Prostředí pro správu napříč tenanty

jako poskytovatel služeb můžete použít Azure Lighthouse ke správě prostředků pro více zákazníků z vlastního tenanta Azure Active Directory (Azure AD). V rámci spravovaných klientů se dá provádět mnoho úloh a služeb pomocí delegované správy prostředků Azure.

Porozumění klientům a delegování

Tenant služby Azure AD je reprezentace organizace. jedná se o vyhrazenou instanci služby Azure AD, kterou organizace obdrží, když vytvoří relaci se společností Microsoft tím, že se přihlásí k Azure, Microsoft 365 nebo jiným službám. Každý tenant služby Azure AD je jedinečný a oddělený od ostatních tenantů Azure AD a má své vlastní ID tenanta (identifikátor GUID). Další informace najdete v tématu co je Azure Active Directory?

Aby bylo možné spravovat prostředky Azure pro zákazníka, poskytovatelé služeb by se museli přihlašovat k Azure Portal pomocí účtu přidruženého k tenantovi daného zákazníka a vyžadovat od správce v tenantovi zákazníka vytváření a správu uživatelských účtů pro poskytovatele služeb.

Pomocí Azure Lighthouse proces připojování Určuje uživatele v rámci tenanta poskytovatele služeb, kteří budou moci pracovat na delegovaných předplatných a skupinách prostředků v tenantovi zákazníka. Tito uživatelé se pak mohou přihlašovat k Azure Portal pomocí vlastních přihlašovacích údajů. V rámci Azure Portal mohou spravovat prostředky patřící všem zákazníkům, ke kterým mají přístup. To se dá udělat tak, že navštívíte stránku moji Customers v Azure Portal, nebo přímo v rámci svého předplatného daného zákazníka, a to buď v Azure Portal nebo prostřednictvím rozhraní API.

Azure Lighthouse umožňuje větší flexibilitu při správě prostředků pro různé zákazníky bez nutnosti přihlašovat se k různým účtům v různých klientech. Poskytovatel služeb může mít například dva zákazníky s různými zodpovědnostmi a úrovněmi přístupu. Pomocí Azure Lighthouse se autorizovaní uživatelé můžou přihlásit k tenantovi poskytovatele služeb, aby měli přístup k těmto prostředkům.

Podpora rozhraní API a nástrojů pro správu

Úlohy správy můžete u delegovaných prostředků provádět buď přímo na portálu, nebo pomocí rozhraní API a nástrojů pro správu (například Azure CLI a Azure PowerShell). Všechna existující rozhraní API se dají použít při práci s delegovanými prostředky, pokud je tato funkce podporovaná pro správu mezi klienty a uživatel má příslušná oprávnění.

rutina Azure PowerShell Get-AzSubscription zobrazí ve TenantId výchozím nastavení pro správu tenanta. HomeTenantId ManagedByTenantIds U každého předplatného můžete použít atributy a, které vám umožní určit, jestli vracený odběr patří do spravovaného tenanta nebo do vašeho tenanta pro správu.

Podobně příkazy rozhraní příkazového řádku Azure, jako je například AZ Account list , zobrazí homeTenantId managedByTenants atributy a. Pokud nevidíte tyto hodnoty při použití rozhraní příkazového řádku Azure, zkuste vyprázdnit mezipaměť spuštěním příkazu az account clear a az login --identity .

V Azure REST API jsou k dis příkazy Subscriptions-Get a Subscriptions-list ManagedByTenant .

Poskytujeme také rozhraní API, která jsou specifická pro provádění úloh Azure Lighthouse. Další informace najdete v části reference .

Rozšířené služby a scénáře

Většinu úloh a služeb je možné provádět na delegovaných prostředcích napříč spravovanými tenanty. Níže jsou uvedeny některé z klíčových scénářů, ve kterých může být Správa mezi klienty obzvláště efektivní.

ARC Azure:

• Správa hybridních serverů ve velkém měřítku – servery s podporou ARC Azure:
  • správa počítačů se systémy Windows Server nebo Linux mimo Azure, které jsou připojené k delegovaným předplatným nebo skupinám prostředků v azure
  • Spravujte připojené počítače pomocí konstrukcí Azure, například Azure Policy a označování.
  • Zajistěte, aby se stejná sada zásad používala v hybridních prostředích zákazníků.
  • Použití programu Microsoft Defender pro Cloud k monitorování dodržování předpisů v hybridních prostředích zákazníků
• Správa hybridních clusterů Kubernetes ve velkém měřítku – Kubernetes s podporou ARC Azure (Preview):
  • Správa clusterů Kubernetes, které jsou připojené k delegovaným předplatným nebo skupinám prostředků v Azure
  • Použití GitOps pro připojené clustery
  • Vynutilit zásady mezi připojenými clustery

Azure Automation:

• Používání účtů Automation pro přístup k delegovaným prostředkům a práce s nimi

Azure Backup:

• Zálohujte a obnovujte zákaznická data z místních úloh, virtuálních počítačů Azure, sdílených složek Azure a dalších
• Zobrazit data pro všechny prostředky delegovaných zákazníků v centru záloh
• Pomocí Průzkumníka zálohování si můžete zobrazit provozní informace o zálohovaných položkách (včetně prostředků Azure, které ještě nejsou nakonfigurované pro zálohování), a informace o monitorování (úlohy a výstrahy) pro delegované předplatné. Průzkumník zálohování je momentálně dostupný jenom pro data virtuálních počítačů Azure.
• Sestavy zálohování v rámci delegovaných předplatných vám umožní sledovat historické trendy, analyzovat spotřebu úložiště záloh a auditovat a obnovovat zálohy.

Plány Azure:

• Použijte plány Azure k orchestraci nasazení šablon prostředků a dalších artefaktů (vyžaduje Další přístup k přípravě zákaznického předplatného).

Azure cost management + fakturace:

• Od tenanta pro správu můžou partneři CSP zobrazovat, spravovat a analyzovat náklady na předběžnou spotřebu (bez nákupů) pro zákazníky, kteří jsou v rámci plánu Azure. Náklady budou založené na prodejních tarifech a na řízení přístupu na základě role Azure (Azure RBAC), které má partner pro předplatné zákazníka. V současné době můžete náklady na spotřebu zobrazit v maloobchodních sazbách pro každé předplatné jednotlivých zákazníků na základě přístupu ke službě Azure RBAC.

Azure Key Vault:

• Vytváření trezorů klíčů v klientech zákazníků
• Použití spravované identity k vytvoření trezorů klíčů v klientech zákazníků

Služba Azure Kubernetes (AKS):

• Správa hostovaných prostředí Kubernetes a nasazení a Správa kontejnerových aplikací v rámci zákaznických tenantů
• Nasazení a Správa clusterů v klientech zákazníků
• Použití Azure Monitor pro kontejnery k monitorování výkonu mezi zákazníky v klientech

Azure Migrate:

• Vytváření projektů migrace v tenantovi zákazníka a migrace virtuálních počítačů

Azure monitor:

• Zobrazit výstrahy pro delegovaná předplatná s možností zobrazit a aktualizovat výstrahy ve všech předplatných
• Zobrazit podrobnosti protokolu aktivit pro delegované odběry
• Log Analytics: dotazování dat ze vzdálených pracovních prostorů ve více klientech (Všimněte si, že účty Automation používané pro přístup k datům z pracovních prostorů v klientech zákazníka se musí vytvořit ve stejném tenantovi)
• Vytváření, zobrazování a Správa výstrah metrik, protokolování výstraha upozornění protokolu aktivit v klientech zákazníků
• Vytváření výstrah v klientech zákazníků, kteří spouštějí automatizaci, například Azure Automation Runbooky nebo Azure Functions, v části Správa tenanta prostřednictvím webhooků
• Vytvoření nastavení diagnostiky v pracovních prostorech vytvořených v klientech zákazníků pro odesílání protokolů prostředků do pracovních prostorů v tenantovi pro správu
• Pro úlohy SAP Sledujte metriky řešení SAP s agregovaným zobrazením napříč klienty zákazníka .
• Azure AD B2C, Směrování a protokoly auditování do různých řešení monitorování

Sítě Azure:

• Nasazení a Správa Azure Virtual Network a síťových karet virtuální síťové adaptéry (Virtual Network Interface) v rámci spravovaných tenantů
• Nasazení a konfigurace Azure firewall pro ochranu prostředků Virtual Network zákazníků
• Správa služeb připojení, jako je Azure Virtual WAN, ExpressRoutea VPN Gateway
• Použití Azure Lighthouse k podpoře klíčových scénářů pro program MSP sítě Azure

Azure Policy:

• Vytvoření a úprava definic zásad v rámci delegovaných předplatných
• Nasazení definic zásad a přiřazení zásad napříč více klienty
• Přiřazení definic zásad definovaných uživatelem v rámci delegovaných předplatných
• Zákazníci uvidí zásady vytvořené poskytovatelem služeb společně se všemi zásadami, které sami vytvořily.
• Může napravit deployIfNotExists nebo upravit přiřazení v rámci spravovaného tenanta .
• Všimněte si, že zobrazení podrobností o dodržování předpisů u nekompatibilních prostředků v klientech zákazníka není aktuálně podporováno.

Graph prostředku Azure:

• Teď zahrnuje ID tenanta v vrácených výsledcích dotazu, které vám umožní určit, jestli předplatné patří ke spravovanému tenantovi.

Azure Service Health:

• Monitorujte stav zákaznických prostředků pomocí Azure Resource Health
• Sledujte stav služeb Azure používaných vašimi zákazníky.

Azure Site Recovery:

• Spravujte možnosti zotavení po havárii pro virtuální počítače Azure v klientech zákazníků (Všimněte si, že účty nemůžete použít RunAs ke kopírování rozšíření virtuálních počítačů).

Virtual Machines Azure:

• Použití rozšíření virtuálních počítačů k zajištění konfigurace po nasazení a úloh automatizace na virtuálních počítačích Azure
• Řešení potíží s virtuálními počítači Azure pomocí diagnostiky spouštění
• Přístup k virtuálním počítačům pomocí sériové konzoly
• Integrujte virtuální počítače s Azure Key Vault pro hesla, tajné klíče nebo kryptografické klíče pro šifrování disků pomocí spravované identity prostřednictvím zásada ujistěte se, že tajné klíče jsou uložené v Key Vault ve spravovaných klientech.
• Všimněte si, že pro vzdálené Azure Active Directory virtuálních Azure Active Directory použít virtuální počítače.

Microsoft Defender for Cloud:

• Viditelnost mezi tenanty
  • Monitorování dodržování zásad zabezpečení a zajištění pokrytí zabezpečení napříč prostředky všech tenantů
  • Nepřetržité monitorování dodržování právních předpisů napříč více tenanty v jednom zobrazení
  • Monitorování, určení priorit a určení priorit doporučení zabezpečení s výpočtem bezpečnostního skóre
• Správa postoje k zabezpečení mezi tenanty
  • Správa zásad zabezpečení
  • Opatření u prostředků, které nejsou v souladu s použitelnými doporučeními k zabezpečení
  • Shromažďování a ukládání dat souvisejících se zabezpečením
• Detekce a ochrana hrozeb napříč tenanty
  • Detekce hrozeb napříč prostředky tenantů
  • Použití pokročilých ovládacích prvků ochrany před hrozbou, jako je přístup k virtuálnímu počítače za běhu (JIT)
  • Zabezpečení konfigurace skupiny zabezpečení sítě s adaptivním vytápěním zabezpečení sítě
  • Zajistěte, aby na serverech běžely jenom aplikace a procesy, které by měly být s adaptivním řízením aplikací.
  • Monitorování změn důležitých souborů a položek registru pomocí monitorování integrity souborů (FIM)
• Upozorňujeme, že celé předplatné musí být delegované na tenanta pro správu. Delegované skupiny prostředků nepodporují scénáře Microsoft Defenderu pro cloud.

Microsoft Sentinel:

• Správa prostředků Microsoft Sentinelu v tenantech zákazníků
• Sledování útoků a zobrazení výstrah zabezpečení napříč více tenanty
• Zobrazení incidentů napříč několika pracovními prostory Microsoft Sentinelu rozložených mezi tenanty

Žádosti o podporu:

• Otevření žádostí o podporu z nápovědy a podpory v Azure Portal pro delegované prostředky (výběr plánu podpory dostupného pro delegovaný obor)
• Použití rozhraní API pro kvóty Azure k zobrazení a správě kvót služeb Azure pro delegované prostředky zákazníků

Aktuální omezení

Ve všech scénářích mějte na paměti následující aktuální omezení:

• Požadavky zpracované Azure Resource Manager lze provádět pomocí Azure Lighthouse. Identifikátory URI operací pro tyto požadavky začínají na https://management.azure.com . Požadavky, které jsou zpracovávány instancí typu prostředku (například přístup k tajným kódům Key Vault nebo přístup k datům v úložišti), se však s tímto typem Azure Lighthouse. Identifikátory URI operací pro tyto požadavky obvykle začínají adresou jedinečnou pro vaši instanci, například https://myaccount.blob.core.windows.net nebo https://mykeyvault.vault.azure.net/ . Ty jsou také obvykle operace s daty, a ne operace správy.
• Přiřazení rolí musí používat předdefinované role Azure. Všechny předdefinované role se aktuálně podporují s Azure Lighthouse s výjimkou vlastníka nebo předdefinované role s DataActions oprávněním. Role Správce uživatelských přístupů se podporuje jenom pro omezené použití při přiřazování rolí spravovaným identitám. Vlastní role a klasické role správce předplatného se nepodporují.
• I když můžete onboardovat předplatná, která používají Azure Databricks, uživatelé v tenantovi pro správu v tuto chvíli Azure Databricks pracovní prostory v delegované předplatné.
• I když můžete onboardovat předplatná a skupiny prostředků se zámky prostředků, tyto zámky nezabrání uživatelům ve správě tenanta provádět akce. Přiřazení zamítnutí, která chrání prostředky spravované systémem, například prostředky vytvořené spravovanými aplikacemi Azure nebo Azure Blueprints (přiřazení zamítnutí přiřazená systémem), brání uživatelům ve spravovaném tenantovi v tom, aby s těmito prostředky jednali. V tuto chvíli ale uživatelé v tenantovi zákazníka nemůže vytvářet vlastní přiřazení zamítnutí (přiřazení zamítnutí přiřazená uživatelem).
• Delegování předplatných napříč národním cloudem a veřejným cloudem Azure nebo ve dvou samostatných národních cloudech není podporováno.

Další kroky

• K onboardingu zákazníků Azure Lighthouse, a to buď pomocí šablon Azure Resource Manager, nebo publikováním nabídky privátních nebo veřejných spravovaných služeb pro Azure Marketplace.
• Pokud chcete zobrazit a spravovat zákazníky, v části Mí zákazníci v Azure Portal.