Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Um cenário comum para o Azure Lighthouse envolve um provedor de serviços que gerencia recursos nos locatários do Microsoft Entra de seus clientes. Os recursos do Azure Lighthouse também podem ser usados para simplificar o gerenciamento entre locatários em uma empresa que usa vários locatários do Microsoft Entra. Nesse cenário, os usuários em um dos locatários da empresa podem executar tarefas de gerenciamento nos outros locatários por meio do Azure Lighthouse, sem exigir que nenhum outro provedor de serviços esteja envolvido.
Inquilinos únicos vs. múltiplos
Para a maioria das organizações, a gestão é mais fácil com um único tenant do Microsoft Entra. Ter todos os recursos em um locatário permite a centralização de tarefas de gerenciamento por usuários designados, grupos de usuários ou entidades de serviço dentro desse locatário. Recomendamos o uso de um locatário para sua organização sempre que possível.
Algumas organizações podem precisar usar vários locatários do Microsoft Entra. Esta pode ser uma situação temporária, como quando as aquisições ocorreram e uma estratégia de consolidação de inquilinos de longo prazo ainda não está definida. Outras vezes, as organizações podem precisar manter vários locatários continuamente devido a subsidiárias totalmente independentes, requisitos geográficos ou legais ou outras considerações.
Nos casos em que uma arquitetura multilocatária é necessária, o Azure Lighthouse pode ajudar a centralizar e simplificar as operações de gerenciamento. Usando o Azure Lighthouse, os usuários em um locatário de gerenciamento podem executar funções de gerenciamento entre locatários de maneira centralizada e escalável.
Arquitetura de gerenciamento de locatários
Para usar o Azure Lighthouse em uma empresa, você precisa determinar qual locatário incluirá os usuários que executam operações de gerenciamento nos outros locatários. Em outras palavras, você designa um locatário como o locatário gerente para os outros locatários.
Por exemplo, digamos que sua organização tenha um único locatário que chamaremos de Locatário A. Em seguida, sua organização adquire o Locatário B e o Locatário C, e você tem motivos comerciais que exigem que você os mantenha como locatários separados. No entanto, você deseja usar as mesmas definições de política, práticas de backup e processos de segurança para todos eles, com tarefas de gerenciamento executadas pelo mesmo conjunto de usuários.
Como o Locatário A já inclui usuários em sua organização que executam essas tarefas para o Locatário A, você pode designar o Locatário A como o locatário de gerenciamento. Em seguida, você pode integrar assinaturas no Locatário B e no Locatário C para que elas sejam delegadas ao Locatário A. Durante o processo de integração, você cria autorizações que concedem permissões aos usuários no Locatário A, permitindo que eles executem tarefas de gerenciamento no Locatário B e no Locatário C.
Considerações sobre segurança e acesso
Na maioria dos cenários empresariais, convém delegar uma assinatura completa ao Azure Lighthouse. Você também pode optar por delegar apenas grupos de recursos específicos dentro de uma assinatura.
De qualquer forma, certifique-se de seguir o princípio de menor privilégio ao definir quais usuários podem acessar recursos delegados. Isso ajuda a garantir que os usuários tenham apenas as permissões necessárias para executar as tarefas necessárias e reduz a chance de erros inadvertidos.
O Azure Lighthouse fornece apenas ligações lógicas entre um inquilino gestor e inquilinos geridos, em vez de mover fisicamente dados ou recursos. Além disso, o acesso sempre vai em apenas uma direção, desde o locatário gerente até os locatários gerenciados. Os usuários e grupos no locatário de gerenciamento devem usar a autenticação multifator ao executar operações de gerenciamento em recursos de locatário gerenciados.
As empresas com grades de proteção e conformidade internas ou externas podem usar os logs de atividades do Azure para atender aos seus requisitos de transparência. Quando as empresas estabelecem relações de locatários gestores e geridos, os utilizadores em cada locatário podem visualizar a atividade registada para ver as ações realizadas pelos utilizadores no locatário gestor.
Para obter mais informações, consulte Práticas de segurança recomendadas.
Considerações sobre integração
As subscrições (ou grupos de recursos numa subscrição) podem ser integradas no Azure Lighthouse através da implementação de modelos do Azure Resource Manager ou através de ofertas de Serviços Geridos publicadas no Azure Marketplace.
Como os usuários corporativos normalmente têm acesso direto aos locatários da empresa e não há necessidade de comercializar ou promover uma oferta de gerenciamento, geralmente é mais rápido e direto implantar modelos do Azure Resource Manager. Embora a orientação de integração se refira a prestadores de serviços e clientes, as empresas podem usar os mesmos processos para integrar seus locatários.
Se preferir, os locatários de uma empresa podem ser integrados publicando uma oferta de Serviços Gerenciados no Azure Marketplace. Para garantir que a oferta esteja disponível apenas para os locatários apropriados, certifique-se de que seus planos estejam definidos como privados. Com um plano privado, tu forneces os IDs de assinatura para cada inquilino que planeias integrar, e ninguém mais poderá receber a tua oferta.
ID externo do Microsoft Entra
O Microsoft Entra External ID fornece identidade de empresa para cliente como um serviço. Ao delegar um grupo de recursos por meio do Azure Lighthouse, pode-se usar o Azure Monitor para redirecionar os registos de início de sessão e auditoria de ID Externa do Microsoft Entra para diferentes soluções de monitorização. Você pode reter os logs para uso de longo prazo ou integrar-se a ferramentas de gerenciamento de eventos e informações de segurança (SIEM) de terceiros para obter informações sobre seu ambiente.
Para obter mais informações, consulte Configurar o Azure Monitor em locatários externos.
Notas terminológicas
Para o gerenciamento entre locatários dentro da empresa, as referências a provedores de serviços na documentação do Azure Lighthouse podem ser entendidas como aplicáveis ao locatário de gerenciamento dentro de uma empresa, ou seja, o locatário que inclui os usuários que gerenciarão recursos em outros locatários por meio do Azure Lighthouse. Da mesma forma, quaisquer referências a clientes podem ser entendidas como aplicáveis aos locatários que estão delegando recursos a serem gerenciados por meio de usuários no locatário de gerenciamento.
Por exemplo, no exemplo descrito acima, o Locatário A pode ser considerado como o locatário do provedor de serviços (o locatário administrador) e o Locatário B e o Locatário C podem ser considerados como os locatários do cliente.
Continuando com esse exemplo, os usuários do Locatário A com as permissões apropriadas podem exibir e gerenciar recursos delegados na página Meus clientes do portal do Azure. Da mesma forma, os usuários do Locatário B e do Locatário C com as permissões apropriadas podem exibir e gerenciar detalhes sobre suas delegações na página Provedores de serviços do portal do Azure.
Próximos passos
- Explore opções para organização de recursos em arquiteturas multilocatário.
- Saiba mais sobre experiências de gestão interlocatária.
- Saiba mais sobre como funciona o Azure Lighthouse.