Azure Lighthouse 的常見案例涉及其客戶的 Microsoft Entra 租用戶中管理資源的服務提供者。 Azure Lighthouse 的功能也能用於在使用多個 Microsoft Entra 租用戶的企業中簡化跨租用戶管理。 在此案例中,其中一個企業租使用者中的使用者可以透過 Azure Lighthouse 在其他租用戶上執行管理工作,而不需要涉及任何其他服務提供者。
單一與多個租用戶的比較
對於大部分的組織而言,單一 Microsoft Entra 租用戶的管理比較輕鬆。 讓一個租用戶內的所有資源,都可由指定的使用者、使用者群組,或該租用戶內的服務主體集中進行管理工作。 我們建議盡可能讓貴組織使用一個租用戶。
部分組織可能需要使用多個 Microsoft Entra 租用戶。 這可能是暫時的情況,因為當收購已發生,且尚未定義長期租用戶合併策略時。 又或者是組織因為完全獨立的子公司、地理或法律需求等其他考量需要持續維護多個租用戶。
需要使用多租用戶結構時,Azure Lighthouse 可協助集中和簡化管理作業。 藉由使用 Azure Lighthouse,在管理租用戶中的使用者便能以可調整的集中式方法執行跨租用戶管理功能。
租用戶管理架構
若要在企業中使用 Azure Lighthouse,您必須判斷哪些租使用者將包含在其他租用戶上執行管理作業的使用者。 換句話說,您會將一個承租人指定為其他承租人的管理承租人。
例如,假設貴組織有一個我們會稱之為「租用戶 A」的租用戶。貴組織接著會取得租用戶 B 和租用戶 C,而您有需要將其當作個別租用戶維護的商務理由。 不過,您希望對所有項目使用相同的原則定義、備份做法和安全性流程,並由同一組使用者執行管理工作。
由於租使用者 A 已包含組織中已針對租使用者 A 執行這些工作的使用者,因此您可以將租使用者 A 指定為管理租使用者。 然後,您可以在租使用者 B 和租使用者 C 中 將訂用帳戶上線 ,以便將其委派給租使用者 A。在上架程式期間,您會建立授權,授與租使用者 A 中使用者的許可權,讓他們能夠跨租使用者 B 和租使用者 C 執行管理工作。
安全性和存取考量
在大部分的企業案例中,您會想要將完整訂用帳戶委派給 Azure Lighthouse。 但您也可以選擇只委派訂閱內的特定資源群組。
無論哪種方式,在定義哪些使用者可以存取委派的資源時,請務必 遵循最低許可權原則 。 這麼做有助於確保使用者只擁有執行必要工作所需的權限,並可減少意外錯誤的機會。
Azure Lighthouse 僅提供管理租用戶與受控租用戶之間的邏輯連結,不會實際移動資料或資源。 此外,存取一律只限單一方向:從管理租用戶到受控租用戶。 管理租用戶中的使用者和群組對受控租用戶資源執行管理作業時,應該使用多重要素驗證。
具有內部或外部治理和合規性防護的企業可以使用 Azure 活動記錄來符合其透明度需求。 當企業建立管理和被管理的租用戶關係時,每個租用戶中的使用者都可以檢視記錄的活動,以查看管理租用戶中使用者所採取的動作。
如需詳細資訊,請參閱建議的安全性作法。
上線考量事項
訂閱 (或訂閱內的資源群組) 可藉由部署 Azure Resource Manager 範本,或透過發佈至 Azure Marketplace 的受控服務供應項目上線至 Azure Lighthouse。
由於企業使用者通常可以直接存取企業的租戶,且不需要行銷或推廣管理解決方案,因此部署 Azure Resource Manager 範本通常更快且更直接。 雖然上線指導的目標對象為服務提供者和客戶,但企業也能使用相同的程序將租用戶上線。
如果您想要,將受控服務供應項目發佈至 Azure Marketplace,即可在企業內將租用戶上架。 為了確保優惠僅適用於合適的租戶,請確定您的 方案設定為私人。 您可以透過私人方案為計畫要上線的每個租用戶提供訂閱識別碼,其他人都無法取得您的供應項目。
Microsoft Entra 外部識別碼
Microsoft Entra 外部 ID 提供企業對消費者身分識別即服務解決方案。 當您透過 Azure Lighthouse 委派資源群組時,您可以使用 Azure 監視器,將Microsoft Entra External ID 登入和稽核記錄路由傳送至不同的監視解決方案。 您可以保留記錄以供長期使用,或將記錄與第三方安全性資訊與事件管理 (SIEM) 工具整合,以深入了解您的環境。
如需詳細資訊,請參閱 在外部租用戶中設定 Azure 監視器。
術語注意事項
針對企業內的跨租用戶管理,Azure Lighthouse 文件中提及的服務提供者可理解為企業內的管理租用戶;這些租用戶內含會透過 Azure Lighthouse 管理其他租用戶資源的使用者。 同樣地,文件中提及的客戶可理解為要委派資源供管理租用戶中的使用者進行管理的租用戶。
例如,在上述範例中,可以將租用戶 A 視為服務提供者租用戶 (管理租用戶),而租用戶 B 和租用戶 C 則被視為客戶租用戶。
在該範例中,具有適當權限的租用戶 A 使用者可以在 Azure 入口網站的 [我的客戶] 頁面中檢視及管理委派的資源。 同樣地,具有適當許可權的租使用者 B 和租使用者 C 使用者可以在 Azure 入口網站的 [服務提供者] 頁面中檢視和管理其委派的詳細數據。
下一步
- 探索多租用戶結構中的資源組織所提供的選項。
- 了解跨租用戶管理體驗。
- 深入了解 Azure Lighthouse 的運作方式。