Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Распространенный сценарий для Azure Lighthouse включает в себя поставщик услуг, который управляет ресурсами в клиентах Microsoft Entra клиентов. Возможности Azure Lighthouse также можно использовать для упрощения межтенантного управления в пределах предприятия, использующего несколько клиентов Microsoft Entra. В этом сценарии пользователи в одном из клиентов предприятия могут выполнять задачи управления на других клиентах через Azure Lighthouse, не требуя участия любого другого поставщика услуг.
Один или несколько клиентов
Для большинства организаций управление проще с одним клиентом Microsoft Entra. Собрав все ресурсы в одном клиенте, можно организовать централизацию задач управления для определенных пользователей, групп пользователей или субъектов-служб в пределах клиента. Мы рекомендуем использовать в организации один клиент всегда, когда это возможно.
Некоторым организациям может потребоваться использовать несколько клиентов Microsoft Entra. Это может быть временной ситуацией, как в случае, когда происходили приобретения, и долгосрочная стратегия консолидации арендаторов еще не определена. А иногда организации нужно постоянно поддерживать несколько клиентов, например для полностью независимых дочерних компаний, в силу географических ограничений или юридических требований и т. п.
В случаях, когда требуется архитектура с несколькими клиентами, Azure Lighthouse поможет с централизацией и упрощением операций управления. С помощью Azure Lighthouse пользователи в одном управляющем клиенте могут централизованно выполнять функции управления между клиентами с поддержкой масштабирования.
Архитектура управления клиентами
Чтобы использовать Azure Lighthouse в организации, необходимо определить, какой клиент будет включать пользователей, выполняющих операции управления с другими клиентами. Другими словами, вы назначаете одного арендатора в качестве управляющего для других арендаторов.
Например, предположим, что у вашей организации есть один клиент, который мы будем называть клиентом A. Затем ваша организация получает клиент B и клиент C, и у вас есть бизнес-причины, которые требуют их обслуживания в качестве отдельных клиентов. Однако вы хотите использовать те же определения политик, методики резервного копирования и процессы безопасности для всех из них, с задачами управления, выполняемыми одинаковым набором пользователей.
Так как клиент A уже включает пользователей в вашей организации, которые выполняют эти задачи для клиента A, вы можете назначить клиента A в качестве управляющего клиента. Затем вы можете подключить подписки в клиенте B и клиенте C, чтобы они были делегированы клиенту A. В процессе подключения вы создаете авторизации, которые предоставляют разрешения пользователям в клиенте A, позволяя им выполнять задачи управления в клиенте B и клиенте C.
Вопросы безопасности и доступа
В большинстве корпоративных сценариев вы хотите делегировать полную подписку в Azure Lighthouse. Вы также можете делегировать только определенные группы ресурсов в рамках подписки.
В любом случае обязательно следуйте принципу наименьших привилегий при определении доступа пользователей к делегированным ресурсам. Это позволит гарантировать, что пользователи получат только те разрешения, которые необходимы для выполнения их задач, и снизит вероятность случайных ошибок.
Azure Lighthouse только предоставляет логические связи между управляющим и управляемым клиентами, но не перемещают данные или ресурсы физически. Кроме того, доступ всегда происходит в одном направлении, от управляющего к управляемым клиентам. Пользователи и группы в управляемом клиенте должны использовать многофакторную проверку подлинности при выполнении операций управления с управляемыми ресурсами клиента.
Предприятия с внутренним или внешним управлением и ограничительными условиями для соответствия требованиям могут использовать журналы действий Azure для соблюдения требований к прозрачности. Когда предприятия устанавливают отношения управления и управляемых клиентов, пользователи в каждом клиенте могут просматривать действия, выполняемые пользователями в управляемом клиенте.
Дополнительные сведения см. в статье "Рекомендуемые методики безопасности".
Рекомендации по подключению
Подписки (или группы ресурсов в подписке) можно подключить к Azure Lighthouse либо путем развертывания шаблонов Azure Resource Manager, либо через предложения управляемых услуг, опубликованных в Microsoft Marketplace.
Так как корпоративные пользователи обычно имеют прямой доступ к арендаторам предприятия, и нет необходимости в маркетинге или продвижении управленческого предложения, развертывание шаблонов Azure Resource Manager обычно происходит быстрее и проще. Хотя руководство по подключению относится к поставщикам услуг и заказчикам, предприятия могут использовать те же процессы для подключения клиентов.
Если вы предпочитаете, арендаторы в организации могут быть подключены, опубликовав предложение Управляемых услуг в Microsoft Marketplace. Чтобы убедиться, что предложение доступно только для соответствующих клиентов, убедитесь, что для ваших планов задано частное значение. Частный план позволяет указать идентификаторы подписок для каждого подключаемого клиента, и никто другой не сможет получить ваше предложение.
Внешний идентификатор «Microsoft Entra»
Внешний идентификатор Microsoft Entra предоставляет управление идентификацией клиентов для бизнеса как услугу. При делегировании группы ресурсов через Azure Lighthouse можно использовать Azure Monitor для маршрутизации журналов входа и аудита Microsoft Entra External ID в различные решения мониторинга. Эти журналы можно сохранить для долговременного использования или интегрировать со сторонними средствами для управления сведениями и событиями безопасности (SIEM), чтобы получать аналитические сведения о своей среде.
Дополнительные сведения см. в статье "Настройка Azure Monitor в внешних клиентах".
Заметки по терминологии
Для управления между клиентами в рамках предприятия все указания поставщиков услуг в документации по Azure Lighthouse можно применять к управляющему клиенту, то есть к тому клиенту, в который входят пользователи с правами управления ресурсами в других клиентах через Azure Lighthouse. Аналогичным образом, все указания клиентов можно применять к тем клиентам, которые делегируют ресурсы для управления пользователями из управляющего клиента.
Например, в описанном выше примере Tenant A будет считаться клиентом поставщика услуг (управляющий клиент), а Tenant B и Tenant C — пользовательскими клиентами.
В этом примере пользователи из Tenant A, имеющие соответствующие разрешения, могут просматривать делегированные ресурсы и управлять ими на странице Мои клиенты портала Azure. Аналогичным образом пользователи Клиента B и Клиента C с соответствующими разрешениями могут просматривать и управлять сведениями о делегировании на странице поставщиков услуг на портале Azure.
Следующие шаги
- Изучите варианты организации ресурсов в архитектурах с несколькими клиентами.
- Узнайте больше об интерфейсах управления для различных клиентов.
- Узнайте больше о работе Azure Lighthouse.