji Microsoft Entra External ID do różnych rozwiązań monitorujących. Dzienniki można zachować do długoterminowego użytku lub zintegrować z narzędziami do zarządzania informacjami i zdarzeniami zabezpieczeń od innych firm, aby lepiej zrozumieć swoje środowisko.
Aby uzyskać więcej informacji, zobacz Konfigurowanie usługi Azure Monitor w dzierżawach zewnętrznych.
Uwagi dotyczące terminologii
W przypadku zarządzania między dzierżawami w przedsiębiorstwie odwołania do dostawców usług w dokumentacji usługi Azure Lighthouse można zrozumieć, aby zastosować je do dzierżawy zarządzającej w przedsiębiorstwie — czyli dzierżawy obejmującej użytkowników, którzy będą zarządzać zasobami w innych dzierżawach za pośrednictwem usługi Azure Lighthouse. Podobnie wszelkie odniesienia do klientów można rozumieć jako dotyczące najemców, którzy delegują zasoby do zarządzania za pośrednictwem użytkowników w zarządzającej dzierżawie.
Na przykład w powyższym przykładzie dzierżawa A może być uważana za dzierżawę dostawcy usług (dzierżawę zarządzacą) oraz dzierżawę B i dzierżawę C jako dzierżawę klienta.
Kontynuując ten przykład, użytkownicy dzierżawy A z odpowiednimi uprawnieniami mogą wyświetlać delegowane zasoby i zarządzać nimi na stronie Moi klienci w witrynie Azure Portal. Podobnie użytkownicy dzierżawy B i dzierżawy C z odpowiednimi uprawnieniami mogą wyświetlać szczegółowe informacje o swoich delegowaniach i zarządzać nimi na stronie Dostawcy usług w witrynie Azure Portal.
Dalsze kroki
- Zapoznaj się z opcjami organizacji zasobów w architekturach wielodostępnych.
- Dowiedz się więcej o doświadczeniach zarządzania między dzierżawcami.
- Dowiedz się więcej o sposobie działania usługi Azure Lighthouse.