Azure Lighthouse и программа поставщиков облачных решений
Если вы являетесь партнером CSP (поставщик облачных решений), вы уже можете получить доступ к подпискам Azure, созданным для клиентов через программу CSP, с помощью функции Администрирования от имени (AOBO). Это позволяет непосредственно обслуживать и настраивать подписки клиентов, а также управлять ими.
С помощью Azure Lighthouse вы можете использовать делегированное управление ресурсами в Azure вместе с AOBO. Это помогает улучшить безопасность и не допускать излишние попытки доступа с помощью более детализированных разрешений для пользователей. Кроме того, повышается эффективность и масштабируемость, так как пользователи могут работать с несколькими клиентскими подписками, используя одно имя входа в клиенте.
Совет
Чтобы защитить ресурсы клиентов, обязательно ознакомьтесь с рекомендациями по обеспечению безопасности и требованиями к безопасности партнеров.
Администрирование от имени (AOBO)
С AOBO любой пользователь с ролью агента администратора в своем арендаторе будет иметь доступ AOBO к подпискам Azure, которые создаются с помощью программы CSP. Пользователи, которым нужен доступ к подпискам клиентов, должны быть членами этой группы. AOBO не позволяет гибко создавать отдельные группы, которые работают с разными клиентами, или разрешать разные роли для групп или пользователей.
Azure Lighthouse
Используя Azure Lighthouse, можно назначать разные группы разным клиентам или ролям, как продемонстрировано на схеме ниже. Поскольку у пользователей будет соответствующий уровень доступа благодаря делегированному управлению ресурсами Azure, можно уменьшить количество пользователей, имеющих роль администратора (и, таким образом, полный доступ к AOBO).
Azure Lighthouse помогает улучшить безопасность путем ограничения ненужного доступа к ресурсам клиентов. Кроме того, это дает большую гибкость в управлении несколькими клиентами в масштабе благодаря встроенной роли Azure, оптимальным образом отвечающей обязанностям каждого пользователя, без необходимости предоставлять пользователю больше прав доступа, чем требуется.
Чтобы свести к минимуму количество постоянных назначений, можно создать соответствующие разрешения для предоставления дополнительных разрешений пользователям на основе JIT-запросов.
Подключение подписки, созданной с помощью программы CSP, выполняет действия, описанные в разделе "Подключение клиента к Azure Lighthouse". Любой пользователь, имеющий роль агента администратора в арендаторе клиента, может выполнить это подключение.
Совет
Предложения управляемых служб с частными планами не поддерживаются подписками, установленными через торгового посредника по программе поставщика облачных решений (CSP). Вместо этого, вы можете подключить эти подписки к Azure Lighthouse с использованием шаблонов Azure Resource Manager.
Примечание.
Страница Мои клиенты на портале Azure теперь включает в себя раздел Поставщик облачных решений (предварительная версия), где можно просмотреть сведения о выставлении счетов и ресурсы для клиентов CSP, которые заключили Клиентское соглашение Майкрософт (MCA) и на которых распространяется план Azure. Чтобы узнать больше, ознакомьтесь с разделом Начало работы с учетной записью выставления счетов Соглашения с партнером Майкрософт.
Клиенты CSP могут появиться в этом разделе независимо от того, были ли они подключены к Azure Lighthouse. Если были, то они также будут отображаться в разделе Клиенты, как описано в статье Просмотр клиентов и делегированных ресурсов, а также управление ими. Аналогичным образом, клиент CSP не должен отображаться в разделе Поставщик облачных решений (предварительная версия) на странице Мои клиенты, чтобы вы могли подключить их к Azure Lighthouse.
Привязка идентификатора партнера для отслеживания влияния на переданные ресурсы
Участники Программы Microsoft Cloud Partner могут связать идентификатор партнера с учетными данными, используемыми для управления делегированными ресурсами клиента. Эта ссылка позволяет корпорации Майкрософт выявлять и идентифицировать партнеров, которые обеспечивают успех клиентов Azure. Он также позволяет партнерам CSP (поставщик облачных решений) получать партнерские кредиты (PEC) для клиентов, подписавших Клиентское соглашение Майкрософт (MCA) и находящихся в рамках плана Azure.
Чтобы получить признание для действий Azure Lighthouse, необходимо связать идентификатор партнера по крайней мере с одной учетной записью пользователя в вашем управляемом клиенте и убедиться, что связанная учетная запись имеет доступ к каждой из подключенных подписок. Для простоты мы рекомендуем создать учетную запись субъекта-службы в клиенте, связав ее с идентификатором партнера, а затем предоставить ему доступ ко всем клиентам, которые вы подключены со встроенной ролью Azure, которая имеет право на получение кредита партнера.
Дополнительные сведения см. в разделе "Связывание идентификатора партнера".
Следующие шаги
- Узнайте больше об интерфейсах управления для различных клиентов.
- Узнайте, как подключить подписку к Azure Lighthouse.
- Узнайте больше о программе для поставщиков облачных решений.