Share via

Azure Lighthouse في سيناريوهات المؤسسة

  • مقالة

يتضمن السيناريو الشائع ل Azure Lighthouse موفر خدمة يدير الموارد في مستأجري Microsoft Entra لعملائه. يمكن أيضا استخدام قدرات Azure Lighthouse لتبسيط الإدارة عبر المستأجرين داخل مؤسسة تستخدم العديد من مستأجري Microsoft Entra.

مستأجر واحد مقابل عدة مستأجرين

بالنسبة لمعظم المؤسسات، تكون الإدارة أسهل مع مستأجر Microsoft Entra واحد. يسمح وجود جميع الموارد داخل مستأجر واحد بمركزية مهام الإدارة بواسطة مستخدمين معينين أو مجموعات مستخدمين أو أساسيات خدمة داخل ذلك المستأجر. نوصي باستخدام مستأجر واحد لمؤسستك كلما أمكن ذلك.

قد تحتاج بعض المؤسسات إلى استخدام العديد من مستأجري Microsoft Entra. قد يكون هذا موقفاً مؤقتاً، كما هو الحال عند حدوث عمليات الاستحواذ ولم يتم تحديد إستراتيجية دمج المستأجر طويلة الأجل بعد. في أوقات أخرى، قد تحتاج المؤسسات إلى الاحتفاظ بمستأجرين متعددين على أساس مستمر بسبب الشركات التابعة المستقلة بالكامل أو المتطلبات الجغرافية أو القانونية أو اعتبارات أخرى.

في الحالات التي تتطلب وجود بنية متعددة المستأجرين، يمكن أن تساعد Azure Lighthouse في مركزية عمليات الإدارة وتبسيطها. باستخدام Azure Lighthouse، يمكن للمستخدمين في أحد المستأجرين الإداريين أداء وظائف الإدارة عبر المستأجرين بطريقة مركزية وقابلة لتغيير الحجم.

هندسة إدارة المستأجر

لاستخدام Azure Lighthouse في مؤسسة، ستحتاج إلى تحديد المستأجر الذي سيشمل المستخدمين الذين يقومون بعمليات الإدارة على المستأجرين الآخرين. بمعنى آخر، سوف تحتاج إلى تعيين مستأجر واحد كمستأجر إداري للمستأجرين الآخرين.

على سبيل المثال، لنفترض أن مؤسستك لديها مستأجر واحد سنسميه المستأجر أ. ثم تحصل مؤسستك على المستأجر B والمستأجر C، ولديك أسباب عمل تتطلب منك الاحتفاظ بها كمستأجرين منفصلين. ومع ذلك، قد ترغب في استخدام نفس تعريفات النهج وممارسات النسخ الاحتياطي وعمليات الأمان لكل منهم، مع مهام الإدارة التي تقوم بها نفس مجموعة المستخدمين.

نظراً لأن المستأجر A يتضمن بالفعل مستخدمين في مؤسستك قاموا بتنفيذ هذه المهام لـ Tenant A، يمكنك إعداد اشتراكات داخل Tenant B وTenant C، ما يسمح لنفس المستخدمين في Tenant A بأداء هذه المهام عبر جميع المستأجرين.

Diagram showing users in Tenant A managing resources in Tenant B and Tenant C.

اعتبارات الأمان والوصول

في معظم سيناريوهات المؤسسة، سترغب في تفويض اشتراك كامل إلى Azure Lighthouse. يمكنك أيضاً اختيار تفويض مجموعات موارد محددة فقط ضمن الاشتراك.

في كلتا الحالتين، تأكد من اتباع كيان أقل امتياز عند تحديد المستخدمين الذين سيكون لهم حق الوصول إلى الموارد المفوضة. يساعد القيام بذلك على ضمان أن المستخدمين لديهم الأذونات اللازمة فقط لأداء المهام المطلوبة ويقلل من فرصة حدوث أخطاء غير مقصودة.

يوفر Azure Lighthouse روابط منطقية فقط بين المستأجر المُدار والمستأجرين المُدارين، بدلاً من نقل البيانات أو الموارد فعلياً. علاوة على ذلك، فإن الوصول يسير دائماً في اتجاه واحد فقط، من المستأجر الإداري إلى المستأجرين المُدارين. يجب على المستخدمين والمجموعات في المستأجر المسؤول الاستمرار في استخدام المصادقة متعددة العوامل عند تنفيذ عمليات الإدارة على موارد المستأجر المُدارة.

يمكن للمؤسسات التي لديها إدارة داخلية أو خارجية وحواجز حماية الامتثال استخدام سجلات نشاط Azure لتلبية متطلبات الشفافية الخاصة بها. عندما يقوم مستأجرو المؤسسة بإنشاء علاقات إدارة وإدارة مع المستأجر، يمكن للمستخدمين في كل مستأجر عرض النشاط المسجل لمشاهدة الإجراءات التي يتخذها المستخدمون في المستأجر المسؤول.

اعتبارات الإعداد

يمكن إعداد الاشتراكات (أو مجموعات الموارد ضمن الاشتراك) في Azure Lighthouse إما عن طريق توزيع قوالب Azure Resource Manager أو من خلال عروض الخدمات المُدارة المنشورة في Azure Marketplace.

نظراً لأن مستخدمي المؤسسات سيكون لديهم عادةً وصول مباشر إلى مستأجري المؤسسة، ولا توجد حاجة لتسويق عرض الإدارة أو الترويج له، فعادة ما يكون توزيع قوالب Azure Resource Manager أسرع وأكثر وضوحاً. بينما تشير إرشادات الإعداد إلى مقدمي الخدمة والعملاء، يمكن للمؤسسات استخدام نفس العمليات لإعداد المستأجرين.

إذا كنت تفضل ذلك، يمكن تأهيل المستأجرين داخل مؤسسة من خلال نشر عرض الخدمات المُدارة في Azure Marketplace. للتأكد من أن العرض متاح فقط للمستأجرين المناسبين، تأكد من وضع علامة على خططك على أنها خاصة. باستخدام خطة خاصة، تقوم بتوفير معرّفات الاشتراك لكل مستأجر تخطط للانضمام إليه، ولن يتمكن أي شخص آخر من الحصول على عرضك.

Azure AD B2C

يوفرAzure Active Directory B2C (Microsoft Azure Active Directory B2C) هوية شركة إلى عميل كخدمة. عند تفويض مجموعة موارد من خلال Azure Lighthouse، يمكنك استخدام Azure Monitor لتوجيه سجلات تسجيل الدخول والتدقيق في Azure Active Directory B2C (Microsoft Azure Active Directory B2C) إلى حلول مراقبة مختلفة. يمكنك الاحتفاظ بالسجلات للاستخدام على المدى الطويل، أو التكامل مع معلومات الأمان الخاصة بجهات خارجية وأدوات إدارة الأحداث (SIEM) لاكتساب نتائج تحليلات حول بيئتك.

لمزيد من المعلومات، راجع مراقبة Microsoft Azure Active Directory B2C باستخدام Azure Monitor.

ملاحظات المصطلحات

بالنسبة للإدارة عبر المستأجرين داخل المؤسسة، يمكن فهم الإشارات إلى موفري الخدمات في وثائق Azure Lighthouse على أنها تنطبق على المستأجر الإداري داخل المؤسسة - أي المستأجر الذي يتضمن المستخدمين الذين سيديرون الموارد في مستأجرين آخرين من خلال Azure Lighthouse. وبالمثل، يمكن فهم أي إشارات للعملاء على أنها تنطبق على المستأجرين الذين يقومون بتفويض الموارد لتتم إدارتها من خلال المستخدمين في المستأجر المسؤول.

على سبيل المثال، في المثال الموضح أعلاه، يمكن اعتبار المستأجر "أ" مستأجر مزود الخدمة (المستأجر الإداري) ويمكن اعتبار المستأجر "ب" والمستأجر "ج" مستأجرين للعميل.

متابعة لهذا المثال، يمكن لمستخدمي المستأجر أ الذين لديهم الأذونات المناسبة عرض وإدارة الموارد المفوضة في صفحة My customers في مدخل Microsoft Azure. وبالمثل، يمكن لمستخدمي المستأجرين ب والمستأجر ج الذين لديهم الأذونات المناسبة عرض وإدارة الموارد التي تم تفويضها إلى المستأجر أ في صفحة موفرو الخدمة بـ مدخل Microsoft Azure.

الخطوات التالية