Azure Lighthouse en escenarios empresarialesAzure Lighthouse in enterprise scenarios

Un escenario muy común de Azure Lighthouse es un proveedor de servicios que administra recursos en los inquilinos de Azure Active Directory (Azure AD) de sus clientes.A common scenario for Azure Lighthouse is a service provider managing resources in its customers’ Azure Active Directory (Azure AD) tenants. De todas formas, las funcionalidades de Azure Lighthouse también se pueden usar para simplificar la administración entre inquilinos dentro de las empresas que usan varios inquilinos de Azure AD.However, the capabilities of Azure Lighthouse can also be used to simplify cross-tenant management within an enterprise that uses multiple Azure AD tenants.

Un solo inquilino frente a varios inquilinosSingle vs. multiple tenants

En la mayoría de las organizaciones, la administración es más fácil cuando hay un solo inquilino de Azure AD.For most organizations, management is easier with a single Azure AD tenant. Si todos los recursos se encuentran en un solo inquilino, tanto los usuarios designados, como los grupos de usuarios o las entidades de servicio del inquilino pueden centralizar las tareas de administración.Having all resources within one tenant allows centralization of management tasks by designated users, user groups, or service principals within that tenant. Siempre que sea posible, se recomienda usar un inquilino en cada organización.We recommend using one tenant for your organization whenever possible. Aun así, algunas organizaciones pueden tener varios inquilinos de Azure AD.However, some organizations might have multiple Azure AD tenants. A veces, puede tratarse de una situación temporal, como por ejemplo si se han realizado adquisiciones y nos se ha definido todavía una estrategia de consolidación de inquilinos a largo plazo.Sometimes this can be a temporary situation, as when acquisitions have taken place and a long-term tenant consolidation strategy hasn't been defined yet. También se puede dar el caso de que una organización necesite mantener varios inquilinos de forma continuada, debido a subsidiarias totalmente independientes, requisitos geográficos o legales, u otras consideraciones.Other times, organizations may need to maintain multiple tenants on an ongoing basis due to wholly independent subsidiaries, geographical or legal requirements, or other considerations.

En los casos en los que se requiere una arquitectura de multiinquilino, Azure Lighthouse se puede ayudar a centralizar y simplificar las operaciones de administración.In cases where a multi-tenant architecture is required, Azure Lighthouse can help centralize and streamline management operations. Al usar administración de recursos delegados de Azure, los usuarios de un inquilino de administración pueden realizar funciones de administración entre inquilinos de una manera centralizada y escalable.By using Azure delegated resource management, users in one managing tenant can perform cross-tenant management functions in a centralized, scalable manner.

Arquitectura de administración de inquilinosTenant management architecture

Para usar Azure Lighthouse en una empresa, tendrá que determinar qué inquilino incluirá a los usuarios que realicen operaciones de administración en los demás inquilinos.To use Azure Lighthouse in an enterprise, you’ll need to determine which tenant will include the users who perform management operations on the other tenants. En otras palabras, es preciso determinar qué inquilino será el que administre los otros inquilinos.In other words, you will need to determine which tenant will be the managing tenant for the other tenants.

Por ejemplo, suponga que su organización tiene un solo inquilino, al que denominaremos Inquilino A. Posteriormente, la organización adquiere Inquilino B e Inquilino C y, por motivos empresariales, ambos deben mantenerse como inquilinos independientes.For example, say your organization has a single tenant that we’ll call Tenant A. Your organization then acquires Tenant B and Tenant C, and you have business reasons that require you to maintain them as separate tenants.

Su organización quiere usar las mismas definiciones de directiva, prácticas de copia de seguridad y procesos de seguridad en todos los inquilinos.Your organization wants to use the same policy definitions, backup practices, and security processes across all tenants. Puesto que el inquilino A ya incluye usuarios responsables de estas tareas, puede incorporar suscripciones dentro del inquilino B y el inquilino C, que permitan a los mismos usuarios del inquilino A realizar dichas tareas.Since Tenant A already includes users who are responsible for these tasks, you can onboard subscriptions within Tenant B and Tenant C, allowing the same users in Tenant A to perform those tasks.

Diagrama en el que se muestra a los usuarios del inquilino A administrando los recursos del inquilino B y el inquilino C.

Consideraciones acerca de la seguridad y del accesoSecurity and access considerations

En la mayoría de los escenarios empresariales, se querrá delegar una suscripción completa a Azure Lighthouse.In most enterprise scenarios, you’ll want to delegate a full subscription to Azure Lighthouse. También puede elegir delegar solo determinados grupos de recursos dentro de una suscripción.You can also choose to delegate only specific resource groups within a subscription.

En cualquier caso, asegúrese de seguir el principio de privilegios mínimos al definir qué usuarios tendrán acceso a los recursos delegados.Either way, be sure to follow the principle of least privilege when defining which users will have access to delegated resources. Esto ayuda a garantizar que los usuarios solo tienen los permisos necesarios para realizar las tareas necesarias y reduce la posibilidad de errores involuntarios.Doing so helps to ensure that users only have the permissions needed to perform the required tasks and reduces the chance of inadvertent errors.

Azure Lighthouse solo proporciona vínculos lógicos entre el inquilino que realiza la administración y los inquilinos administrados, en lugar de mover físicamente los datos o los recursos.Azure Lighthouse only provides logical links between a managing tenant and managed tenants, rather than physically moving data or resources. Además, el acceso siempre se realiza en la misma dirección, del inquilino encargado de la administración a los inquilinos administrados.Furthermore, the access always goes in only one direction, from the managing tenant to the managed tenants. Los usuarios y grupos del encargado de la administración deben seguir usando la autenticación multifactor al realizar operaciones de administración en recursos de inquilinos administrados.Users and groups in the managing tenant should continue to use multi-factor authentication when performing management operations on managed tenant resources.

Las empresas con protecciones internas o externas de gobernanza y cumplimiento pueden usar los registros de actividad de Azure para cumplir sus requisitos de transparencia.Enterprises with internal or external governance and compliance guardrails can use Azure Activity logs to meet their transparency requirements. Cuando los inquilinos empresariales han establecido las relaciones de inquilino entre administrador y administrado, los usuarios de cada inquilino pueden ver la actividad registrada para ver las acciones realizadas por los usuarios en el inquilino administrador.When enterprise tenants have established managing and managed tenant relationships, users in each tenant can view logged activity to see actions taken by users in the managing tenant.

Consideraciones de la incorporaciónOnboarding considerations

Las suscripciones (o los grupos de recursos de una suscripción) se pueden incorporar a Azure Lighthouse implementando plantillas de Azure Resource Manager o mediante ofertas de servicios administrados publicadas en Azure Marketplace.Subscriptions (or resource groups within a subscription) can be onboarded to Azure Lighthouse either by deploying Azure Resource Manager templates or through Managed Services offers published to Azure Marketplace.

Dado que lo habitual es que los usuarios empresariales tengan acceso directo a los inquilinos de la empresa y que no es preciso comercializar ni promocionar una oferta de administración, por lo general es más rápido y sencillo realizar la implementación directamente con plantillas de Azure Resource Manager.Since enterprise users will typically have direct access to the enterprise’s tenants, and there's no need to market or promote a management offering, it's usually faster and more straightforward to deploy Azure Resource Manager templates. Aunque en la guía de incorporación se hace referencia a los proveedores de servicios y los clientes, las empresas pueden usar los mismos procesos para incorporar a sus inquilinos.While the onboarding guidance refers to service providers and customers, enterprises can use the same processes to onboard their tenants.

Si lo prefiere, en una empresa, los inquilinos se pueden incorporar mediante la publicación de una oferta de servicios administrados en Azure Marketplace.If you prefer, tenants within an enterprise can be onboarded by publishing a Managed Services offer to Azure Marketplace. Para asegurarse de que la oferta solo está disponible para los inquilinos adecuados, asegúrese de que los planes están marcados como privados.To ensure that the offer is only available to the appropriate tenants, be sure that your plans are marked as private. Con un plan privado, puede especificar los identificadores de suscripción de cada inquilino que planee incorporar y nadie más podrá obtener su oferta.With a private plan, you provide the subscription IDs for each tenant that you plan to onboard, and no one else will be able to get your offer.

Notas terminológicasTerminology notes

En el caso de la administración entre inquilinos dentro de la empresa, se puede entender que las referencias a los proveedores de servicios en la documentación de Azure Lighthouse se aplican al inquilino que realiza la administración dentro de una empresa, es decir, al inquilino que incluye a los usuarios que van a administrar los recursos en otros inquilinos mediante Azure Lighthouse.For cross-tenant management within the enterprise, references to service providers in the Azure Lighthouse documentation can be understood to apply to the managing tenant within an enterprise—that is, the tenant that includes the users who will manage resources in other tenants through Azure Lighthouse. Del mismo modo, se pueden entender que las referencias a los clientes se aplican a los inquilinos que delegan los recursos que se van a administrar mediante los usuarios del inquilino que realiza la administración.Similarly, any references to customers can be understood to apply to the tenants that are delegating resources to be managed through users in the managing tenant.

Por ejemplo, en el ejemplo descrito anteriormente, el Inquilino A se puede considerar el inquilino del proveedor de servicios (el inquilino que realiza la administración), mientras que tanto el Inquilino B como el Inquilino C se pueden considerar inquilinos del cliente.For instance, in the example described above, Tenant A can be thought of as the service provider tenant (the managing tenant) and Tenant B and Tenant C can be thought of as the customer tenants.

En ese ejemplo, los usuarios del Inquilino A con los permisos adecuados pueden ver y administrar los recursos delegados en la página Mis clientes de Azure Portal.In that example, Tenant A users with the appropriate permissions can view and manage delegated resources in the My customers page of the Azure portal. Del mismo modo, los usuarios del Inquilino B y del Inquilino C con los permisos adecuados pueden ver y administrar los recursos que se han delegado al Inquilino A en la página Proveedores de servicios de Azure Portal.Likewise, Tenant B and Tenant C users with the appropriate permissions can view and manage the resources that have been delegated to Tenant A in the Service providers page of the Azure portal.

Pasos siguientesNext steps