Mandantenübergreifende VerwaltungsmöglichkeitenCross-tenant management experiences

Als Dienstanbieter können Sie mit Azure Lighthouse Ressourcen für mehrere Kunden in Ihrem eigenen Azure AD-Mandanten (Azure Active Directory) verwalten.As a service provider, you can use Azure Lighthouse to manage resources for multiple customers from within your own Azure Active Directory (Azure AD) tenant. Die meisten Aufgaben und Dienste können mit der delegierten Azure-Ressourcenverwaltung über verwaltete Mandanten ausgeführt werden.Many tasks and services can be performed across managed tenants by using Azure delegated resource management.

Tipp

Die delegierte Azure-Ressourcenverwaltung kann auch in einem Unternehmen verwendet werden, das über mehrere eigene Mandanten verfügt, um die mandantenübergreifende Verwaltung zu vereinfachen.Azure delegated resource management can also be used within an enterprise which has multiple Azure AD tenants of its own to simplify cross-tenant administration.

Grundlegendes zu Mandanten und DelegierungUnderstanding tenants and delegation

Ein Azure AD-Mandant ist eine Darstellung einer Organisation.An Azure AD tenant is a representation of an organization. Es handelt sich um eine dedizierte Instanz von Azure AD, die Organisationen bereitgestellt wird, wenn diese sich für Azure, Microsoft 365 oder andere Dienste registrieren und damit eine Geschäftsbeziehung mit Microsoft eingehen.It's a dedicated instance of Azure AD that an organization receives when they create a relationship with Microsoft by signing up for Azure, Microsoft 365, or other services. Jeder Azure AD-Mandant ist eindeutig und von anderen Azure AD-Mandanten getrennt und verfügt über eine eigene Mandanten-ID (eine GUID).Each Azure AD tenant is distinct and separate from other Azure AD tenants, and has its own tenant ID (a GUID). Weitere Informationen finden Sie unter Was ist Azure Active Directory?.For more info, see What is Azure Active Directory?

Um Azure-Ressourcen für einen Kunden zu verwalten, müssten sich Dienstanbieter in der Regel mit einem Konto beim Azure-Portal anmelden, das dem Mandanten dieses Kunden zugeordnet ist, wofür ein Administrator im Mandanten des Kunden benötigt wird, um Benutzerkonten für den Dienstanbieter zu erstellen und zu verwalten.Typically, in order to manage Azure resources for a customer, service providers would have to sign in to the Azure portal using an account associated with that customer's tenant, requiring an administrator in the customer's tenant to create and manage user accounts for the service provider.

Mit Azure Lighthouse gibt das Onboardingverfahren Benutzer im Mandanten des Dienstanbieters an, die mit delegierten Abonnements und Ressourcengruppen im Mandanten des Kunden arbeiten können.With Azure Lighthouse, the onboarding process specifies users within the service provider's tenant who will be able to work on delegated subscriptions and resource groups in the customer's tenant. Diese Benutzer können sich dann beim Azure-Portal mit ihren eigenen Anmeldeinformationen anmelden.These users can then sign in to the Azure portal using their own credentials. Innerhalb des Azure-Portals können Sie Ressourcen verwalten, die zu allen Kunden gehören, auf die sie Zugriff haben.Within the Azure portal, they can manage resources belonging to all customers to which they have access. Hierzu können Sie die Seite Meine Kunden im Azure-Portal besuchen oder direkt im Kontext des Abonnements dieses Kunden arbeiten, entweder im Azure-Portal oder mittels APIs.This can be done by visiting the My customers page in the Azure portal, or by working directly within the context of that customer's subscription, either in the Azure portal or via APIs.

Azure Lighthouse ermöglicht größere Flexibilität bei der Verwaltung von Ressourcen für mehrere Kunden, ohne sich bei verschiedenen Konten in unterschiedlichen Mandanten anmelden zu müssen.Azure Lighthouse allows greater flexibility to manage resources for multiple customers without having to sign in to different accounts in different tenants. So kann ein Dienstanbieter beispielsweise zwei Kunden mit unterschiedlichen Zuständigkeiten und Zugriffsebenen haben.For example, a service provider may have two customers with different responsibilities and access levels. Mithilfe von Azure Lighthouse können sich autorisierte Benutzer beim Mandanten des Dienstanbieters anmelden, um auf diese Ressourcen zuzugreifen.Using Azure Lighthouse, authorized users can sign in to the service provider's tenant to access these resources.

Diagramm zu Kundenressourcen, die über einen Dienstanbietermandanten verwaltet werden

Unterstützung für APIs und VerwaltungstoolsAPIs and management tool support

Sie können Verwaltungsaufgaben für delegierte Ressourcen direkt im Portal oder mithilfe von APIs und Verwaltungstools (z. B. Azure-Befehlszeilenschnittstelle und Azure PowerShell) durchführen.You can perform management tasks on delegated resources either directly in the portal or by using APIs and management tools (such as Azure CLI and Azure PowerShell). Alle vorhandenen APIs können für die Arbeit mit delegierten Ressourcen verwendet werden, solange die Funktionalität für mandantenübergreifende Verwaltung unterstützt wird und der Benutzer über die entsprechenden Berechtigungen verfügt.All existing APIs can be used when working with delegated resources, as long as the functionality is supported for cross-tenant management and the user has the appropriate permissions.

Das Azure PowerShell-Cmdlet „Get-AzSubscription“ zeigt standardmäßig die TenantId für den verwaltenden Mandanten an.The Azure PowerShell Get-AzSubscription cmdlet will show the TenantId for the managing tenant by default. Sie können die Attribute HomeTenantId und ManagedByTenantIds für jedes Abonnement verwenden. Dadurch können Sie ermitteln, ob ein zurückgegebenes Abonnement zu einem verwalteten Mandanten oder Ihrem verwaltenden Mandanten gehört.You can use the HomeTenantId and ManagedByTenantIds attributes for each subscription, allowing you to identify whether a returned subscription belongs to a managed tenant or to your managing tenant.

Ebenso zeigen Azure CLI-Befehle wie az account list die Attribute homeTenantId und managedByTenants an.Similarly, Azure CLI commands such as az account list show the homeTenantId and managedByTenants attributes. Wenn diese Werte bei Verwendung der Azure-Befehlszeilenschnittstelle nicht angezeigt werden, löschen Sie den Cache, indem Sie az account clear gefolgt von az login --identity ausführen.If you don't see these values when using Azure CLI, try clearing your cache by running az account clear followed by az login --identity.

In der Azure-REST-API enthalten die Befehle Subscriptions – Get und Subscriptions – List das Element ManagedByTenant.In the Azure REST API, the Subscriptions - Get and Subscriptions - List commands include ManagedByTenant.

Hinweis

Zusätzlich zu den Mandanteninformationen im Zusammenhang mit Azure Lighthouse können Mandanten, die von diesen APIs angezeigt werden, auch Partnermandanten für Azure Databricks oder verwaltete Azure-Anwendungen darstellen.In addition to tenant information related to Azure Lighthouse, tenants shown by these APIs may also reflect partner tenants for Azure Databricks or Azure managed applications.

Wir bieten außerdem APIs, die speziell für Azure Lighthouse-Aufgaben ausgelegt sind.We also provide APIs that are specific to performing Azure Lighthouse tasks. Weitere Informationen finden Sie im Abschnitt Referenz.For more info, see the Reference section.

Verbesserte Dienste und SzenarienEnhanced services and scenarios

Die meisten Aufgaben und Dienste können auf delegierten Ressourcen über verwaltete Mandanten ausgeführt werden.Most tasks and services can be performed on delegated resources across managed tenants. Im Folgenden finden Sie einige wichtige Szenarien, in denen die mandantenübergreifende Verwaltung besonders effektiv sein kann.Below are some of the key scenarios where cross-tenant management can be especially effective.

Azure Arc:Azure Arc:

Azure Automation:Azure Automation:

  • Verwenden von Automation-Konten für den Zugriff auf und die Arbeit mit delegierten RessourcenUse Automation accounts to access and work with delegated resources

Azure Backup:Azure Backup:

  • Sichern und Wiederherstellen von Kundendaten aus lokalen Workloads, Azure VMs, Azure-Dateifreigaben und mehrBack up and restore customer data from on-premises workloads, Azure VMs, Azure file shares, and more
  • Anzeigen von Daten für alle delegierten Kundenressourcen in Backup CenterView data for all delegated customer resources in Backup Center
  • Verwenden des Backup-Explorers zum Anzeigen von Betriebsinformationen zu Sicherungselementen (einschließlich noch nicht für die Sicherung konfigurierten Azure-Ressourcen) und Überwachungsinformationen (Aufträge und Warnungen) zu delegierten Abonnements.Use the Backup Explorer to help view operational information of backup items (including Azure resources not yet configured for backup) and monitoring information (jobs and alerts) for delegated subscriptions. Der Backup-Explorer ist zurzeit nur für Azure-VM-Daten verfügbar.The Backup Explorer is currently available only for Azure VM data.
  • Verwenden Sie übergreifende Sicherungsberichte für delegierte Abonnements, um historische Trends nachzuverfolgen, den Sicherungsspeicherverbrauch zu analysieren und Sicherungen/Wiederherstellungen zu überwachen.Use Backup Reports across delegated subscriptions to track historical trends, analyze backup storage consumption, and audit backups and restores.

Azure Blueprints:Azure Blueprints:

  • Verwenden Sie Azure Blueprints zur Orchestrierung der Bereitstellung von Ressourcenvorlagen und anderen Artefakten (erfordert zusätzlichen Zugriff zur Vorbereitung des Kundenabonnements).Use Azure Blueprints to orchestrate the deployment of resource templates and other artifacts (requires additional access to prepare the customer subscription)

Azure-Kostenverwaltung und -Abrechnung:Azure Cost Management + Billing:

  • Über den verwaltenden Mandanten können CSP-Partner für Kunden, die dem Azure-Plan unterliegen, Verbrauchskosten vor Steuern anzeigen, verwalten und analysieren. (Käufe werden hierbei nicht berücksichtigt.)From the managing tenant, CSP partners can view, manage, and analyze pre-tax consumption costs (not inclusive of purchases) for customers who are under the Azure plan. Die Kosten basieren auf Einzelhandelspreisen sowie auf dem Umfang des Azure RBAC-Zugriffs (Role-Based Access Control) des Partners für das Abonnement des Kunden.The cost will be based on retail rates and the Azure role-based access control (Azure RBAC) access that the partner has for the customer's subscription. Derzeit können Sie die Verbrauchskosten zu Einzelhandelspreisen für jedes einzelne Kundenabonnement anzeigen, basierend auf dem Azure RBAC-Zugriff.Currently, you can view consumption costs at retail rates for each individual customer subscription based on Azure RBAC access.

Azure Key Vault:Azure Key Vault:

  • Erstellen von Schlüsseltresoren in KundenmandantenCreate Key Vaults in customer tenants
  • Verwenden einer verwalteten Identität zum Erstellen von Schlüsseltresoren in KundenmandantenUse a managed identity to create Key Vaults in customer tenants

Azure Kubernetes Service (AKS):Azure Kubernetes Service (AKS):

  • Verwalten gehosteter Kubernetes-Umgebungen und Bereitstellen und Verwalten von Containeranwendungen innerhalb von KundenmandantenManage hosted Kubernetes environments and deploy and manage containerized applications within customer tenants
  • Bereitstellen und Verwalten von Clustern in KundenmandantenDeploy and manage clusters in customer tenants
  • Verwenden von Azure Monitor für Container zum Überwachen der Leistung in KundenmandantenUse Azure Monitor for containers to monitor performance across customer tenants

Azure Migrate:Azure Migrate:

  • Erstellen von Migrationsprojekten im Kundenmandanten und Migrieren von VMsCreate migration projects in the customer tenant and migrate VMs

Azure Monitor:Azure Monitor:

Azure-Netzwerkoptionen:Azure Networking:

Azure Policy:Azure Policy:

  • Erstellen und Bearbeiten von Richtliniendefinitionen innerhalb delegierter AbonnementsCreate and edit policy definitions within delegated subscriptions
  • Bereitstellen von Richtliniendefinitionen und -zuweisungen für mehrere MandantenDeploy policy definitions and policy assignments across multiple tenants
  • Zuweisen der von Kunden definierten Richtliniendefinitionen innerhalb delegierter AbonnementsAssign customer-defined policy definitions within delegated subscriptions
  • Kunden werden Richtlinien, die vom Dienstanbieter erstellt wurden, zusammen mit allen Richtlinien angezeigt, die sie selbst erstellt haben.Customers see policies authored by the service provider alongside any policies they've authored themselves
  • Beheben von „deployIfNotExists“ oder Ändern von Zuweisungen innerhalb des verwalteten MandantenCan remediate deployIfNotExists or modify assignments within the managed tenant
  • Beachten Sie, dass das Anzeigen von Konformitätsdetails für nicht konforme Ressourcen in Kundenmandanten aktuell nicht unterstützt wird.Note that viewing compliance details for non-compliant resources in customer tenants is not currently supported

Azure Resource Graph:Azure Resource Graph:

  • Enthält jetzt die Mandanten-ID in zurückgegebenen Abfrageergebnissen, sodass Sie ermitteln können, ob ein Abonnement zu einem verwalteten Mandanten gehört.Now includes the tenant ID in returned query results, allowing you to identify whether a subscription belongs to a managed tenant

Azure Security Center:Azure Security Center:

  • Mandantenübergreifende SichtbarkeitCross-tenant visibility
    • Überwachen der Einhaltung von Sicherheitsrichtlinien und Sicherstellen der Sicherheitsabdeckung für alle Ressourcen der MandantenMonitor compliance to security policies and ensure security coverage across all tenants' resources
    • Kontinuierliche Überwachung der Einhaltung gesetzlicher Bestimmungen für mehrere Mandanten in einer einzigen AnsichtContinuous regulatory compliance monitoring across multiple tenants in a single view
    • Überwachen, Selektieren und Priorisieren von umsetzbaren Sicherheitsempfehlungen mit SicherheitsbewertungsberechnungMonitor, triage, and prioritize actionable security recommendations with secure score calculation
  • Mandantenübergreifende SicherheitsstatusverwaltungCross-tenant security posture management
    • Verwalten von SicherheitsrichtlinienManage security policies
    • Ergreifen von Maßnahmen für Ressourcen, die nicht mit umsetzbaren Sicherheitsempfehlungen konform sindTake action on resources that are out of compliance with actionable security recommendations
    • Erfassen und Speichern von sicherheitsbezogenen DatenCollect and store security-related data
  • Mandantenübergreifend Bedrohungserkennung und entsprechender Schutz davorCross-tenant threat detection and protection
    • Erkennen von Bedrohungen über Ressourcen von Mandanten hinwegDetect threats across tenants' resources
    • Anwenden von Advanced Threat Protection-Kontrollen, wie z. B. JIT-VM-Zugriff (Just-in-Time)Apply advanced threat protection controls such as just-in-time (JIT) VM access
    • Verstärkung des Schutzes der Konfiguration von Netzwerksicherheitsgruppen mit adaptiver NetzwerkhärtungHarden network security group configuration with Adaptive Network Hardening
    • Sicherstellung mittels adaptiver Anwendungssteuerung, dass auf Servern nur die Anwendungen und Prozesse ausgeführt werden, die ausgeführt werden solltenEnsure servers are running only the applications and processes they should be with adaptive application controls
    • Überwachen von Änderungen an wichtigen Dateien und Registrierungseinträgen mittels Überwachung der Dateiintegrität (FIM)Monitor changes to important files and registry entries with File Integrity Monitoring (FIM)
  • Beachten Sie, dass das gesamte Abonnement an den Verwaltungsmandanten delegiert werden muss. Azure Security Center-Szenarien werden bei delegierten Ressourcengruppen nicht unterstützt.Note that the entire subscription must be delegated to the managing tenant; Azure Security Center scenarios are not supported with delegated resource groups

Azure Sentinel:Azure Sentinel:

Azure Service Health:Azure Service Health:

  • Überwachen der Integrität von Kundenressourcen mittels Azure Resource HealthMonitor the health of customer resources with Azure Resource Health
  • Verfolgen der Integrität der Azure-Dienste, die von ihren Kunden verwendet werdenTrack the health of the Azure services used by your customers

Azure Site Recovery:Azure Site Recovery:

  • Verwalten von Notfallwiederherstellungsoptionen für Azure-VMs in Kundenmandanten (beachten Sie, dass Sie keine RunAs-Konten zum Kopieren von VM-Erweiterungen verwenden können)Manage disaster recovery options for Azure virtual machines in customer tenants (note that you can't use RunAs accounts to copy VM extensions)

Azure Virtual Machines:Azure Virtual Machines:

  • Verwenden von VM-Erweiterungen, um nach der Bereitstellung Konfigurations- und Automatisierungsaufgaben auf Azure-VMs auszuführenUse virtual machine extensions to provide post-deployment configuration and automation tasks on Azure VMs
  • Verwenden der Startdiagnose zur Problembehandlung von Azure-VMsUse boot diagnostics to troubleshoot Azure VMs
  • Zugreifen auf VMs mit der seriellen KonsoleAccess VMs with serial console
  • Integrieren von VMs in Azure Key Vault mit einer verwalteten Identität über Richtlinien, um Kennwörter, Geheimnisse oder kryptografische Schlüssel für die Datenträgerverschlüsselung zu verwenden und dabei sicherzustellen, dass Geheimnisse in einer Key Vault-Instanz in den verwalteten Mandanten gespeichert werdenIntegrate VMs with Azure Key Vault for passwords, secrets, or cryptographic keys for disk encryption by using managed identity through policy, ensuring that secrets are stored in a Key Vault in the managed tenants
  • Beachten Sie, dass Sie Azure Active Directory nicht für die Remoteanmeldung bei VMs verwenden können.Note that you can't use Azure Active Directory for remote login to VMs

Supportanfragen:Support requests:

Aktuelle EinschränkungenCurrent limitations

Beachten Sie bei allen Szenarios die folgenden aktuellen Einschränkungen:With all scenarios, please be aware of the following current limitations:

  • Von Azure Resource Manager verarbeitete Anforderungen können mithilfe von Azure Lighthouse durchgeführt werden.Requests handled by Azure Resource Manager can be performed using Azure Lighthouse. Die Vorgangs-URIs für diese Anforderungen beginnen mit https://management.azure.com.The operation URIs for these requests start with https://management.azure.com. Anforderungen, die von einer Instanz eines Ressourcentyps verarbeitet werden (etwa Zugriff auf Key Vault-Geheimnisse oder auf Speicherdaten), werden von Azure Lighthouse nicht unterstützt.However, requests that are handled by an instance of a resource type (such as Key Vault secrets access or storage data access) aren't supported with Azure Lighthouse. Die Vorgangs-URIs für diese Anforderungen beginnen in der Regel mit einer Adresse, die für Ihre Instanz eindeutig ist, z. B. https://myaccount.blob.core.windows.net oder https://mykeyvault.vault.azure.net/.The operation URIs for these requests typically start with an address that is unique to your instance, such as https://myaccount.blob.core.windows.net or https://mykeyvault.vault.azure.net/. Letzteres sind in der Regel auch eher Datenvorgänge als Verwaltungsvorgänge.The latter also are typically data operations rather than management operations.
  • Rollenzuweisungen müssen integrierte Azure-Rollen verwenden.Role assignments must use Azure built-in roles. Alle integrierten Rollen werden derzeit mit der delegierten Azure-Ressourcenverwaltung unterstützt, ausgenommen „Besitzer“ und alle integrierten Rollen mit der Berechtigung DataActions.All built-in roles are currently supported with Azure delegated resource management except for Owner or any built-in roles with DataActions permission. Die Rolle „Benutzerzugriffsadministrator“ wird nur für die eingeschränkte Verwendung beim Zuweisen von Rollen zu verwalteten Identitäten unterstützt.The User Access Administrator role is supported only for limited use in assigning roles to managed identities. Benutzerdefinierte Rollen und klassische Abonnementadministratorrollen werden nicht unterstützt.Custom roles and classic subscription administrator roles are not supported.
  • Sie können Abonnements, die Azure Databricks verwenden, zwar integrieren, Benutzer im Verwaltungsmandanten können jedoch derzeit keine Azure Databricks-Arbeitsbereiche für ein delegiertes Abonnement starten.While you can onboard subscriptions that use Azure Databricks, users in the managing tenant can't launch Azure Databricks workspaces on a delegated subscription at this time.
  • Sie können zwar ein Onboarding für Abonnements und Ressourcengruppen mit Ressourcensperren durchführen, diese Sperren verhindern jedoch nicht die Ausführung von Aktionen durch Benutzer im Verwaltungsmandanten.While you can onboard subscriptions and resource groups that have resource locks, those locks will not prevent actions from being performed by users in the managing tenant. Ablehnungszuweisungen, die systemseitig verwaltete Ressourcen schützen – beispielsweise solche, die von verwalteten Azure-Anwendungen oder von Azure Blueprints erstellt wurden (systemseitig zugewiesene Ablehnungszuweisungen) –, verhindern, dass Benutzer im Verwaltungsmandanten Aktionen für diese Ressourcen ausführen. Benutzer im Kundenmandanten können gegenwärtig allerdings keine eigenen Ablehnungszuweisungen (benutzerseitig zugewiesene Ablehnungszuweisungen) erstellen.Deny assignments that protect system-managed resources, such as those created by Azure managed applications or Azure Blueprints (system-assigned deny assignments), do prevent users in the managing tenant from acting on those resources; however, at this time users in the customer tenant can't create their own deny assignments (user-assigned deny assignments).
  • Die Delegierung von Abonnements auf eine nationale Cloud und die öffentliche Azure-Cloud oder zwei separate nationale Clouds wird nicht unterstützt.Delegation of subscriptions across a national cloud and the Azure public cloud, or across two separate national clouds, is not supported.

Nächste SchritteNext steps