Mandantenübergreifende VerwaltungsmöglichkeitenCross-tenant management experiences

In diesem Artikel werden die Szenarien beschrieben, die Sie als Dienstanbieter mit der delegierten Azure-Ressourcenverwaltung nutzen können, um Azure-Ressourcen für mehrere Kunden in Ihrem eigenen Mandanten im Azure-Portal zu verwalten.This article describes the scenarios that you, as a service provider, can use with Azure delegated resource management to manage Azure resources for multiple customers from within your own tenant in the Azure portal.

Hinweis

Die delegierte Azure-Ressourcenverwaltung kann auch in einem Unternehmen verwendet werden, das über mehrere eigene Mandanten verfügt, um die mandantenübergreifende Verwaltung zu vereinfachen.Azure delegated resource management can also be used within an enterprise which has multiple tenants of its own to simplify cross-tenant administration.

Grundlegendes zu KundenmandantenUnderstanding customer tenants

Ein Azure Active Directory-Mandant (Azure AD) ist eine Darstellung einer Organisation.An Azure Active Directory (Azure AD) tenant is a representation of an organization. Es handelt sich um eine dedizierte Instanz von Azure AD, die Organisationen bereitgestellt wird, wenn diese sich für Azure, Microsoft 365 oder andere Dienste registrieren und damit eine Geschäftsbeziehung mit Microsoft eingehen.It's a dedicated instance of Azure AD that an organization receives when they create a relationship with Microsoft by signing up for Azure, Microsoft 365, or other services. Jeder Azure AD-Mandant ist eindeutig und von anderen Azure AD-Mandanten getrennt und verfügt über eine eigene Mandanten-ID (eine GUID).Each Azure AD tenant is distinct and separate from other Azure AD tenants, and has its own tenant ID (a GUID). Weitere Informationen finden Sie unter Was ist Azure Active Directory?.For more info, see What is Azure Active Directory?

Um Azure-Ressourcen für einen Kunden zu verwalten, müssten sich Dienstanbieter in der Regel mit einem Konto beim Azure-Portal anmelden, das dem Mandanten dieses Kunden zugeordnet ist, wofür ein Administrator im Mandanten des Kunden benötigt wird, um Benutzerkonten für den Dienstanbieter zu erstellen und zu verwalten.Typically, in order to manage Azure resources for a customer, service providers would have to sign in to the Azure portal using an account associated with that customer's tenant, requiring an administrator in the customer's tenant to create and manage user accounts for the service provider.

Mit der delegierten Azure-Ressourcenverwaltung gibt der Onboardingprozess Benutzer im Mandanten des Dienstanbieters an, die auf Abonnements, Ressourcengruppen und Ressourcen im Mandanten des Kunden zugreifen und diese verwalten können sollen.With Azure delegated resource management, the onboarding process specifies users within the service provider's tenant who will be able to access and manage subscriptions, resource groups, and resources in the customer's tenant. Diese Benutzer können sich dann beim Azure-Portal mit ihren eigenen Anmeldeinformationen anmelden.These users can then sign in to the Azure portal using their own credentials. Innerhalb des Azure-Portals können Sie Ressourcen verwalten, die zu allen Kunden gehören, auf die sie Zugriff haben.Within the Azure portal, they can manage resources belonging to all customers to which they have access. Hierzu können Sie die Seite Meine Kunden im Azure-Portal besuchen oder direkt im Kontext des Abonnements dieses Kunden arbeiten, entweder im Azure-Portal oder mittels APIs.This can be done by visiting the My customers page in the Azure portal, or by working directly within the context of that customer's subscription, either in the Azure portal or via APIs.

Die delegierte Azure-Ressourcenverwaltung ermöglicht größere Flexibilität bei der Verwaltung von Ressourcen für mehrere Kunden, ohne sich bei verschiedenen Konten in unterschiedlichen Mandanten anmelden zu müssen.Azure delegated resource management allows greater flexibility to manage resources for multiple customers without having to sign in to different accounts in different tenants. So kann ein Dienstanbieter beispielsweise drei Kunden mit unterschiedlichen Zuständigkeiten und Zugriffsebenen haben, wie hier gezeigt:For example, a service provider may have three customers, with different responsibilities and access levels, as shown here:

Drei Kundenmandanten, die die Zuständigkeiten des Dienstanbieters anzeigen

Mithilfe der delegierten Azure-Ressourcenverwaltung können sich autorisierte Benutzer beim Mandanten des Dienstanbieters anmelden, um auf diese Ressourcen zuzugreifen, wie hier gezeigt:Using Azure delegated resource management, authorized users can sign in to the service provider’s tenant to access these resources, as shown here:

Über einen Dienstanbietermandanten verwaltete Kundenressourcen

Unterstützte Dienste und SzenarienSupported services and scenarios

Zurzeit unterstützt die mandantenübergreifende Verwaltung die folgenden Szenarien mit delegierten Kundenressourcen:Currently, the cross-tenant management experience supports the following scenarios with delegated customer resources:

Azure Automation:Azure Automation:

  • Verwenden von Automation-Konten für den Zugriff auf und die Arbeit mit delegierten KundenressourcenUse automation accounts to access and work with delegated customer resources

Azure Backup:Azure Backup:

  • Sichern und Wiederherstellen von Kundendaten in KundenmandantenBack up and restore customer data in customer tenants

Azure Kubernetes Service (AKS):Azure Kubernetes Service (AKS):

  • Verwalten gehosteter Kubernetes-Umgebungen und Bereitstellen und Verwalten von Containeranwendungen innerhalb von KundenmandantenManage hosted Kubernetes environments and deploy and manage containerized applications within customer tenants

Azure Monitor:Azure Monitor:

  • Anzeigen von Warnungen für delegierte Abonnements im Azure-Portal oder programmgesteuert durch REST-API-Aufrufe mit der Möglichkeit zum Anzeigen von Warnungen aus allen AbonnementsView alerts for delegated subscriptions in the Azure portal or programmatically through REST API calls, with the ability to view alerts across all subscriptions
  • Anzeigen von Aktivitätsprotokolldetails für delegierte AbonnementsView activity log details for delegated subscriptions
  • Log Analytics: Abfragen von Daten aus Remote-Kundenarbeitsbereichen in mehreren MandantenLog analytics: Query data from remote customer workspaces in multiple tenants

Azure Policy:Azure Policy:

  • Compliancemomentaufnahmen zeigen Details von zugewiesenen Richtlinien innerhalb delegierter AbonnementsCompliance snapshots show details for assigned policies within delegated subscriptions
  • Erstellen und Bearbeiten von Richtliniendefinitionen innerhalb eines delegierten AbonnementsCreate and edit policy definitions within a delegated subscription
  • Zuweisen der von Kunden definierten Richtliniendefinitionen innerhalb des delegierten AbonnementsAssign customer-defined policy definitions within the delegated subscription
  • Kunden werden Richtlinien, die vom Dienstanbieter erstellt wurden, zusammen mit allen Richtlinien angezeigt, die sie selbst erstellt haben.Customers see policies authored by the service provider alongside any policies they've authored themselves
  • Kann „deployIfNotExists“-Zuweisungen innerhalb des Kundenmandanten korrigieren, wenn der Kunde die verwaltete Identität und die roleDefinitionIds für diese Richtlinienzuweisung konfiguriert hat.Can remediate deployIfNotExists assignments within the customer tenants if the customer has configured the managed identity and roleDefinitionIds for that policy assignment

Azure Resource Graph:Azure Resource Graph:

  • Enthält jetzt die Mandanten-ID in zurückgegebenen Abfrageergebnissen, sodass Sie ermitteln können, ob ein Abonnement zum Mandanten des Kunden oder dem des Dienstanbieters gehört.Now includes the tenant ID in returned query results, allowing you to identify whether a subscription belongs to the customer tenant or service provider tenant

Azure Security Center:Azure Security Center:

  • Mandantenübergreifende SichtbarkeitCross-tenant visibility
    • Überwachen der Compliance mit Sicherheitsrichtlinien und Sicherstellen der Sicherheitsabdeckung für alle Ressourcen der MandantenMonitor compliance to security policies and ensure security coverage across all tenants’ resources
    • Kontinuierliche Überwachung der Einhaltung gesetzlicher Bestimmungen für mehrere Kunden in einer einzigen AnsichtContinuous regulatory compliance monitoring across multiple customers in a single view
    • Überwachen, Selektieren und Priorisieren von umsetzbaren Sicherheitsempfehlungen mit SicherheitsbewertungsberechnungMonitor, triage, and prioritize actionable security recommendations with secure score calculation
  • Mandantenübergreifende SicherheitsstatusverwaltungCross-tenant security posture management
    • Verwalten von SicherheitsrichtlinienManage security policies
    • Ergreifen von Maßnahmen für Ressourcen, die nicht mit umsetzbaren Sicherheitsempfehlungen konform sindTake action on resources that are out of compliance with actionable security recommendations
    • Erfassen und Speichern von sicherheitsbezogenen DatenCollect and store security-related data
  • Mandantenübergreifend Bedrohungserkennung und entsprechender Schutz davorCross-tenant threat detection and protection
    • Erkennen von Bedrohungen über Ressourcen von Mandanten hinwegDetect threats across tenants’ resources
    • Anwenden von Advanced Threat Protection-Kontrollen, wie z. B. JIT-VM-Zugriff (Just-in-Time)Apply advanced threat protection controls such as just-in-time (JIT) VM access
    • Verstärkung des Schutzes der Konfiguration von Netzwerksicherheitsgruppen mit adaptiver NetzwerkhärtungHarden network security group configuration with Adaptive Network Hardening
    • Sicherstellung mittels adaptiver Anwendungssteuerung, dass auf Servern nur die Anwendungen und Prozesse ausgeführt werden, die ausgeführt werden solltenEnsure servers are running only the applications and processes they should be with adaptive application controls
    • Überwachen von Änderungen an wichtigen Dateien und Registrierungseinträgen mittels Überwachung der Dateiintegrität (FIM)Monitor changes to important files and registry entries with File Integrity Monitoring (FIM)

Azure Service Health:Azure Service Health:

  • Überwachen der Integrität von Kundenressourcen mittels Azure Resource HealthMonitor the health of customer resources with Azure Resource Health
  • Verfolgen der Integrität der Azure-Dienste, die von ihren Kunden verwendet werdenTrack the health of the Azure services used by your customers

Azure Site Recovery:Azure Site Recovery:

  • Verwalten von Notfallwiederherstellungsoptionen für virtuelle Azure-Computer in Kundenmandanten (beachten Sie, dass Sie keine „RunAs“-Konten zum Kopieren von VM-Erweiterungen verwenden können)Manage disaster recovery options for Azure virtual machines in customer tenants (note that you can't use RunAs accounts to copy VM extensions)

Azure Virtual Machines:Azure Virtual Machines:

  • Verwenden von VM-Erweiterungen, um nach der Bereitstellung Konfigurations- und Automatisierungsaufgaben auf virtuellen Azure-Computern in Kundenmandanten auszuführenUse virtual machine extensions to provide post-deployment configuration and automation tasks on Azure VMs in customer tenants
  • Verwenden der Startdiagnose zur Problembehandlung von Azure-VMs in KundenmandantenUse boot diagnostics to troubleshoot Azure VMs in customer tenants
  • Zugreifen auf VMs mit der seriellen Konsole in KundenmandantenAccess VMs with serial console in customer tenants
  • Beachten Sie, dass Sie Azure Active Directory nicht für die Remoteanmeldung bei einem virtuellen Computer verwenden können, und dass Sie keine VM mit einem Key Vault für Kennwörter, geheime Schlüssel oder Kryptografieschlüssel für die Datenträgerverschlüsselung integrieren können.Note that you can't use Azure Active Directory for remote login to a VM, and you can't integrate a VM with a Key Vault for passwords, secrets or cryptographic keys for disk encryption

Azure Virtual Network:Azure Virtual Network:

  • Bereitstellen und Verwalten virtueller Netzwerke und virtueller Netzwerkschnittstellenkarten (vNICs) innerhalb von KundenmandantenDeploy and manage virtual networks and virtual network interface cards (vNICs) within customer tenants

Supportanfragen:Support requests:

  • Supportanfragen für delegierte Ressourcen können Sie auf dem Blatt Hilfe und Support im Azure-Portal öffnen (indem Sie den für den delegierten Bereich verfügbaren Supportplan auswählen).Open support requests for delegated resources from the Help + support blade in the Azure portal (selecting the support plan available to the delegated scope)

Aktuelle EinschränkungenCurrent limitations

Beachten Sie bei allen Szenarios die folgenden aktuellen Einschränkungen:With all scenarios, please be aware of the following current limitations:

  • Von Azure Resource Manager verarbeitete Anforderungen können mithilfe der delegierten Azure-Ressourcenverwaltung durchgeführt werden.Requests handled by Azure Resource Manager can be performed using Azure delegated resource management. Die Vorgangs-URIs für diese Anforderungen beginnen mit https://management.azure.com.The operation URIs for these requests start with https://management.azure.com. Anforderungen, die von einer Instanz eines Ressourcentyps verarbeitet werden (z. B. Zugriff auf Key Vault-Geheimnisse oder Zugriff auf Speicherdaten) verarbeitet werden, werden nicht von der delegierten Azure-Ressourcenverwaltung unterstützt.However, requests that are handled by an instance of a resource type (such as KeyVault secrets access or storage data access) aren’t supported with Azure delegated resource management. Die Vorgangs-URIs für diese Anforderungen beginnen in der Regel mit einer Adresse, die für Ihre Instanz eindeutig ist, z. B. https://myaccount.blob.core.windows.net oder https://mykeyvault.vault.azure.net/.The operation URIs for these requests typically start with an address that is unique to your instance, such as https://myaccount.blob.core.windows.net or https://mykeyvault.vault.azure.net/. Letzteres sind in der Regel auch eher Datenvorgänge als Verwaltungsvorgänge.The latter also are typically data operations rather than management operations.
  • Rollenzuweisungen müssen integrierte Rollen für die rollenbasierte Zugriffssteuerung (RBAC) verwenden.Role assignments must use role-based access control (RBAC) built-in roles. Alle integrierten Rollen werden derzeit mit der delegierten Azure-Ressourcenverwaltung unterstützt, mit Ausnahme von „Besitzer“, „Benutzerzugriffsadministrator“ und allen integrierten Rollen mit der DataActions-Berechtigung.All built-in roles are currently supported with Azure delegated resource management except for Owner, User Access Administrator, or any built-in roles with DataActions permission. Benutzerdefinierte Rollen und klassische Abonnementadministratorrollen werden ebenfalls nicht unterstützt.Custom roles and classic subscription administrator roles are also not supported.
  • Derzeit ist es nicht möglich, ein Abonnement (oder eine Ressourcengruppe innerhalb eines Abonnements) für die delegierte Azure-Ressourcenverwaltung zu integrieren, wenn das Abonnement Azure Databricks verwendet.Currently, you can’t onboard a subscription (or resource group within a subscription) for Azure delegated resource management if the subscription uses Azure Databricks. Ähnlich können Sie, wenn ein Abonnement für das Onboarding mit dem Microsoft.ManagedServices-Ressourcenanbieter registriert wurde, zu diesem Zeitpunkt auch keinen Databricks-Arbeitsbereich für dieses Abonnement erstellen.Similarly, if a subscription has been registered for onboarding with the Microsoft.ManagedServices resource provider, you won’t be able to create a Databricks workspace for that subscription at this time.

Verwenden von APIs und Verwaltungstools mit mandantenübergreifender VerwaltungUsing APIs and management tools with cross-tenant management

Für die oben aufgeführten unterstützten Dienste und Szenarien können Sie Verwaltungsaufgaben entweder direkt im Portal oder mithilfe von APIs und Verwaltungstools (z. B. Azure CLI und Azure PowerShell) durchführen.For the supported services and scenarios listed above, you can perform management tasks either directly in the portal or by using APIs and management tools (such as Azure CLI and Azure PowerShell). Alle vorhandenen APIs können bei der Arbeit mit delegierten Ressourcen (für Dienste, die unterstützt werden) verwendet werden.All existing APIs can be used when working with delegated resources (for services that are supported).

Es gibt auch APIs, die speziell für die Durchführung von delegierten Azure-Ressourcenverwaltungsaufgaben gedacht sind.There are also APIs specific to performing Azure delegated resource management tasks. Weitere Informationen finden Sie im Abschnitt Referenz.For more info, see the Reference section.

Nächste SchritteNext steps