Cross-tenant management experiences (Интерфейсы управления для различных клиентов)

В качестве поставщика услуг вы можете использовать Azure Lighthouse для управления ресурсами Azure клиентов из собственного клиента Microsoft Entra. Многие распространенные задачи и службы можно выполнять в этих управляемых арендных единицах.

Общие сведения о клиентах и делегировании

Клиент Microsoft Entra — это представление организации. Это выделенный экземпляр идентификатора Microsoft Entra, который организация получает при создании отношений с Корпорацией Майкрософт путем регистрации в Azure, Microsoft 365 или других службах. Каждый клиент Microsoft Entra отличается от других клиентов Microsoft Entra и имеет собственный идентификатор клиента (GUID). Дополнительные сведения см. в разделе "Что такое идентификатор Microsoft Entra?

Как правило, для управления ресурсами Azure для клиента поставщики услуг должны войти на портал Azure, используя учетную запись, связанную с клиентом этого клиента. В этом сценарии администратор в арендуемой среде клиента должен создавать и управлять учетными записями пользователей для поставщика услуг.

При использовании Azure Lighthouse процесс подключения указывает пользователей в клиенте поставщика услуг, которым назначены роли делегированных подписок и групп ресурсов в клиенте клиента. Затем эти пользователи могут войти на портал Azure, используя свои учетные данные, и работать над ресурсами, принадлежащими всем клиентам, к которым у них есть доступ. Пользователи в клиенте управления могут видеть всех этих клиентов, перейдя на страницу "Мои клиенты " на портале Azure. Они также могут работать над ресурсами непосредственно в контексте подписки этого клиента, на портале Azure или через API.

Azure Lighthouse обеспечивает гибкость управления ресурсами для нескольких клиентов без необходимости входа в разные учетные записи в разных клиентах. Например, у поставщика услуг могут быть два клиента с разными обязанностями и уровнями доступа. С помощью Azure Lighthouse авторизованные пользователи могут войти в клиент поставщика услуг и получить доступ ко всем делегированным ресурсам для этих клиентов в соответствии с ролями, которыми они были назначены для каждого делегирования.

Поддержка API и средств управления

Вы можете выполнять задачи управления на делегированных ресурсах на портале Azure или использовать API и средства управления, такие как Azure CLI и Azure PowerShell. Все существующие API можно использовать для работы с делегированными ресурсами, если управление между клиентами поддерживает их функциональные возможности, а у пользователя есть соответствующие разрешения.

Командлет Azure PowerShellGet-AzSubscription показывает TenantId для клиента управления по умолчанию. Атрибуты HomeTenantId и ManagedByTenantIds для каждой подписки позволяют определить, принадлежит ли возвращаемая подписка управляемому клиенту или управляющему клиенту.

Аналогичным образом команды Azure CLI, такие как az account list , показывают homeTenantId и managedByTenants атрибуты. Если вы не видите эти значения при использовании Azure CLI, попробуйте очистить кэш, запустив команду az account clear, а затем az login --identity.

В REST API Azure содержатся команды «Подписки - Получить» и «Подписки - Список», включающие ManagedByTenant.

Мы также предоставляем API, относящиеся к выполнению задач Azure Lighthouse. Дополнительные сведения см. в разделе "Справочник ".

Расширенные службы и сценарии

Большинство задач и служб Azure можно использовать с делегированными ресурсами в управляемых клиентах, при условии предоставления соответствующих ролей. Ниже приведены некоторые ключевые сценарии, в которых управление между клиентами может быть особенно эффективным.

Azure Arc:

• Управление гибридными серверами в масштабе — серверы с поддержкой Azure Arc:
  • Подключение серверов к делегированным подпискам клиентов и (или) группам ресурсов в Azure
  • Управление компьютерами Windows Server или Linux за пределами Azure, подключенными к делегированным подпискам
  • Управление подключенными компьютерами с помощью конструкций Azure, таких как политика Azure и тег
  • Убедитесь, что один и тот же набор политик применяется в гибридных средах клиентов
  • Использование Microsoft Defender для облака для мониторинга соответствия требованиям в гибридных средах клиентов
• Управление гибридными кластерами Kubernetes в масштабе — Kubernetes с поддержкой Azure Arc:
  • Подключение кластеров Kubernetes к делегированным подпискам и (или) группам ресурсов
  • Использование GitOps для развертывания конфигураций в подключенных кластерах
  • Выполнение таких задач управления, как применение политик в подключенных кластерах

Служба автоматизации Azure:

• Использование учетных записей службы автоматизации для доступа к делегированным ресурсам и работы с ними

Azure Backup:

• Резервное копирование и восстановление данных клиента с помощью Azure Backup. В настоящее время поддерживаются следующие рабочие нагрузки Azure: виртуальные машины Azure (виртуальная машина Azure), файлы Azure, SQL Server на виртуальных машинах Azure, SAP HANA на виртуальных машинах Azure. Рабочие нагрузки, использующие хранилище резервных копий (например, база данных Azure для PostgreSQL, большой двоичный объект Azure, управляемый диск Azure и службы Azure Kubernetes) в настоящее время не поддерживаются полностью.
• Просмотр данных для всех делегированных ресурсов клиента в центре резервного копирования
• Используйте обозреватель резервных копий для просмотра операционных сведений о элементах резервного копирования (включая ресурсы Azure, которые еще не настроены для резервного копирования), а также сведения о мониторинге (задания и оповещения) для делегированных подписок. Обозреватель резервных копий в настоящее время доступен только для данных виртуальной машины Azure.
• Используйте отчеты резервного копирования в делегированных подписках для отслеживания исторических тенденций, анализа потребления хранилища резервных копий и аудита резервных копий и восстановления.

Azure Blueprints:

• Используйте Azure Blueprints для координации развертывания шаблонов ресурсов и других артефактов (требуется дополнительный доступ для подготовки подписки заказчика)

Управление затратами Azure и выставление счетов:

• С помощью управляемого клиента партнеры CSP могут просматривать, управлять и анализировать затраты на использование до уплаты налогов (не включая покупки) для клиентов, которые находятся в рамках плана Azure. Затраты рассчитываются на основе розничных ставок и ролевого доступа Azure (Azure RBAC), которым партнер обладает в отношении подписки клиента. В настоящее время вы можете просматривать затраты на потребление по розничным тарифам для каждой отдельной подписки клиента на основе доступа Azure RBAC.

Azure Key Vault:

• Создание Key Vaults в тенантах клиентов
• Используйте управляемое удостоверение для создания Key Vault в клиентских арендаторах

Служба Azure Kubernetes (AKS):

• Управление размещёнными средами Kubernetes и развертывание контейнеризированных приложений в арендаторах клиентов.
• Развертывание кластеров и управление ими в средах арендаторов клиентов
• Используйте Azure Monitor для контейнеров, чтобы мониторить производительность в клиентских арендаторах

Azure Migrate:

• Создание проектов миграции в клиенте клиента и перенос виртуальных машин

Azure Monitor:

• Просмотр оповещений для делегированных подписок с возможностью просмотра и обновления оповещений во всех подписках
• Просмотр сведений журнала действий для делегированных подписок
• Log Analytics: запрос данных из удаленных рабочих областей в нескольких арендаторах (следует помнить, что учетные записи автоматизации, используемые для доступа к данным из рабочих областей в арендаторах клиентов, должны быть созданы в одном арендаторе).
• Создавайте, просматривайте оповещения и управляйте ими в клиентских арендаторах
• Создавайте оповещения в арендаторах клиентов, которые запускают автоматизацию, например runbook Azure Automation или Azure Functions, в управляющем арендаторе с помощью веб-перехватчиков.
• Создание параметров диагностики в рабочих областях, созданных в арендаторах клиента, для отправки журналов ресурсов в рабочие области в управляющем арендаторе.
• Для рабочих нагрузок SAP отслеживайте метрики решений SAP, предоставляя агрегированный обзор по арендаторам (тенантам) клиентов.
• Для внешнего идентификатора Microsoft Entra направлять журналы входа и аудита в различные системы мониторинга

Сеть Azure:

• Развертывание виртуальных сетевых карт Azure и виртуальных сетевых интерфейсов в управляемых клиентах и управление ими
• Развертывание и настройка брандмауэра Azure для защиты ресурсов виртуальной сети клиентов
• Управление службами подключения, такими как Виртуальная глобальная сеть Azure, Azure ExpressRoute и VPN-шлюз
• Использование Azure Lighthouse для поддержки ключевых сценариев для программы MSP сети Azure

Политика Azure:

• Создание и изменение определений политик в делегированных подписках
• Развертывание определений политик и назначений политик в нескольких арендаторах
• Назначение определений политик, определяемых клиентом, в делегированных подписках
• Клиенты видят политики, созданные поставщиком услуг, наряду с любыми политиками, которые они создали сами
• Может исправить развертываниеIfNotExists или изменить назначения в управляемом клиенте.
• Обратите внимание, что просмотр сведений о соответствии для несоответствующих ресурсов в клиентских арендаторах в настоящее время не поддерживается.

Azure Resource Graph:

• См. идентификатор клиента в возвращаемых результатах запроса, позволяющий определить, принадлежит ли подписка управляемому клиенту.

Состояние службы Azure:

• Мониторинг работоспособности ресурсов клиентов с помощью Azure Resource Health
• Отслеживание работоспособности служб Azure, используемых клиентами

Azure Site Recovery:

• Управление параметрами аварийного восстановления для виртуальных машин Azure в клиентах (обратите внимание, что нельзя использовать учетные записи RunAs для копирования расширений виртуальных машин).

Виртуальные машины Azure:

• Использование расширений виртуальных машин для предоставления задач по настройке и автоматизации после развертывания на виртуальных машинах Azure
• Использование диагностики загрузки для устранения неполадок виртуальных машин Azure
• Доступ к виртуальным машинам с помощью последовательной консоли
• Интеграция виртуальных машин с Azure Key Vault для управления паролями, секретами и криптографическими ключами, используемыми для шифрования дисков, с помощью управляемой идентификации через политику, обеспечивая хранение секретов в Key Vault в управляемых тенантах.
• Обратите внимание, что нельзя использовать идентификатор Microsoft Entra для удаленного входа на виртуальные машины

Microsoft Defender для облака:

• Видимость между арендаторами
  • Отслеживание соблюдения политикам безопасности и обеспечение охвата безопасности для всех ресурсов клиентов.
  • Непрерывный мониторинг соответствия нормативным требованиям для нескольких клиентов в едином окне
  • Отслеживание, определение очередности и расстановка приоритетов реализуемых рекомендаций по безопасности с учетом вычисления оценки безопасности.
• Управление состоянием безопасности между тентантами
  • Управление политиками безопасности.
  • Выполнение действий по ресурсам, которые не соответствуют практическим рекомендациям по безопасности
  • Сбор и хранение данных, связанных с безопасностью
• Межарендное обнаружение и защита от угроз
  • Обнаружение угроз в ресурсах арендаторов
  • Применение расширенных средств управления защитой от угроз, таких как JIT-доступ к виртуальной машине
  • Укрепление конфигурации группы безопасности сети с помощью адаптивного укрепления сети
  • Убедитесь, что серверы выполняют только те приложения и процессы, которые необходимы, с использованием адаптивных контролей приложений.
  • Мониторинг изменений важных файлов и записей реестра с помощью мониторинга целостности файлов (FIM)
• Обратите внимание, что вся подписка должна делегироваться управляющему клиенту. Сценарии Microsoft Defender для Cloud не поддерживаются, если используется делегирование групп ресурсов.

Microsoft Sentinel:

• Управление ресурсами Microsoft Sentinel в клиентских арендаторах
• Отслеживание атак и просмотр оповещений системы безопасности для нескольких клиентов
• Просмотр инцидентов в нескольких рабочих областях Microsoft Sentinel, распределенных по клиентам

Запросы на поддержку:

• Откройте запросы на поддержку из Справка + поддержка на портале Azure для делегированных ресурсов (выберите план поддержки, доступный в делегированной области).
• Использование API квот Azure для просмотра квот службы Azure и управления ими для делегированных ресурсов клиентов

Текущие ограничения

При использовании всех сценариев следует учитывать следующие текущие ограничения:

• Запросы, обрабатываемые Azure Resource Manager, можно выполнять с помощью Azure Lighthouse. URI операции для этих запросов начинаются с https://management.azure.com. Однако запросы, обрабатываемые экземпляром типа ресурса (например, доступом к секретам Key Vault или доступом к данным хранилища), не поддерживаются в Azure Lighthouse. URI операции для этих запросов обычно начинаются с адреса, уникального для экземпляра, например https://myaccount.blob.core.windows.net или https://mykeyvault.vault.azure.net/. Это также обычно операции с данными, а не операции управления.
• Назначения ролей должны использовать встроенные роли Azure. Все встроенные роли в настоящее время поддерживаются в Azure Lighthouse, кроме владельца или всех встроенных ролей с DataActions разрешением. Роль Администратор доступа пользователей поддерживается только для ограниченного использования при назначении ролей управляемым идентичностям. Пользовательские роли и роли администратора классической подписки не поддерживаются. Дополнительные сведения см. в статье Поддержка ролей для Azure Lighthouse.
• Для пользователей в управляемом клиенте назначения ролей, сделанные с помощью Azure Lighthouse, не отображаются в разделе "Управление доступом" (IAM) или с такими инструментами CLI, как az role assignment list. Эти назначения отображаются только на портале Azure в разделе "Делегирование Azure Lighthouse" или через API Azure Lighthouse.
• Хотя вы можете подключить подписки, использующие Azure Databricks, пользователи в управляемом клиенте не могут запускать рабочие области Azure Databricks в делегированной подписке.
• Хотя вы можете подключить подписки и группы ресурсов с блокировками ресурсов, эти блокировки не будут препятствовать выполнению действий пользователями в управляющем клиенте. Назначения запрета, которые защищают управляемые системой ресурсы (назначенные системой назначения запрета), такие как созданные приложениями Azure или Azure Blueprints, предотвращают возможность пользователей в управляющем клиенте действовать на этих ресурсах. Однако пользователи в арендаторе клиента не могут создавать собственные назначения запрета.
• Делегирование подписок в национальном облаке и общедоступном облаке Azure или между двумя отдельными национальными облаками не поддерживается.

Дальнейшие шаги

• Подключение клиентов к Azure Lighthouse с помощью шаблонов Azure Resource Manager или публикации частного или общедоступного предложения управляемых служб в Azure Marketplace.
• Просматривайте клиентов и управляйте ими, перейдя в раздел Мои клиенты на портале Azure.
• Узнайте больше об архитектуре Azure Lighthouse.