Azure Lighthouse en escenarios empresariales

  • Artículo

Un escenario muy común de Azure Lighthouse implica a un proveedor de servicios que administra recursos en los inquilinos de Microsoft Entra de sus clientes. Las funcionalidades de Azure Lighthouse también se pueden usar para simplificar la administración entre inquilinos dentro de las empresas que usan varios inquilinos de Microsoft Entra.

Un solo inquilino frente a varios inquilinos

Para la mayoría de las organizaciones, la administración es más fácil con un único inquilino de Microsoft Entra. Si todos los recursos se encuentran en un solo inquilino, tanto los usuarios designados, como los grupos de usuarios o las entidades de servicio del inquilino pueden centralizar las tareas de administración. Siempre que sea posible, se recomienda usar un inquilino en cada organización.

Es posible que algunas organizaciones necesiten usar varios inquilinos de Microsoft Entra. Puede tratarse de una situación temporal, como por ejemplo si se han realizado adquisiciones y nos se ha definido todavía una estrategia de consolidación de inquilinos a largo plazo. También se puede dar el caso de que una organización necesite mantener varios inquilinos de forma continuada, debido a subsidiarias totalmente independientes, requisitos geográficos o legales, u otras consideraciones.

En los casos en los que se requiere una arquitectura de multiinquilino, Azure Lighthouse puede ayudar a centralizar y simplificar las operaciones de administración. Al usar Azure Lighthouse, los usuarios de un inquilino de administración pueden realizar funciones de administración entre inquilinos de una manera centralizada y escalable.

Arquitectura de administración de inquilinos

Para usar Azure Lighthouse en una empresa, tendrá que determinar qué inquilino incluirá a los usuarios que realicen operaciones de administración en los demás inquilinos. En otras palabras, tendrá que designar a un inquilino como administrador de los demás inquilinos.

Por ejemplo, suponga que su organización tiene un solo inquilino, al que denominaremos Inquilino A. Posteriormente, la organización adquiere Inquilino B e Inquilino C y, por motivos empresariales, ambos deben mantenerse como inquilinos independientes. Sin embargo, le gustaría utilizar las mismas definiciones de directiva, procedimientos de copia de seguridad y procesos de seguridad para todos ellos, con las tareas de administración realizadas por el mismo conjunto de usuarios.

Dado que el Inquilino A ya incluye usuarios en su organización que han estado realizando esas tareas para el Inquilino A, puede incorporar suscripciones en el Inquilino B y el Inquilino C, lo que permite que los mismos usuarios del Inquilino A realicen esas tareas en todos los inquilinos.

Diagram showing users in Tenant A managing resources in Tenant B and Tenant C.

Consideraciones acerca de la seguridad y del acceso

En la mayoría de los escenarios empresariales, se querrá delegar una suscripción completa a Azure Lighthouse. También puede elegir delegar solo determinados grupos de recursos dentro de una suscripción.

En cualquier caso, asegúrese de seguir el principio de privilegios mínimos al definir qué usuarios tendrán acceso a los recursos delegados. Esto ayuda a garantizar que los usuarios solo tienen los permisos necesarios para realizar las tareas necesarias y reduce la posibilidad de errores involuntarios.

Azure Lighthouse solo proporciona vínculos lógicos entre el inquilino que realiza la administración y los inquilinos administrados, en lugar de mover físicamente los datos o los recursos. Además, el acceso siempre se realiza en la misma dirección, del inquilino encargado de la administración a los inquilinos administrados. Los usuarios y grupos del encargado de la administración deben seguir usando la autenticación multifactor al realizar operaciones de administración en recursos de inquilinos administrados.

Las empresas con protecciones internas o externas de gobernanza y cumplimiento pueden usar los registros de actividad de Azure para cumplir sus requisitos de transparencia. Cuando los inquilinos empresariales han establecido las relaciones de inquilino entre administrador y administrado, los usuarios de cada inquilino pueden ver la actividad registrada para ver las acciones realizadas por los usuarios en el inquilino administrador.

Consideraciones de la incorporación

Las suscripciones (o los grupos de recursos de una suscripción) se pueden incorporar a Azure Lighthouse implementando plantillas de Azure Resource Manager o mediante ofertas de servicios administrados publicadas en Azure Marketplace.

Dado que lo habitual es que los usuarios empresariales tengan acceso directo a los inquilinos de la empresa y que no es preciso comercializar ni promocionar una oferta de administración, por lo general es más rápido y sencillo realizar la implementación directamente con plantillas de Azure Resource Manager. Aunque en la guía de incorporación se hace referencia a los proveedores de servicios y los clientes, las empresas pueden usar los mismos procesos para incorporar a sus inquilinos.

Si lo prefiere, en una empresa, los inquilinos se pueden incorporar mediante la publicación de una oferta de servicios administrados en Azure Marketplace. Para asegurarse de que la oferta solo está disponible para los inquilinos adecuados, asegúrese de que los planes están marcados como privados. Con un plan privado, puede especificar los identificadores de suscripción de cada inquilino que planee incorporar y nadie más podrá obtener su oferta.

Azure AD B2C

Azure Active Directory B2C (Azure AD B2C) proporciona la identidad de negocio a cliente como servicio. Cuando delega un grupo de recursos a través de Azure Lighthouse, puede utilizar Azure Monitor para enrutar los registros de auditoría e inicio de sesión de Azure Active Directory B2C (Azure AD B2C) a soluciones de supervisión distintas. Puede conservar los registros para su uso a largo plazo o integrarlos en herramientas de Administración de eventos e información de seguridad (SIEM) de terceros para sacar conclusiones sobre su entorno.

Para más información, consulte Supervisión de Azure AD B2C con Azure Monitor.

Notas terminológicas

En el caso de la administración entre inquilinos dentro de la empresa, se puede entender que las referencias a los proveedores de servicios en la documentación de Azure Lighthouse se aplican al inquilino que realiza la administración dentro de una empresa, es decir, al inquilino que incluye a los usuarios que van a administrar los recursos en otros inquilinos mediante Azure Lighthouse. Del mismo modo, se pueden entender que las referencias a los clientes se aplican a los inquilinos que delegan los recursos que se van a administrar mediante los usuarios del inquilino que realiza la administración.

Por ejemplo, en el ejemplo descrito anteriormente, el Inquilino A se puede considerar el inquilino del proveedor de servicios (el inquilino que realiza la administración), mientras que tanto el Inquilino B como el Inquilino C se pueden considerar inquilinos del cliente.

En ese ejemplo, los usuarios del Inquilino A con los permisos adecuados pueden ver y administrar los recursos delegados en la página Mis clientes de Azure Portal. Del mismo modo, los usuarios del Inquilino B y del Inquilino C con los permisos adecuados pueden ver y administrar los recursos que se han delegado al Inquilino A en la página Proveedores de servicios de Azure Portal.

Pasos siguientes