Expériences de la gestion multilocataireCross-tenant management experiences

En tant que fournisseur de services, vous pouvez utiliser Azure Lighthouse pour gérer les ressources de plusieurs clients à partir de votre propre locataire Azure Active Directory (Azure AD).As a service provider, you can use Azure Lighthouse to manage resources for multiple customers from within your own Azure Active Directory (Azure AD) tenant. De nombreuses tâches et de nombreux services peuvent être exécutés sur tous les locataires gérés en utilisant la gestion des ressources déléguées Azure.Many tasks and services can be performed across managed tenants by using Azure delegated resource management.

Conseil

La gestion des ressources déléguées Azure peut également être utilisée au sein d’une entreprise qui dispose de plusieurs locataires Azure AD pour simplifier l’administration entre locataires.Azure delegated resource management can also be used within an enterprise which has multiple Azure AD tenants of its own to simplify cross-tenant administration.

Comprendre les locataires et la délégationUnderstanding tenants and delegation

Un locataire Azure AD est la représentation d’une organisation.An Azure AD tenant is a representation of an organization. Il s’agit d’une instance dédiée d’Azure AD qu’une organisation reçoit quand elle crée une relation avec Microsoft en s’inscrivant à Azure, à Microsoft 365 ou à d’autres services.It's a dedicated instance of Azure AD that an organization receives when they create a relationship with Microsoft by signing up for Azure, Microsoft 365, or other services. Chaque locataire Azure AD est distinct et indépendant des autres, et a son propre ID de locataire (GUID).Each Azure AD tenant is distinct and separate from other Azure AD tenants, and has its own tenant ID (a GUID). Pour plus d’informations, voir Qu’est-ce qu’Azure Active Directory ?For more info, see What is Azure Active Directory?

En règle générale, pour gérer des ressources Azure pour un client, les fournisseurs de services doivent se connecter au portail Azure à l’aide d’un compte associé au locataire de ce client, ce qui requiert qu’un administrateur dans le locataire du client crée et gère des comptes d’utilisateur pour le fournisseur de services.Typically, in order to manage Azure resources for a customer, service providers would have to sign in to the Azure portal using an account associated with that customer's tenant, requiring an administrator in the customer's tenant to create and manage user accounts for the service provider.

Avec Azure Lighthouse, le processus d'intégration désigne les utilisateurs du locataire du fournisseur de services qui pourront travailler sur les abonnements et les groupes de ressources délégués au sein du locataire du client.With Azure Lighthouse, the onboarding process specifies users within the service provider's tenant who will be able to work on delegated subscriptions and resource groups in the customer's tenant. Ces utilisateurs peuvent ensuite se connecter au portail Azure en utilisant leurs propres informations d’identification.These users can then sign in to the Azure portal using their own credentials. Dans le portail Azure, ils peuvent gérer les ressources appartenant à tous les clients auxquels ils ont accès.Within the Azure portal, they can manage resources belonging to all customers to which they have access. Pour ce faire, ils peuvent accéder à la page Mes clients du portail Azure ou travailler directement dans le contexte de l’abonnement de ce client, soit sur le portail Azure ou via des API.This can be done by visiting the My customers page in the Azure portal, or by working directly within the context of that customer's subscription, either in the Azure portal or via APIs.

Azure Lighthouse offre une plus grande flexibilité pour gérer les ressources de plusieurs clients sans avoir à se connecter à différents comptes associés à différents locataires.Azure Lighthouse allows greater flexibility to manage resources for multiple customers without having to sign in to different accounts in different tenants. Par exemple, un fournisseur de services peut avoir deux clients, avec des responsabilités et des niveaux d’accès différents.For example, a service provider may have two customers with different responsibilities and access levels. À l'aide d'Azure Lighthouse, les utilisateurs autorisés peuvent se connecter au locataire du fournisseur de services pour accéder à ces ressources.Using Azure Lighthouse, authorized users can sign in to the service provider's tenant to access these resources.

Diagramme illustrant les ressources du client gérées via un locataire du fournisseur de services.

Prise en charge des API et de l’outil de gestionAPIs and management tool support

Vous pouvez effectuer des tâches de gestion sur les ressources déléguées directement sur le portail ou à l’aide d’API et d’outils de gestion (tels que Azure CLI et Azure PowerShell).You can perform management tasks on delegated resources either directly in the portal or by using APIs and management tools (such as Azure CLI and Azure PowerShell). Toutes les API existantes peuvent être utilisées lorsque vous travaillez avec des ressources déléguées, tant que la fonctionnalité est prise en charge pour la gestion entre inter-locataires et que l’utilisateur dispose des autorisations appropriées.All existing APIs can be used when working with delegated resources, as long as the functionality is supported for cross-tenant management and the user has the appropriate permissions.

La cmdlet Get-AzSubscription Azure PowerShell affiche les attributs HomeTenantId et ManagedByTenantIds de chaque abonnement, ce qui vous permet de savoir si un abonnement retourné appartient à un locataire géré ou à votre locataire gérant.The Azure PowerShell Get-AzSubscription cmdlet shows the HomeTenantId and ManagedByTenantIds attributes for each subscription, allowing you to identify whether a returned subscription belongs to a managed tenant or to your managing tenant.

De même, des commandes Azure CLI comme az account list affichent les attributs homeTenantId et managedByTenants.Similarly, Azure CLI commands such as az account list show the homeTenantId and managedByTenants attributes.

Conseil

Si vous ne voyez pas ces valeurs lors de l’utilisation d'Azure CLI, essayez d’effacer votre cache en exécutant az account clear, puis az login --identity.If you don't see these values when using Azure CLI, try clearing your cache by running az account clear followed by az login --identity.

Nous fournissons également des API spécifiques pour l'exécution de tâches Azure Lighthouse.We also provide APIs that are specific to performing Azure Lighthouse tasks. Pour plus d’informations, voir la section Référence.For more info, see the Reference section.

Services et scénarios améliorésEnhanced services and scenarios

La plupart des tâches et des services peuvent être exécutés sur des ressources déléguées sur des locataires gérés.Most tasks and services can be performed on delegated resources across managed tenants. Voici quelques-uns des principaux scénarios dans lesquels la gestion inter-locataires peut être particulièrement efficace.Below are some of the key scenarios where cross-tenant management can be especially effective.

Azure Arc :Azure Arc:

Azure Automation :Azure Automation:

  • Utiliser des comptes Automation pour accéder à des ressources du déléguées et les utiliserUse automation accounts to access and work with delegated resources

Sauvegarde Azure :Azure Backup:

  • Sauvegarder et restaurer des données client à partir de charges de travail locales, de machines virtuelles Azure, de partages de fichiers Azure, etc.Back up and restore customer data from on-premises workloads, Azure VMs, Azure file shares, and more
  • Utilisez l'Explorateur de sauvegarde pour visualiser les informations opérationnelles des éléments de sauvegarde (y compris les ressources Azure qui n'ont pas encore été configurées pour la sauvegarde) et les informations de supervision (travaux et alertes) des abonnements délégués.Use the Backup Explorer to help view operational information of backup items (including Azure resources not yet configured for backup) and monitoring information (jobs and alerts) for delegated subscriptions. Pour l’instant, l’Explorateur de sauvegarde est uniquement disponible pour les données de machines virtuelles Azure.The Backup Explorer is currently available only for Azure VM data.
  • Utilisez Rapports de sauvegarde dans les abonnements délégués pour suivre les tendances historiques, analyser la consommation du stockage de sauvegarde et auditer les sauvegardes et les restaurations.Use Backup Reports across delegated subscriptions to track historical trends, analyze backup storage consumption, and audit backups and restores.

Azure Cost Management + Facturation :Azure Cost Management + Billing:

  • À partir du locataire de gestion, les fournisseurs de solutions Cloud partenaires peuvent visualiser, gérer et analyser les coûts de consommation hors taxes (hors achats) pour les clients qui relèvent du plan Azure.From the managing tenant, CSP partners can view, manage, and analyze pre-tax consumption costs (not inclusive of purchases) for customers who are under the Azure plan. Le coût est basé sur les tarifs de vente au détail et l’accès Azure RBAC (contrôle d’accès en fonction du rôle Azure) dont dispose le partenaire pour l’abonnement du client.The cost will be based on retail rates and the Azure role-based access control (Azure RBAC) access that the partner has for the customer's subscription.

Azure Kubernetes Service (AKS) :Azure Kubernetes Service (AKS):

  • Gérer des environnements Kubernetes hébergés, ainsi que déployer et gérer des applications en conteneur au sein des locataires du clientManage hosted Kubernetes environments and deploy and manage containerized applications within customer tenants

Azure Monitor :Azure Monitor:

  • Afficher les alertes pour les abonnements délégués, avec la possibilité d’afficher des alertes à travers tous les abonnementsView alerts for delegated subscriptions, with the ability to view alerts across all subscriptions
  • Afficher les détails du journal d’activité pour des abonnements déléguésView activity log details for delegated subscriptions
  • Log Analytics : Interroger des données à partir d’espaces de travail distants dans plusieurs locatairesLog analytics: Query data from remote workspaces in multiple tenants
  • Créer des alertes dans les locataires du client qui déclenchent une automatisation, par exemple des runbooks Azure Automation ou des fonctions Azure Functions, dans le locataire gérant par le biais de webhooksCreate alerts in customer tenants that trigger automation, such as Azure Automation runbooks or Azure Functions, in the managing tenant through webhooks
  • Créer des paramètres de diagnostic dans des locataires clients pour envoyer des journaux de ressources à des espaces de travail dans le locataire gérantCreate diagnostic settings in customer tenants to send resource logs to workspaces in the managing tenant
  • Pour les charges de travail SAP, surveiller les métriques des solutions SAP avec une vue agrégée sur les locataires clientsFor SAP workloads, monitor SAP Solutions metrics with an aggregated view across customer tenants

Azure Networking :Azure Networking:

Azure Policy :Azure Policy:

  • Les instantanés de conformité affichent les détails sur les stratégies attribuées au sein d’abonnements déléguésCompliance snapshots show details for assigned policies within delegated subscriptions
  • Créer et modifier des définitions de stratégie au sein d’abonnements déléguésCreate and edit policy definitions within delegated subscriptions
  • Affecter des définitions de stratégie définies par le client au sein d’abonnements déléguésAssign customer-defined policy definitions within delegated subscriptions
  • Les clients voient les stratégies créées par le fournisseur de services en même temps que les stratégies qu’ils ont créées eux-mêmesCustomers see policies authored by the service provider alongside any policies they've authored themselves
  • Peut corriger deployIfNotExists ou modifier des affectations au sein du locataire géréCan remediate deployIfNotExists or modify assignments within the managed tenant

Azure Resource Graph :Azure Resource Graph:

  • Inclut désormais l’ID de locataire dans les résultats de requête renvoyés, ce qui vous permet d’identifier si un abonnement appartient à un locataire géréNow includes the tenant ID in returned query results, allowing you to identify whether a subscription belongs to a managed tenant

Azure Security Center :Azure Security Center:

  • Visibilité inter-locataireCross-tenant visibility
    • Superviser la conformité aux stratégies de sécurité et garantir la couverture de sécurité des ressources de tous les locatairesMonitor compliance to security policies and ensure security coverage across all tenants' resources
    • Surveillance continue de la conformité réglementaire de plusieurs locataires dans une seule vueContinuous regulatory compliance monitoring across multiple tenants in a single view
    • Surveiller, trier et hiérarchiser les recommandations de sécurité actionnables avec un calcul du degré de sécurisationMonitor, triage, and prioritize actionable security recommendations with secure score calculation
  • Gestion d’état de la sécurité inter-locataireCross-tenant security posture management
    • Gérer les stratégies de sécuritéManage security policies
    • Agir sur des ressources non conformes à l’aide de recommandations de sécurité actionnablesTake action on resources that are out of compliance with actionable security recommendations
    • Collecter et stocker des données liées à la sécuritéCollect and store security-related data
  • Détection et traitement des menaces inter-locatairesCross-tenant threat detection and protection
    • Détecter des menaces pesant sur des ressources inter-locatairesDetect threats across tenants' resources
    • Appliquer des contrôles de protection avancée contre les menaces tels que l’accès à la machine virtuelle juste-à-temps (JIT)Apply advanced threat protection controls such as just-in-time (JIT) VM access
    • Renforcer la configuration du groupe de sécurité réseau avec le renforcement du réseau adaptatifHarden network security group configuration with Adaptive Network Hardening
    • S’assurer que les serveurs exécutent uniquement les applications et processus qu’ils doivent exécuter avec des contrôles d’application adaptatifsEnsure servers are running only the applications and processes they should be with adaptive application controls
    • Surveiller les modifications apportées aux fichiers et aux entrées de Registre importants avec le monitoring d’intégrité de fichierMonitor changes to important files and registry entries with File Integrity Monitoring (FIM)

Azure Sentinel :Azure Sentinel:

Azure Service Health :Azure Service Health:

  • Surveiller l’intégrité des ressources du client avec Azure Resource HealthMonitor the health of customer resources with Azure Resource Health
  • Suivre l’intégrité des services Azure utilisés par les clientsTrack the health of the Azure services used by your customers

Azure Site Recovery :Azure Site Recovery:

  • Gérer les options de récupération d’urgence pour les machines virtuelles Azure dans les locataires du client (notez que vous ne pouvez pas utiliser de comptes RunAs pour copier des extensions de machines virtuelles)Manage disaster recovery options for Azure virtual machines in customer tenants (note that you can't use RunAs accounts to copy VM extensions)

Machines virtuelles Azure :Azure Virtual Machines:

  • Utiliser des extensions de machine virtuelle pour accomplir des tâches d’automatisation et de configuration après déploiement sur des machines virtuelles AzureUse virtual machine extensions to provide post-deployment configuration and automation tasks on Azure VMs
  • Utiliser des diagnostics de démarrage pour résoudre des problèmes de machines virtuelles AzureUse boot diagnostics to troubleshoot Azure VMs
  • Accéder à des machines virtuelles avec la console sérieAccess VMs with serial console
  • Intégrer des machines virtuelles à Azure Key Vault pour les mots de passe, les secrets ou les clés de chiffrement pour le chiffrement de disque à l’aide d’une identité managée par le biais d’une stratégie, garantissant que les secrets sont stockés dans un coffre Key Vault dans les locataires gérésIntegrate VMs with Azure Key Vault for passwords, secrets, or cryptographic keys for disk encryption by using managed identity through policy, ensuring that secrets are stored in a Key Vault in the managed tenants
  • Notez que vous ne pouvez pas utiliser Azure Active Directory pour l’ouverture de session à distance sur les machines virtuellesNote that you can't use Azure Active Directory for remote login to VMs

Demandes de support :Support requests:

Limites actuellesCurrent limitations

Dans tous les scénarios, gardez à l’esprit les limitations actuelles suivantes :With all scenarios, please be aware of the following current limitations:

  • Les demandes traitées par Azure Resource Manager peuvent être effectuées à l’aide d’Azure Lighthouse.Requests handled by Azure Resource Manager can be performed using Azure Lighthouse. Les URI d’opération pour ces demandes commencent par https://management.azure.com.The operation URIs for these requests start with https://management.azure.com. Toutefois, les demandes qui sont gérées par une instance d’un type de ressource (par exemple, accès aux secrets du coffre de clés ou accès aux données de stockage) ne sont pas prises en charge avec Azure Lighthouse.However, requests that are handled by an instance of a resource type (such as Key Vault secrets access or storage data access) aren't supported with Azure Lighthouse. Les URI d’opération pour ces demandes commencent généralement par une adresse propre à votre instance, telle que https://myaccount.blob.core.windows.net ou https://mykeyvault.vault.azure.net/.The operation URIs for these requests typically start with an address that is unique to your instance, such as https://myaccount.blob.core.windows.net or https://mykeyvault.vault.azure.net/. Ces dernières sont également des opérations sur les données plutôt que des opérations de gestion.The latter also are typically data operations rather than management operations.
  • Les attributions de rôles doivent utiliser des rôles intégrés de contrôle d’accès en fonction du rôle (RBAC).Role assignments must use role-based access control (RBAC) built-in roles. Tous les rôles intégrés sont actuellement pris en charge avec la gestion des ressources déléguées Azure, à l’exception du propriétaire et des rôles intégrés avec l’autorisation DataActions.All built-in roles are currently supported with Azure delegated resource management except for Owner or any built-in roles with DataActions permission. Le rôle Administrateur de l’accès utilisateur est pris en charge uniquement pour une utilisation limitée dans l’affectation de rôles à des identités gérées.The User Access Administrator role is supported only for limited use in assigning roles to managed identities. Les rôles personnalisés et les Rôles Administrateur classique de l’abonnement ne sont pas pris en charge.Custom roles and classic subscription administrator roles are not supported.
  • S’il vous est possible d’intégrer des abonnements utilisant Azure Databricks, les utilisateurs du locataire gestionnaire ne peuvent pas lancer d’espaces de travail Azure Databricks sur un abonnement délégué pour le moment.While you can onboard subscriptions that use Azure Databricks, users in the managing tenant can't launch Azure Databricks workspaces on a delegated subscription at this time.
  • Bien que vous puissiez intégrer des abonnements et des groupes de ressources qui ont des verrous de ressources, ces verrous n’empêchent pas les actions d’être effectuées par les utilisateurs dans le locataire gestionnaire.While you can onboard subscriptions and resource groups that have resource locks, those locks will not prevent actions from being performed by users in the managing tenant. Les affectations de refus, qui protègent les ressources managées par le système, telles que celles créées par les applications managées Azure ou Azure Blueprints (affectations de refus émises par le système), empêchent les utilisateurs du locataire gestionnaire d’agir sur ces ressources. Toutefois, à ce moment-là, les utilisateurs du locataire client ne peuvent pas créer leurs propres affectations de refus (affectations de refus émises par l’utilisateur).Deny assignments that protect system-managed resources, such as those created by Azure managed applications or Azure Blueprints (system-assigned deny assignments), do prevent users in the managing tenant from acting on those resources; however, at this time users in the customer tenant can't create their own deny assignments (user-assigned deny assignments).

Étapes suivantesNext steps