Experiencias de administración entre inquilinosCross-tenant management experiences

Como proveedor de servicios, puede usar la administración de recursos delegados de Azure para administrar los recursos de Azure para varios clientes desde su propio inquilino en Azure Portal.As a service provider, you can use Azure delegated resource management to manage Azure resources for multiple customers from within your own tenant in the Azure portal. La mayoría de las tareas y servicios se pueden realizar en recursos delegados de Azure a través de inquilinos administrados.Most tasks and services can be performed on delegated Azure resources across managed tenants. En este artículo se describen algunos de los escenarios mejorados en los que la administración de recursos delegados de Azure puede ser eficaz.This article describes some of the enhanced scenarios where Azure delegated resource management can be effective.

Nota

La administración de recursos delegados de Azure también se puede usar en una empresa que tenga varios inquilinos propios para simplificar la administración entre inquilinos.Azure delegated resource management can also be used within an enterprise which has multiple tenants of its own to simplify cross-tenant administration.

Descripción de los inquilinos de clienteUnderstanding customer tenants

Un inquilino de Azure Active Directory (Azure AD) es una representación de una organización.An Azure Active Directory (Azure AD) tenant is a representation of an organization. Se trata de una instancia dedicada de Azure AD que una organización recibe cuando crea una relación con Microsoft al registrarse en Azure, Microsoft 365 u otros servicios.It's a dedicated instance of Azure AD that an organization receives when they create a relationship with Microsoft by signing up for Azure, Microsoft 365, or other services. Cada inquilino de Azure AD es distinto e independiente de los demás inquilinos de Azure AD y tiene su propio identificador de inquilino (un GUID).Each Azure AD tenant is distinct and separate from other Azure AD tenants, and has its own tenant ID (a GUID). Para más información, consulte ¿Qué es Azure Active Directory?For more info, see What is Azure Active Directory?

Normalmente, para administrar los recursos de Azure para un cliente, los proveedores de servicios tendrían que iniciar sesión en Azure Portal mediante una cuenta asociada al inquilino de ese cliente, lo que obliga a que un administrador del inquilino del cliente cree y administre cuentas de usuario. para el proveedor de servicios.Typically, in order to manage Azure resources for a customer, service providers would have to sign in to the Azure portal using an account associated with that customer's tenant, requiring an administrator in the customer's tenant to create and manage user accounts for the service provider.

Con la administración de recursos delegados de Azure, el proceso de incorporación especifica los usuarios del inquilino del proveedor de servicios que podrán acceder a las suscripciones, los grupos de recursos y los recursos del inquilino del cliente y administrarlos.With Azure delegated resource management, the onboarding process specifies users within the service provider's tenant who will be able to access and manage subscriptions, resource groups, and resources in the customer's tenant. A continuación, estos usuarios pueden iniciar sesión en Azure Portal con sus propias credenciales.These users can then sign in to the Azure portal using their own credentials. En Azure Portal, pueden administrar los recursos que pertenecen a todos los clientes a los que tienen acceso.Within the Azure portal, they can manage resources belonging to all customers to which they have access. Puede hacerse desde la página Mis clientes de Azure Portal o trabajando directamente en el contexto de la suscripción de ese cliente, ya sea en Azure Portal o a través de las API.This can be done by visiting the My customers page in the Azure portal, or by working directly within the context of that customer's subscription, either in the Azure portal or via APIs.

La administración de recursos delegados de Azure permite una mayor flexibilidad para administrar los recursos de varios clientes sin tener que iniciar sesión en diferentes cuentas en distintos inquilinos.Azure delegated resource management allows greater flexibility to manage resources for multiple customers without having to sign in to different accounts in different tenants. Por ejemplo, un proveedor de servicios puede tener tres clientes con diferentes responsabilidades y niveles de acceso, como se muestra aquí:For example, a service provider may have three customers, with different responsibilities and access levels, as shown here:

Tres inquilinos de cliente que muestran las responsabilidades del proveedor de servicios

Con la administración de recursos delegados de Azure, los usuarios autorizados pueden iniciar sesión en el inquilino del proveedor de servicios para acceder a estos recursos, como se muestra aquí:Using Azure delegated resource management, authorized users can sign in to the service provider’s tenant to access these resources, as shown here:

Recursos de cliente administrados a través de un inquilino de proveedor de servicios

Compatibilidad de las API y herramientas de administraciónAPIs and management tool support

Puede realizar tareas de administración en recursos delegados directamente en el portal o mediante las API y herramientas de administración (como la CLI de Azure y Azure PowerShell).You can perform management tasks on delegated resources either directly in the portal or by using APIs and management tools (such as Azure CLI and Azure PowerShell). Todas las API existentes se pueden usar al trabajar con recursos delegados, siempre y cuando la funcionalidad sea compatible con la administración entre inquilinos y el usuario tenga los permisos adecuados.All existing APIs can be used when working with delegated resources, as long as the functionality is supported for cross-tenant management and the user has the appropriate permissions.

También se proporcionan API para realizar las tareas de administración de recursos delegados de Azure.We also provide APIs to perform Azure delegated resource management tasks. Para obtener más información, consulte la sección Referencia.For more info, see the Reference section.

Servicios y escenarios mejoradosEnhanced services and scenarios

La mayoría de las tareas y servicios se pueden realizar en recursos delegados a través de inquilinos administrados.Most tasks and services can be performed on delegated resources across managed tenants. A continuación se muestran algunos de los escenarios clave en los que la administración entre inquilinos puede ser eficaz.Below are some of the key scenarios where cross-tenant management can be effective.

Azure Arc para servidores (versión preliminar):Azure Arc for servers (preview):

Azure Automation:Azure Automation:

  • use cuentas de Automation para tener acceso a recursos de clientes delegados y trabajar con ellosUse automation accounts to access and work with delegated customer resources

Azure Backup:Azure Backup:

  • haga una copia de seguridad y restaure los datos de los inquilinos de clientesBack up and restore customer data in customer tenants

Azure Kubernetes Service (AKS):Azure Kubernetes Service (AKS):

  • administre los entornos de Kubernetes hospedados e implemente y administre aplicaciones en contenedores en inquilinos de clientesManage hosted Kubernetes environments and deploy and manage containerized applications within customer tenants

Azure Monitor:Azure Monitor:

  • Ver las alertas de las suscripciones delegadas, con la capacidad de ver alertas en todas las suscripcionesView alerts for delegated subscriptions, with the ability to view alerts across all subscriptions
  • Ver los detalles del registro de actividad para las suscripciones delegadasView activity log details for delegated subscriptions
  • Log analytics: consulte datos de áreas de trabajo de clientes remotos en varios inquilinosLog analytics: Query data from remote customer workspaces in multiple tenants
  • Cree alertas en inquilinos de cliente que desencadenen la automatización, como los runbooks de Azure Automation o Azure Functions, en el inquilino de proveedor de servicios a través de webhooksCreate alerts in customer tenants that trigger automation, such as Azure Automation runbooks or Azure Functions, in the service provider tenant through webhooks

Azure Policy:Azure Policy:

  • las instantáneas de cumplimiento muestran detalles para las directivas asignadas en las suscripciones delegadasCompliance snapshots show details for assigned policies within delegated subscriptions
  • Crear y editar definiciones de directivas en una suscripción delegadaCreate and edit policy definitions within a delegated subscription
  • Asignar definiciones de directivas definidas por el cliente en una suscripción delegadaAssign customer-defined policy definitions within the delegated subscription
  • Los clientes ven las directivas creadas por el proveedor de servicios junto con las directivas que hayan creado ellos mismos.Customers see policies authored by the service provider alongside any policies they've authored themselves
  • Puede corregir deployIfNotExists o modificar asignaciones en el inquilino del clienteCan remediate deployIfNotExists or modify assignments within the customer tenant

Azure Resource GraphAzure Resource Graph:

  • Ahora incluye el identificador de inquilino en los resultados de la consulta devueltos, lo que le permite identificar si una suscripción pertenece al inquilino del cliente o del proveedor de servicios.Now includes the tenant ID in returned query results, allowing you to identify whether a subscription belongs to the customer tenant or service provider tenant

Azure Security Center:Azure Security Center:

  • Visibilidad entre inquilinosCross-tenant visibility
    • Supervise el cumplimiento de las directivas de seguridad y garantice la cobertura de seguridad en todos los recursos de los inquilinos.Monitor compliance to security policies and ensure security coverage across all tenants’ resources
    • Supervisión continua del cumplimiento normativo en varios clientes en una sola vistaContinuous regulatory compliance monitoring across multiple customers in a single view
    • Supervisión, evaluación de prioridades y priorización de recomendaciones de seguridad procesables con el cálculo de puntuaciones segurasMonitor, triage, and prioritize actionable security recommendations with secure score calculation
  • Administración de posiciones de seguridad entre inquilinosCross-tenant security posture management
    • Administrar directivas de seguridadManage security policies
    • Acciones sobre los recursos que no cumplen las recomendaciones de seguridad procesablesTake action on resources that are out of compliance with actionable security recommendations
    • Recopilación y almacenamiento de datos relacionados con la seguridadCollect and store security-related data
  • Detección y protección de amenazas entre inquilinosCross-tenant threat detection and protection
    • Detección de amenazas entre los recursos de los inquilinosDetect threats across tenants’ resources
    • Aplicación de controles de protección contra amenazas avanzados, como el acceso a VM Just-in-Time (JIT)Apply advanced threat protection controls such as just-in-time (JIT) VM access
    • Protección de la configuración de grupos de seguridad de red con refuerzo de redes adaptableHarden network security group configuration with Adaptive Network Hardening
    • Comprobación de que los servidores ejecutan solo las aplicaciones y los procesos que deben con controles de aplicaciones adaptablesEnsure servers are running only the applications and processes they should be with adaptive application controls
    • Supervisar los cambios en archivos importantes y entradas del registro con la supervisión de la integridad de los archivos (FIM)Monitor changes to important files and registry entries with File Integrity Monitoring (FIM)

Azure Sentinel:Azure Sentinel:

  • Administración de recursos de Azure Sentinel en inquilinos de clientesManage Azure Sentinel resources in customer tenants

Azure Service Health:Azure Service Health:

  • Supervisar el estado de los recursos del cliente con Azure Resource HealthMonitor the health of customer resources with Azure Resource Health
  • Hacer un seguimiento del estado de los servicios de Azure que usan los clientesTrack the health of the Azure services used by your customers

Azure Site Recovery:Azure Site Recovery:

  • Administrar opciones de recuperación ante desastres para máquinas virtuales de Azure en inquilinos de clientes (tenga en cuenta que no puede usar cuentas de ejecución para copiar extensiones de VM)Manage disaster recovery options for Azure virtual machines in customer tenants (note that you can't use RunAs accounts to copy VM extensions)

Azure Virtual Machines:Azure Virtual Machines:

  • Usar extensiones de máquina virtual para la configuración posterior a la implementación y las tareas de automatización en VM de Azure en los inquilinos del clienteUse virtual machine extensions to provide post-deployment configuration and automation tasks on Azure VMs in customer tenants
  • Uso de diagnósticos de arranque para solucionar problemas de VM de Azure en inquilinos de clientesUse boot diagnostics to troubleshoot Azure VMs in customer tenants
  • Acceso a VM con la consola serie en inquilinos de clientesAccess VMs with serial console in customer tenants
  • Tenga en cuenta que no puede usar Azure Active Directory para el inicio de sesión remoto en una VM y no puede integrar una VM con una instancia de Key Vault para contraseñas, secretos o claves criptográficas para el cifrado de discos.Note that you can't use Azure Active Directory for remote login to a VM, and you can't integrate a VM with a Key Vault for passwords, secrets or cryptographic keys for disk encryption

Azure Virtual Network:Azure Virtual Network:

  • Implementación y administración de redes virtuales y tarjetas de interfaz de red virtual (VNIC) en inquilinos de clienteDeploy and manage virtual networks and virtual network interface cards (vNICs) within customer tenants

Solicitudes de soporte técnico:Support requests:

  • Abra solicitudes de soporte técnico para los recursos delegados en la hoja Ayuda y soporte técnico de Azure Portal (selección del plan de soporte técnico disponible para el ámbito delegado)Open support requests for delegated resources from the Help + support blade in the Azure portal (selecting the support plan available to the delegated scope)

Limitaciones actualesCurrent limitations

Con todos los escenarios, tenga en cuenta las siguientes limitaciones actuales:With all scenarios, please be aware of the following current limitations:

  • Las solicitudes controladas por Azure Resource Manager pueden realizarse mediante la administración de recursos delegados de Azure.Requests handled by Azure Resource Manager can be performed using Azure delegated resource management. Los URI de operación de estas solicitudes comienzan por https://management.azure.com.The operation URIs for these requests start with https://management.azure.com. Sin embargo, las solicitudes que se administran mediante una instancia de un tipo de recurso (por ejemplo, acceso a los secretos de KeyVault o acceso a datos de almacenamiento) no son compatibles con la administración de recursos delegados de Azure.However, requests that are handled by an instance of a resource type (such as KeyVault secrets access or storage data access) aren’t supported with Azure delegated resource management. Los URI de la operación para estas solicitudes suelen empezar con una dirección que es única para la instancia, como https://myaccount.blob.core.windows.net o https://mykeyvault.vault.azure.net/.The operation URIs for these requests typically start with an address that is unique to your instance, such as https://myaccount.blob.core.windows.net or https://mykeyvault.vault.azure.net/. Esta última también suelen ser operaciones de datos, en lugar de operaciones de administración.The latter also are typically data operations rather than management operations.
  • Las asignaciones de roles deben usar roles integrados de control de acceso basado en rol (RBAC).Role assignments must use role-based access control (RBAC) built-in roles. Actualmente, todos los roles integrados se admiten con la administración de recursos delegados de Azure, excepto el rol Propietario o los roles integrados con el permiso DataActions.All built-in roles are currently supported with Azure delegated resource management except for Owner or any built-in roles with DataActions permission. El rol administrador de acceso de usuario solo se admite para uso limitado en la asignación de roles a identidades administradas.The User Access Administrator role is supported only for limited use in assigning roles to managed identities. No se admiten los roles personalizados ni los roles de administrador de suscripciones clásicas.Custom roles and classic subscription administrator roles are not supported.
  • Actualmente, no se puede incorporar una suscripción (o un grupo de recursos de una suscripción) para la administración de recursos delegados de Azure si la suscripción usa Azure Databricks.Currently, you can’t onboard a subscription (or resource group within a subscription) for Azure delegated resource management if the subscription uses Azure Databricks. Del mismo modo, si una suscripción se ha registrado para la incorporación con el proveedor de recursos Microsoft.ManagedServices, en este momento, no podrá crear un área de trabajo de Databricks para la suscripción.Similarly, if a subscription has been registered for onboarding with the Microsoft.ManagedServices resource provider, you won’t be able to create a Databricks workspace for that subscription at this time.
  • Aunque puede incorporar suscripciones y grupos de recursos para la administración de recursos delegados de Azure que tengas bloqueos de recursos, dichos bloqueos no impedirán que los usuarios realicen acciones en el inquilino de administración.While you can onboard subscriptions and resource groups for Azure delegated resource management which have resource locks, those locks will not prevent actions from being performed by users in the managing tenant. Las asignaciones de denegación que protegen los recursos administrados por el sistema, como los que crean Azure Managed Applications o Azure Blueprints (asignaciones de denegación asignadas por el sistema), impiden que los usuarios del inquilino de administración actúen en esos recursos; sin embargo, actualmente, los usuarios del inquilino del cliente no pueden crear sus propias asignaciones de denegación (asignaciones de denegación asignadas por el usuario).Deny assignments that protect system-managed resources, such as those created by Azure managed applications or Azure Blueprints (system-assigned deny assignments), do prevent users in the managing tenant from acting on those resources; however, at this time users in the customer tenant can’t create their own deny assignments (user-assigned deny assignments).

Pasos siguientesNext steps