Azure Lighthouse en escenarios empresarialesAzure Lighthouse in enterprise scenarios

El escenario más común de Azure Lighthouse es un proveedor de servicios que administra recursos en los inquilinos de Azure Active Directory (Azure AD) de sus clientes.The most common scenario for Azure Lighthouse is a service provider managing resources in its customers’ Azure Active Directory (Azure AD) tenants. Sin embargo, las funcionalidades de Azure Lighthouse también se pueden usar para simplificar la administración entre inquilinos en empresas que usan varios inquilinos de Azure AD.However, the capabilities of Azure Lighthouse can also be used to simplify cross-tenant management within an enterprise which uses multiple Azure AD tenants.

Un solo inquilino frente a varios inquilinosSingle vs. multiple tenants

En la mayoría de las organizaciones, la administración es más fácil cuando hay un solo inquilino de Azure AD.For most organizations, management is easier with a single Azure AD tenant. Si todos los recursos se encuentran en un solo inquilino, tanto los usuarios designados, como los grupos de usuarios o las entidades de servicio del inquilino pueden centralizar las tareas de administración.Having all resources within one tenant allows centralization of management tasks by designated users, user groups, or service principals within that tenant. Siempre que sea posible, se recomienda usar un inquilino en cada organización.We recommend using one tenant for your organization whenever possible.

No obstante, hay situaciones en las que puede ser necesario que una organización mantenga varios inquilinos de Azure AD.At the same time, there are situations that may require an organization to maintain multiple Azure AD tenants. En algunos casos, puede tratarse de una situación temporal, como por ejemplo si se han realizado adquisiciones y va a pasar un tiempo hasta que se defina una estrategia de consolidación de inquilinos a largo plazo.In some cases, this may be a temporary situation, as when acquisitions have taken place and a long-term tenant consolidation strategy will take some time to define. También se puede dar el caso de que una organización necesite mantener varios inquilinos de forma continuada (debido a subsidiarias totalmente independientes, requisitos geográficos o legales, etc.).An organization may also need to maintain multiple tenants on an ongoing basis (due to wholly independent subsidiaries, geographical or legal requirements, and so on). En los casos en que se requiera una arquitectura de multiinquilino, se puede usar la administración de recursos delegados de Azure para centralizar y simplificar las operaciones de administración.In cases where a multi-tenant architecture is required, Azure delegated resource management can be used to centralize and streamline management operations. Se pueden incorporar suscripciones de varios inquilinos para la administración de recursos delegados de Azure, lo que permite a los usuarios designados de un inquilino de administración realizar funciones de administración que afectan a varios inquilinos de forma centralizada y escalable.Subscriptions from multiple tenants can be onboarded for Azure delegated resource management, allowing designated users in a managing tenant to perform cross-tenant management functions in a centralized and scalable manner.

Arquitectura de administración de inquilinosTenant management architecture

Si se centralizan las operaciones de administración que afectan a varios inquilinos, es preciso determinar qué inquilino incluirá a los usuarios que realizan operaciones de administración para los restantes inquilinos.When centralizing management operations across multiple tenants, you’ll need to determine which tenant will include the users performing management operations for the other tenants. En otras palabras, es preciso determinar qué inquilino será el que administre los otros inquilinos.In other words, you will need to determine which tenant will be the managing tenant for other tenants.

Por ejemplo, suponga que su organización tiene un solo inquilino, al que denominaremos Inquilino A. Posteriormente, la organización adquiere dos inquilinos adicionales, Inquilino B e Inquilino C y, por motivos empresariales, ambos deben mantenerse como inquilinos independientes.For example, say your organization has a single tenant that we’ll call Tenant A. Your organization then acquires two additional tenants, Tenant B and Tenant C, and you have business reasons that require you to maintain them as separate tenants.

Su organización quiere usar las mismas definiciones de directiva, prácticas de copia de seguridad y procesos de seguridad en todos los inquilinos.Your organization wants to use the same policy definitions, backup practices, and security processes across all tenants. Dado que ya tiene usuarios (incluidos los grupos de usuarios y las entidades de servicio) que son responsables de realizar estas tareas en el Inquilino A, puede incorporar todas las suscripciones en el Inquilino B y el Inquilino C, con el fin de que los mismos usuarios del Inquilino A puedan realizar esas tareas.Since you already have users (including user groups and service principals) that are responsible for performing these tasks within Tenant A, you can onboard all of the subscriptions within Tenant B and Tenant C so that those same users in Tenant A can perform those tasks.

Los usuarios del Inquilino A administran los recursos del Inquilino B y del Inquilino C

Consideraciones acerca de la seguridad y del accesoSecurity and access considerations

En la mayoría de los escenarios empresariales, lo deseable es delegar una suscripción completa para la administración de recursos delegados de Azure, aunque también es posible delegar solo grupos de recursos específicos de una suscripción.In most enterprise scenarios, you’ll want to delegate a full subscription for Azure delegated resource management, although you can also delegate only specific resource groups within a subscription.

En cualquier caso, asegúrese de seguir el principio de privilegios mínimos al definir qué usuarios tendrán acceso a los recursos.Either way, be sure to follow the principle of least privilege when defining which users will have access to resources. Esto ayuda a garantizar que los usuarios solo tienen los permisos necesarios para realizar las tareas necesarias y reduce la posibilidad de errores involuntarios.Doing so helps to ensure that users only have the permissions needed to perform the required tasks and reduces the chance of inadvertent errors.

Azure Lighthouse y la administración de recursos delegados de Azure solo proporcionan vínculos lógicos entre el inquilino que realiza la administración y los inquilinos administrados, en lugar de mover físicamente los datos o los recursos.Azure Lighthouse and Azure delegated resource management only provide logical links between a managing tenant and managed tenants, rather than physically moving data or resources. Además, el acceso siempre se realiza en la misma dirección, del inquilino encargado de la administración a los inquilinos administrados.Furthermore, the access always goes in only one direction, from the managing tenant to the managed tenants. Los usuarios y grupos del encargado de la administración deben seguir usando la autenticación multifactor al realizar operaciones de administración en recursos de inquilinos administrados.Users and groups in the managing tenant should continue to use multi-factor authentication when performing management operations on managed tenant resources.

Las empresas con protecciones internas o externas de gobernanza y cumplimiento pueden usar los registros de actividad de Azure para cumplir sus requisitos de transparencia.Enterprises with internal or external governance and compliance guardrails can use Azure Activity logs to meet their transparency requirements. Cuando los inquilinos empresariales han establecido relaciones entre el inquilino que realiza la administración y los inquilinos administrados, los usuarios de cada inquilino pueden supervisar y obtener visibilidad sobre las acciones realizadas por los usuarios en el otro inquilino mediante la visualización de la actividad registrada.When enterprise tenants have established managing and managed tenant relationships, users in each tenant can monitor and gain visibility to actions taken by the users in the other tenant by viewing logged activity.

Consideraciones acerca del proceso de incorporaciónOnboarding process considerations

Las suscripciones (o los grupos de recursos de una suscripción) se pueden incorporar a la administración de recursos delegados de Azure mediante la implementación de plantillas de Azure Resource Manager o mediante las ofertas de servicios administrados publicadas en Azure Marketplace, de forma privada o pública.Subscriptions (or resource groups within a subscription) can be onboarded to Azure delegated resource management either by deploying Azure Resource Manager templates or through Managed Services offers published to Azure Marketplace, either privately or publicly.

Dado que lo habitual es que los usuarios empresariales puedan obtener acceso directo a los inquilinos de la empresa y que no es preciso comercializar ni promocionar una oferta de administración, por lo general es más rápido y sencillo realizar la implementación directamente con plantillas de Azure Resource Manager.Since enterprise users will normally be able to gain direct access to the enterprise’s tenants, and there’s no need to market or promote a management offering, it’s generally faster and more straightforward to deploy directly with Azure Resource Manager templates. Aunque hacemos referencia a los proveedores de servicios y a los clientes en la guía para la incorporación de clientes, las empresas pueden usar los mismos procesos.While we refer to service providers and customers in the onboarding guidance, enterprises can use the same processes.

Si lo prefiere, en una empresa, los inquilinos se pueden incorporar mediante la publicación de una oferta de servicios administrados en Azure Marketplace.If you prefer, tenants within an enterprise can be onboarded by publishing a Managed Services offer to Azure Marketplace. Para asegurarse de que la oferta solo está disponible para los inquilinos adecuados, asegúrese de que los planes están marcados como privados.To ensure that the offer is only available to the appropriate tenants, be sure that your plans are marked as private. Con un plan privado, puede especificar los identificadores de suscripción de todos los inquilinos que planee incorporar y nadie más podrá obtener su oferta.With a private plan, you can provide the subscription IDs for each tenant that you plan to onboard, and no one else will be able to get your offer.

Notas terminológicasTerminology notes

En el caso de la administración entre inquilinos dentro de la empresa, se puede entender que las referencias a los proveedores de servicios en la documentación de Azure Lighthouse se aplican al inquilino que realiza la administración dentro de una empresa, es decir, al inquilino que incluye los usuarios que van a administrar los recursos en otros inquilinos mediante la administración de recursos delegados de Azure.For cross-tenant management within the enterprise, references to service providers in the Azure Lighthouse documentation can be understood to apply to the managing tenant within an enterprise—that is, the tenant that includes the users who will manage resources in other tenants through Azure delegated resource management. Del mismo modo, se pueden entender que las referencias a los clientes se aplican a los inquilinos que delegan los recursos que se van a administrar mediante los usuarios del inquilino que realiza la administración.Similarly, references to customers can be understood to apply to the tenants that are delegating resources to be managed through users in the managing tenant.

Por ejemplo, en el ejemplo descrito anteriormente, el Inquilino A se puede considerar el inquilino del proveedor de servicios (el inquilino que realiza la administración), mientras que tanto el Inquilino B como el Inquilino C se pueden considerar inquilinos del cliente.For instance, in the example described above, Tenant A can be thought of as the service provider tenant (the managing tenant) and Tenant B and Tenant C can be thought of as the customer tenants.

En ese ejemplo, los usuarios del Inquilino A con los permisos adecuados pueden ver y administrar los recursos delegados en la página Mis clientes de Azure Portal.In that example, Tenant A users with the appropriate permissions can view and manage delegated resources in the My customers page of the Azure portal. Del mismo modo, los usuarios del Inquilino B y del Inquilino C con los permisos adecuados pueden ver y administrar los recursos que se han delegado al Inquilino A en la página Proveedores de servicios de Azure Portal.Likewise, Tenant B and Tenant C users with the appropriate permissions can view and manage the resources that have been delegated to Tenant A in the Service providers page of the Azure portal.

Pasos siguientesNext steps