Expériences de la gestion multilocataireCross-tenant management experiences

Cet article décrit les scénarios que vous, en tant que fournisseur de services, pouvez utiliser avec la gestion des ressources déléguées Azure pour gérer des ressources Azure pour plusieurs clients à partir de votre propre locataire dans le portail Azure.This article describes the scenarios that you, as a service provider, can use with Azure delegated resource management to manage Azure resources for multiple customers from within your own tenant in the Azure portal.

Notes

La gestion des ressources déléguées Azure peut également être utilisée au sein d’une entreprise qui dispose de plusieurs locataires pour simplifier l’administration inter-locataire.Azure delegated resource management can also be used within an enterprise which has multiple tenants of its own to simplify cross-tenant administration.

Compréhension des locataires du clientUnderstanding customer tenants

Dans Azure Active Directory (Azure AD), un locataire est une représentation d’une organisation.An Azure Active Directory (Azure AD) tenant is a representation of an organization. Il s’agit d’une instance dédiée d’Azure AD qu’une organisation reçoit quand elle crée une relation avec Microsoft en s’inscrivant à Azure, à Microsoft 365 ou à d’autres services.It's a dedicated instance of Azure AD that an organization receives when they create a relationship with Microsoft by signing up for Azure, Microsoft 365, or other services. Chaque locataire Azure AD est distinct et indépendant des autres, et a son propre ID de locataire (GUID).Each Azure AD tenant is distinct and separate from other Azure AD tenants, and has its own tenant ID (a GUID). Pour plus d’informations, voir Qu’est-ce qu’Azure Active Directory ?For more info, see What is Azure Active Directory?

En règle générale, pour gérer des ressources Azure pour un client, les fournisseurs de services doivent se connecter au portail Azure à l’aide d’un compte associé au locataire de ce client, ce qui requiert qu’un administrateur dans le locataire du client crée et gère des comptes d’utilisateur pour le fournisseur de services.Typically, in order to manage Azure resources for a customer, service providers would have to sign in to the Azure portal using an account associated with that customer's tenant, requiring an administrator in the customer's tenant to create and manage user accounts for the service provider.

Avec la gestion des ressources déléguées Azure, le processus d’intégration spécifie les utilisateurs au sein du locataire du fournisseur de services qui pourront accéder aux abonnements, aux groupes de ressources et aux ressources dans le locataire du client, ainsi que les gérer.With Azure delegated resource management, the onboarding process specifies users within the service provider's tenant who will be able to access and manage subscriptions, resource groups, and resources in the customer's tenant. Ces utilisateurs peuvent ensuite se connecter au portail Azure en utilisant leurs propres informations d’identification.These users can then sign in to the Azure portal using their own credentials. Dans le portail Azure, ils peuvent gérer les ressources appartenant à tous les clients auxquels ils ont accès.Within the Azure portal, they can manage resources belonging to all customers to which they have access. Pour ce faire, ils peuvent accéder à la page Mes clients du portail Azure ou travailler directement dans le contexte de l’abonnement de ce client, soit sur le portail Azure ou via des API.This can be done by visiting the My customers page in the Azure portal, or by working directly within the context of that customer's subscription, either in the Azure portal or via APIs.

La gestion des ressources déléguées Azure offre davantage de flexibilité pour gérer les ressources de plusieurs clients sans devoir se connecter aux différents comptes dans les différents locataires.Azure delegated resource management allows greater flexibility to manage resources for multiple customers without having to sign in to different accounts in different tenants. Par exemple, un fournisseur de services peut avoir trois clients, avec des responsabilités et des niveaux d’accès différents, comme illustré ici :For example, a service provider may have three customers, with different responsibilities and access levels, as shown here:

Trois locataires du client présentant les responsabilités du fournisseur de services

À l’aide de la gestion des ressources déléguées Azure, les utilisateurs autorisés peuvent se connecter au locataire du fournisseur de services pour accéder à ces ressources, comme illustré ici :Using Azure delegated resource management, authorized users can sign in to the service provider’s tenant to access these resources, as shown here:

Ressources du client gérées via un locataire du fournisseur de services

Services et scénarios pris en chargeSupported services and scenarios

Actuellement, l’expérience de gestion inter-locataire prend en charge les scénarios suivants avec les ressources du client déléguées :Currently, the cross-tenant management experience supports the following scenarios with delegated customer resources:

Azure Automation :Azure Automation:

  • Utiliser des comptes Automation pour accéder à des ressources du client déléguées et les utiliserUse automation accounts to access and work with delegated customer resources

Sauvegarde Azure :Azure Backup:

  • Sauvegarder et restaurer des données client dans des locataires du clientBack up and restore customer data in customer tenants

Azure Kubernetes Service (AKS) :Azure Kubernetes Service (AKS):

  • Gérer des environnements Kubernetes hébergés, ainsi que déployer et gérer des applications en conteneur au sein des locataires du clientManage hosted Kubernetes environments and deploy and manage containerized applications within customer tenants

Azure Monitor :Azure Monitor:

  • Afficher les alertes relatives aux abonnements délégués sur le portail Azure, ou par programme via des appels d’API REST, avec la possibilité d’afficher des alertes dans tous les abonnementsView alerts for delegated subscriptions in the Azure portal or programmatically through REST API calls, with the ability to view alerts across all subscriptions
  • Afficher les détails du journal d’activité pour des abonnements déléguésView activity log details for delegated subscriptions
  • Log Analytics : interroger des données à partir d’espaces de travail du clients distants dans plusieurs locatairesLog analytics: Query data from remote customer workspaces in multiple tenants

Azure Policy :Azure Policy:

  • Les instantanés de conformité affichent les détails sur les stratégies attribuées au sein d’abonnements déléguésCompliance snapshots show details for assigned policies within delegated subscriptions
  • Créer et modifier des définitions de stratégie au sein d’un abonnement déléguéCreate and edit policy definitions within a delegated subscription
  • Affecter des définitions de stratégie définies par le client au sein de l’abonnement déléguéAssign customer-defined policy definitions within the delegated subscription
  • Les clients voient les stratégies créées par le fournisseur de services en même temps que les stratégies qu’ils ont créées eux-mêmesCustomers see policies authored by the service provider alongside any policies they've authored themselves
  • Peut corriger des affectations deployIfNotExists au sein des locataires du client si celui-ci a configuré l’identité gérée et roleDefinitionIds pour cette affectation de stratégieCan remediate deployIfNotExists assignments within the customer tenants if the customer has configured the managed identity and roleDefinitionIds for that policy assignment

Azure Resource Graph :Azure Resource Graph:

  • Inclut désormais l’ID de locataire dans les résultats de requête renvoyés, ce qui vous permet d’identifier si un abonnement appartient au locataire du client ou au locataire du fournisseur de servicesNow includes the tenant ID in returned query results, allowing you to identify whether a subscription belongs to the customer tenant or service provider tenant

Azure Security Center :Azure Security Center:

  • Visibilité inter-locataireCross-tenant visibility
    • Surveiller la conformité aux stratégies de sécurité et garantir la couverture de sécurité des ressources de tous les locatairesMonitor compliance to security policies and ensure security coverage across all tenants’ resources
    • Surveillance continue de la conformité réglementaire de plusieurs clients dans une seule vueContinuous regulatory compliance monitoring across multiple customers in a single view
    • Surveiller, trier et hiérarchiser les recommandations de sécurité actionnables avec un calcul du degré de sécurisationMonitor, triage, and prioritize actionable security recommendations with secure score calculation
  • Gestion d’état de la sécurité inter-locataireCross-tenant security posture management
    • Gérer les stratégies de sécuritéManage security policies
    • Agir sur des ressources non conformes à l’aide de recommandations de sécurité actionnablesTake action on resources that are out of compliance with actionable security recommendations
    • Collecter et stocker des données liées à la sécuritéCollect and store security-related data
  • Détection et traitement des menaces inter-locatairesCross-tenant threat detection and protection
    • Détecter des menaces pesant sur des ressources inter-locatairesDetect threats across tenants’ resources
    • Appliquer des contrôles de protection avancée contre les menaces tels que l’accès à la machine virtuelle juste-à-temps (JIT)Apply advanced threat protection controls such as just-in-time (JIT) VM access
    • Renforcer la configuration du groupe de sécurité réseau avec le renforcement du réseau adaptatifHarden network security group configuration with Adaptive Network Hardening
    • S’assurer que les serveurs exécutent uniquement les applications et processus qu’ils doivent exécuter avec des contrôles d’application adaptatifsEnsure servers are running only the applications and processes they should be with adaptive application controls
    • Surveiller les modifications apportées aux fichiers et aux entrées de Registre importants avec le monitoring d’intégrité de fichierMonitor changes to important files and registry entries with File Integrity Monitoring (FIM)

Azure Sentinel :Azure Sentinel:

  • Gérer les ressources Azure Sentinel dans les locataires du clientManage Azure Sentinel resources in customer tenants

Azure Service Health :Azure Service Health:

  • Surveiller l’intégrité des ressources du client avec Azure Resource HealthMonitor the health of customer resources with Azure Resource Health
  • Suivre l’intégrité des services Azure utilisés par les clientsTrack the health of the Azure services used by your customers

Azure Site Recovery :Azure Site Recovery:

  • Gérer les options de récupération d’urgence pour les machines virtuelles Azure dans les locataires du client (notez que vous ne pouvez pas utiliser de comptes d’identification pour copier des extensions de machine virtuelle)Manage disaster recovery options for Azure virtual machines in customer tenants (note that you can't use RunAs accounts to copy VM extensions)

Machines virtuelles Azure :Azure Virtual Machines:

  • Utiliser des extensions de machine virtuelle pour accomplir des tâches d’automatisation et de configuration après déploiement sur des machines virtuelles Azure dans les locataires du clientUse virtual machine extensions to provide post-deployment configuration and automation tasks on Azure VMs in customer tenants
  • Utiliser des diagnostics de démarrage pour résoudre des problèmes de machines virtuelles Azure dans les locataires du clientUse boot diagnostics to troubleshoot Azure VMs in customer tenants
  • Accéder aux machines virtuelles avec une console série dans les locataires du clientAccess VMs with serial console in customer tenants
  • Notez que vous ne pouvez pas utiliser Azure Active Directory pour une ouverture de session à distance sur une machine virtuelle, ou intégrer une machine virtuelle avec Key Vault pour les mots de passe, les secrets ou les clés de chiffrement du disque.Note that you can't use Azure Active Directory for remote login to a VM, and you can't integrate a VM with a Key Vault for passwords, secrets or cryptographic keys for disk encryption

Réseau virtuel Azure :Azure Virtual Network:

  • Déployer et gérer des réseaux virtuels et des cartes d’interface réseau virtuelles (cartes réseau virtuelles) au sein des locataires du clientDeploy and manage virtual networks and virtual network interface cards (vNICs) within customer tenants

Demandes de support :Support requests:

  • Ouvrir des demandes de support pour des ressources déléguées à partir du panneau Aide + Support dans le portail Azure (en sélectionnant le plan de support disponible pour l’étendue déléguée)Open support requests for delegated resources from the Help + support blade in the Azure portal (selecting the support plan available to the delegated scope)

Limitations actuellesCurrent limitations

Dans tous les scénarios, gardez à l’esprit les limitations actuelles suivantes :With all scenarios, please be aware of the following current limitations:

  • Les demandes traitées par Azure Resource Manager peuvent être effectuées à l’aide de la gestion des ressources déléguées Azure.Requests handled by Azure Resource Manager can be performed using Azure delegated resource management. Les URI d’opération pour ces demandes commencent par https://management.azure.com.The operation URIs for these requests start with https://management.azure.com. Toutefois, les demandes qui sont gérées par une instance d’un type de ressource (par exemple, accès aux secrets du coffre de clés ou accès aux données de stockage) ne sont pas prises en charge avec la gestion des ressources déléguées Azure.However, requests that are handled by an instance of a resource type (such as KeyVault secrets access or storage data access) aren’t supported with Azure delegated resource management. Les URI d’opération pour ces demandes commencent généralement par une adresse propre à votre instance, telle que https://myaccount.blob.core.windows.net ou https://mykeyvault.vault.azure.net/.The operation URIs for these requests typically start with an address that is unique to your instance, such as https://myaccount.blob.core.windows.net or https://mykeyvault.vault.azure.net/. Ces dernières sont également des opérations sur les données plutôt que des opérations de gestion.The latter also are typically data operations rather than management operations.
  • Les attributions de rôles doivent utiliser des rôles intégrés de contrôle d’accès en fonction du rôle (RBAC).Role assignments must use role-based access control (RBAC) built-in roles. Tous les rôles intégrés sont actuellement pris en charge avec la gestion des ressources déléguées Azure, à l’exception des rôles Propriétaire et Administrateur de l’accès utilisateur, ainsi que des rôles intégrés avec l’autorisation DataActions.All built-in roles are currently supported with Azure delegated resource management except for Owner, User Access Administrator, or any built-in roles with DataActions permission. Les rôles personnalisés et les Rôles Administrateur classique de l’abonnement ne sont pas non plus pris en charge.Custom roles and classic subscription administrator roles are also not supported.
  • Actuellement, vous ne pouvez pas intégrer un abonnement (ou un groupe de ressources au sein d’un abonnement) pour la gestion des ressources déléguées Azure si l’abonnement utilise Azure Databricks.Currently, you can’t onboard a subscription (or resource group within a subscription) for Azure delegated resource management if the subscription uses Azure Databricks. De même, si un abonnement a été inscrit pour une intégration avec le fournisseur de ressources Microsoft.ManagedServices, vous ne pouvez pas actuellement créer d’espace de travail Databricks pour cet abonnement.Similarly, if a subscription has been registered for onboarding with the Microsoft.ManagedServices resource provider, you won’t be able to create a Databricks workspace for that subscription at this time.

Utilisation d’API et d’outils de gestion avec la gestion inter-locataireUsing APIs and management tools with cross-tenant management

Pour les services et les scénarios pris en charge répertoriés ci-dessus, vous pouvez effectuer des tâches de gestion directement sur le portail ou à l’aide d’API et d’outils de gestion (tels que Azure CLI et Azure PowerShell).For the supported services and scenarios listed above, you can perform management tasks either directly in the portal or by using APIs and management tools (such as Azure CLI and Azure PowerShell). Toutes les API existantes peuvent être utilisées lors de l’utilisation de ressources déléguées (pour les services pris en charge).All existing APIs can be used when working with delegated resources (for services that are supported).

Il existe également des API spécifiques pour l’exécution de tâches de gestion des ressources déléguées Azure.There are also APIs specific to performing Azure delegated resource management tasks. Pour plus d’informations, voir la section Référence.For more info, see the Reference section.

Étapes suivantesNext steps