Experiencias de administración entre inquilinosCross-tenant management experiences

Como proveedor de servicios, puede usar Azure Lighthouse para administrar los recursos para varios clientes desde su propio inquilino de Azure Active Directory (Azure AD).As a service provider, you can use Azure Lighthouse to manage resources for multiple customers from within your own Azure Active Directory (Azure AD) tenant. Muchas tareas y servicios se pueden realizar en inquilinos administrados mediante la administración de recursos delegados de Azure.Many tasks and services can be performed across managed tenants by using Azure delegated resource management.

Sugerencia

La administración de recursos delegados de Azure también se puede usar en una empresa que tenga varios inquilinos Azure AD propios para simplificar la administración entre inquilinos.Azure delegated resource management can also be used within an enterprise which has multiple Azure AD tenants of its own to simplify cross-tenant administration.

Descripción de los inquilinos y la delegaciónUnderstanding tenants and delegation

Un inquilino de Azure AD es la representación de una organización.An Azure AD tenant is a representation of an organization. Se trata de una instancia dedicada de Azure AD que una organización recibe cuando crea una relación con Microsoft al registrarse en Azure, Microsoft 365 u otros servicios.It's a dedicated instance of Azure AD that an organization receives when they create a relationship with Microsoft by signing up for Azure, Microsoft 365, or other services. Cada inquilino de Azure AD es distinto e independiente de los demás inquilinos de Azure AD y tiene su propio identificador de inquilino (un GUID).Each Azure AD tenant is distinct and separate from other Azure AD tenants, and has its own tenant ID (a GUID). Para más información, consulte ¿Qué es Azure Active Directory?For more info, see What is Azure Active Directory?

Normalmente, para administrar los recursos de Azure para un cliente, los proveedores de servicios tendrían que iniciar sesión en Azure Portal mediante una cuenta asociada al inquilino de ese cliente, lo que obliga a que un administrador del inquilino del cliente cree y administre cuentas de usuario. para el proveedor de servicios.Typically, in order to manage Azure resources for a customer, service providers would have to sign in to the Azure portal using an account associated with that customer's tenant, requiring an administrator in the customer's tenant to create and manage user accounts for the service provider.

Con Azure Lighthouse, el proceso de incorporación especifica los usuarios del inquilino del proveedor de servicios que podrán trabajar con suscripciones delegadas y grupos de recursos en el inquilino del cliente.With Azure Lighthouse, the onboarding process specifies users within the service provider's tenant who will be able to work on delegated subscriptions and resource groups in the customer's tenant. A continuación, estos usuarios pueden iniciar sesión en Azure Portal con sus propias credenciales.These users can then sign in to the Azure portal using their own credentials. En Azure Portal, pueden administrar los recursos que pertenecen a todos los clientes a los que tienen acceso.Within the Azure portal, they can manage resources belonging to all customers to which they have access. Puede hacerse desde la página Mis clientes de Azure Portal o trabajando directamente en el contexto de la suscripción de ese cliente, ya sea en Azure Portal o a través de las API.This can be done by visiting the My customers page in the Azure portal, or by working directly within the context of that customer's subscription, either in the Azure portal or via APIs.

Azure Lighthouse permite una mayor flexibilidad para administrar los recursos de varios clientes sin tener que iniciar sesión en diferentes cuentas en distintos inquilinos.Azure Lighthouse allows greater flexibility to manage resources for multiple customers without having to sign in to different accounts in different tenants. Por ejemplo, un proveedor de servicios puede tener dos clientes con diferentes responsabilidades y niveles de acceso.For example, a service provider may have two customers with different responsibilities and access levels. Con Azure Lighthouse, los usuarios autorizados pueden iniciar sesión en el inquilino del proveedor de servicios para acceder a estos recursos.Using Azure Lighthouse, authorized users can sign in to the service provider's tenant to access these resources.

Diagrama que muestra los recursos de cliente administrados mediante un inquilino de proveedor de servicios.

Compatibilidad de las API y herramientas de administraciónAPIs and management tool support

Puede realizar tareas de administración en recursos delegados directamente en el portal o mediante las API y herramientas de administración (como la CLI de Azure y Azure PowerShell).You can perform management tasks on delegated resources either directly in the portal or by using APIs and management tools (such as Azure CLI and Azure PowerShell). Todas las API existentes se pueden usar al trabajar con recursos delegados, siempre y cuando la funcionalidad sea compatible con la administración entre inquilinos y el usuario tenga los permisos adecuados.All existing APIs can be used when working with delegated resources, as long as the functionality is supported for cross-tenant management and the user has the appropriate permissions.

El cmdlet Get-AzSubscription de Azure PowerShell muestra los atributos HomeTenantId y ManagedByTenantIds de cada suscripción, lo que le permite identificar si una suscripción devuelta pertenece a un inquilino administrado o a un inquilino que administra.The Azure PowerShell Get-AzSubscription cmdlet shows the HomeTenantId and ManagedByTenantIds attributes for each subscription, allowing you to identify whether a returned subscription belongs to a managed tenant or to your managing tenant.

Del mismo modo, los comandos de la CLI de Azure como az account list muestran los atributos homeTenantId y managedByTenants.Similarly, Azure CLI commands such as az account list show the homeTenantId and managedByTenants attributes. Si no ve estos valores al usar la CLI de Azure, intente borrar la memoria caché ejecutando az account clear seguido de az login --identity.If you don't see these values when using Azure CLI, try clearing your cache by running az account clear followed by az login --identity.

En la API REST de Azure, los comandos Subscriptions - Get y Subscriptions - List incluyen ManagedByTenant.In the Azure REST API, the Subscriptions - Get and Subscriptions - List commands include ManagedByTenant.

Nota

Además de la información de inquilinos relacionada con Azure Lighthouse, los inquilinos que se muestran en estas API también pueden reflejar los inquilinos de asociados de Azure Databricks o de las aplicaciones administradas de Azure.In addition to tenant information related to Azure Lighthouse, tenants shown by these APIs may also reflect partner tenants for Azure Databricks or Azure managed applications.

También se proporcionan API específicas para realizar tareas de administración de Azure Lighthouse.We also provide APIs that are specific to performing Azure Lighthouse tasks. Para obtener más información, consulte la sección Referencia.For more info, see the Reference section.

Servicios y escenarios mejoradosEnhanced services and scenarios

La mayoría de las tareas y servicios se pueden realizar en recursos delegados a través de inquilinos administrados.Most tasks and services can be performed on delegated resources across managed tenants. A continuación se muestran algunos de los escenarios clave en los que la administración entre inquilinos puede ser especialmente eficaz.Below are some of the key scenarios where cross-tenant management can be especially effective.

Azure Arc:Azure Arc:

Azure Automation:Azure Automation:

  • Use cuentas de Automation para acceder a recursos delegados y trabajar con ellos.Use Automation accounts to access and work with delegated resources

Azure Backup:Azure Backup:

Azure Blueprints.Azure Blueprints:

  • Use Azure Blueprints para organizar la implementación de plantillas de recursos y otros artefactos (requiere acceso adicional para preparar la suscripción de cliente).Use Azure Blueprints to orchestrate the deployment of resource templates and other artifacts (requires additional access to prepare the customer subscription)

Azure Cost Management y facturación:Azure Cost Management + Billing:

  • En el inquilino de administración, los asociados de CSP pueden ver, administrar y analizar los costos de consumo antes de impuestos (sin incluir compras) de los clientes que se encuentran en el plan de Azure.From the managing tenant, CSP partners can view, manage, and analyze pre-tax consumption costs (not inclusive of purchases) for customers who are under the Azure plan. El costo se basará en las tarifas comerciales y el acceso de control de acceso basado en rol de Azure (RBAC de Azure) que tiene el asociado para la suscripción del cliente.The cost will be based on retail rates and the Azure role-based access control (Azure RBAC) access that the partner has for the customer's subscription.

Azure Key Vault:Azure Key Vault:

  • Creación de almacenes de claves en inquilinos de clientesCreate Key Vaults in customer tenants
  • Uso de una identidad administrada para crear almacenes de claves en inquilinos de clientesUse a managed identity to create Key Vaults in customer tenants

Azure Kubernetes Service (AKS):Azure Kubernetes Service (AKS):

  • administre los entornos de Kubernetes hospedados e implemente y administre aplicaciones en contenedores en inquilinos de clientesManage hosted Kubernetes environments and deploy and manage containerized applications within customer tenants
  • Implementación y administración de clústeres en inquilinos de clientesDeploy and manage clusters in customer tenants
  • Uso de Azure Monitor para que los contenedores supervisen el rendimiento en los inquilinos de clienteUse Azure Monitor for containers to monitor performance across customer tenants

Azure Migrate:Azure Migrate:

  • Crear proyectos de migración en el inquilino del cliente y migrar máquinas virtualesCreate migration projects in the customer tenant and migrate VMs

Azure Monitor:Azure Monitor:

  • Ver las alertas de las suscripciones delegadas, con la capacidad de ver y actualizar alertas en todas las suscripcionesView alerts for delegated subscriptions, with the ability to view and refresh alerts across all subscriptions
  • Ver los detalles del registro de actividad para las suscripciones delegadasView activity log details for delegated subscriptions
  • Log Analytics: consulte datos de áreas de trabajo remotas situadas en varios inquilinos (tenga en cuenta que las cuentas de Automation que se usan para acceder a datos desde áreas de trabajo que se encuentran en inquilinos de cliente deben crearse en el mismo inquilino).Log analytics: Query data from remote workspaces in multiple tenants (note that automation accounts used to access data from workspaces in customer tenants must be created in the same tenant)
  • Cree, vea y administre las alertas del registro de actividad en los inquilinos del clienteCreate, view, and manage activity log alerts in customer tenants
  • Cree alertas en inquilinos de cliente que desencadenen la automatización, como los runbooks de Azure Automation o Azure Functions, en el inquilino que realiza la administración a través de webhooksCreate alerts in customer tenants that trigger automation, such as Azure Automation runbooks or Azure Functions, in the managing tenant through webhooks
  • Creación de una configuración de diagnóstico en inquilinos de cliente para enviar registros de recursos a áreas de trabajo en el inquilino de administraciónCreate diagnostic settings in customer tenants to send resource logs to workspaces in the managing tenant
  • Para las cargas de trabajo de SAP, supervise las métricas de soluciones de SAP con una vista agregada a través de los inquilinos del cliente.For SAP workloads, monitor SAP Solutions metrics with an aggregated view across customer tenants

Redes de Azure:Azure Networking:

Azure Policy:Azure Policy:

Azure Resource GraphAzure Resource Graph:

  • Ahora incluye el identificador de inquilino en los resultados de la consulta devueltos, lo que le permite identificar si una suscripción pertenece a un inquilino administrado.Now includes the tenant ID in returned query results, allowing you to identify whether a subscription belongs to a managed tenant

Azure Security Center:Azure Security Center:

  • Visibilidad entre inquilinosCross-tenant visibility
    • Supervise el cumplimiento de las directivas de seguridad y garantice la cobertura de seguridad en todos los recursos de los inquilinos.Monitor compliance to security policies and ensure security coverage across all tenants' resources
    • Supervisión continua del cumplimiento normativo en varios inquilinos en una sola vistaContinuous regulatory compliance monitoring across multiple tenants in a single view
    • Supervisión, evaluación de prioridades y priorización de recomendaciones de seguridad procesables con el cálculo de puntuaciones segurasMonitor, triage, and prioritize actionable security recommendations with secure score calculation
  • Administración de posiciones de seguridad entre inquilinosCross-tenant security posture management
    • Administrar directivas de seguridadManage security policies
    • Acciones sobre los recursos que no cumplen las recomendaciones de seguridad procesablesTake action on resources that are out of compliance with actionable security recommendations
    • Recopilación y almacenamiento de datos relacionados con la seguridadCollect and store security-related data
  • Detección y protección de amenazas entre inquilinosCross-tenant threat detection and protection
    • Detección de amenazas entre los recursos de los inquilinosDetect threats across tenants' resources
    • Aplicación de controles de protección contra amenazas avanzados, como el acceso a VM Just-in-Time (JIT)Apply advanced threat protection controls such as just-in-time (JIT) VM access
    • Protección de la configuración de grupos de seguridad de red con refuerzo de redes adaptableHarden network security group configuration with Adaptive Network Hardening
    • Comprobación de que los servidores ejecutan solo las aplicaciones y los procesos que deben con controles de aplicaciones adaptablesEnsure servers are running only the applications and processes they should be with adaptive application controls
    • Supervisar los cambios en archivos importantes y entradas del registro con la supervisión de la integridad de los archivos (FIM)Monitor changes to important files and registry entries with File Integrity Monitoring (FIM)
  • Tenga en cuenta que toda la suscripción se debe delegar al inquilino de administración; no se admiten escenarios Azure Security Center con grupos de recursos delegados.Note that the entire subscription must be delegated to the managing tenant; Azure Security Center scenarios are not supported with delegated resource groups

Azure Sentinel:Azure Sentinel:

Azure Service Health:Azure Service Health:

  • Supervisar el estado de los recursos del cliente con Azure Resource HealthMonitor the health of customer resources with Azure Resource Health
  • Hacer un seguimiento del estado de los servicios de Azure que usan los clientesTrack the health of the Azure services used by your customers

Azure Site Recovery:Azure Site Recovery:

  • Administración de opciones de recuperación ante desastres para máquinas virtuales de Azure en inquilinos de clientes (tenga en cuenta que no puede usar cuentas RunAs para copiar extensiones de VM)Manage disaster recovery options for Azure virtual machines in customer tenants (note that you can't use RunAs accounts to copy VM extensions)

Azure Virtual Machines:Azure Virtual Machines:

  • Uso de extensiones de máquina virtual para la configuración posterior a la implementación y la automatización de tareas en máquinas virtuales de AzureUse virtual machine extensions to provide post-deployment configuration and automation tasks on Azure VMs
  • Uso de diagnósticos de arranque para solucionar problemas de máquinas virtuales de AzureUse boot diagnostics to troubleshoot Azure VMs
  • Acceso a máquinas virtuales con la consola serieAccess VMs with serial console
  • Integración de máquinas virtuales con Azure Key Vault para obtener contraseñas, secretos o claves criptográficas para el cifrado de discos mediante la identidad administrada a través de directivas, lo que garantizará que los secretos se almacenen en una instancia de Key Vault de los inquilinos administradosIntegrate VMs with Azure Key Vault for passwords, secrets, or cryptographic keys for disk encryption by using managed identity through policy, ensuring that secrets are stored in a Key Vault in the managed tenants
  • Tenga en cuenta que no puede usar Azure Active Directory para el inicio de sesión remoto en las máquinas virtualesNote that you can't use Azure Active Directory for remote login to VMs

Solicitudes de soporte técnico:Support requests:

Limitaciones actualesCurrent limitations

Con todos los escenarios, tenga en cuenta las siguientes limitaciones actuales:With all scenarios, please be aware of the following current limitations:

  • Las solicitudes controladas por Azure Resource Manager pueden realizarse mediante Azure Lighthouse.Requests handled by Azure Resource Manager can be performed using Azure Lighthouse. Los URI de operación de estas solicitudes comienzan por https://management.azure.com.The operation URIs for these requests start with https://management.azure.com. Sin embargo, las solicitudes que se administran mediante una instancia de un tipo de recurso (por ejemplo, acceso a los secretos de Key Vault o acceso a datos de almacenamiento) no son compatibles con Azure Lighthouse.However, requests that are handled by an instance of a resource type (such as Key Vault secrets access or storage data access) aren't supported with Azure Lighthouse. Los URI de la operación para estas solicitudes suelen empezar con una dirección que es única para la instancia, como https://myaccount.blob.core.windows.net o https://mykeyvault.vault.azure.net/.The operation URIs for these requests typically start with an address that is unique to your instance, such as https://myaccount.blob.core.windows.net or https://mykeyvault.vault.azure.net/. Esta última también suelen ser operaciones de datos, en lugar de operaciones de administración.The latter also are typically data operations rather than management operations.
  • Las asignaciones de roles deben usar roles integrados de Azure.Role assignments must use Azure built-in roles. Actualmente, todos los roles integrados se admiten con la administración de recursos delegados de Azure, excepto el rol Propietario o los roles integrados con el permiso DataActions.All built-in roles are currently supported with Azure delegated resource management except for Owner or any built-in roles with DataActions permission. El rol administrador de acceso de usuario solo se admite para uso limitado en la asignación de roles a identidades administradas.The User Access Administrator role is supported only for limited use in assigning roles to managed identities. No se admiten los roles personalizados ni los roles de administrador de suscripciones clásicas.Custom roles and classic subscription administrator roles are not supported.
  • Aunque puede incorporar suscripciones que usan Azure Databricks, los usuarios del inquilino de administración no pueden iniciar áreas de trabajo de Azure Databricks en una suscripción delegada en este momento.While you can onboard subscriptions that use Azure Databricks, users in the managing tenant can't launch Azure Databricks workspaces on a delegated subscription at this time.
  • Aunque puede incorporar suscripciones y grupos de recursos que tengan bloqueos de recursos, dichos bloqueos no impedirán que los usuarios realicen acciones en el inquilino de administración.While you can onboard subscriptions and resource groups that have resource locks, those locks will not prevent actions from being performed by users in the managing tenant. Las asignaciones de denegación que protegen los recursos administrados por el sistema, como los que crean Azure Managed Applications o Azure Blueprints (asignaciones de denegación asignadas por el sistema), impiden que los usuarios del inquilino de administración actúen en esos recursos; sin embargo, actualmente, los usuarios del inquilino del cliente no pueden crear sus propias asignaciones de denegación (asignaciones de denegación asignadas por el usuario).Deny assignments that protect system-managed resources, such as those created by Azure managed applications or Azure Blueprints (system-assigned deny assignments), do prevent users in the managing tenant from acting on those resources; however, at this time users in the customer tenant can't create their own deny assignments (user-assigned deny assignments).
  • No se admite la delegación de suscripciones entre una nube nacional y la nube pública de Azure o entre dos nubes nacionales independientes.Delegation of subscriptions across a national cloud and the Azure public cloud, or across two separate national clouds, is not supported.

Pasos siguientesNext steps