Az Azure Lighthouse nagyvállalati forgatókönyvekben

Az Azure Lighthouse gyakori forgatókönyve egy olyan szolgáltatót érint, amely az ügyfelek Microsoft Entra-bérlőiben lévő erőforrásokat kezeli. Az Azure Lighthouse képességei arra is használhatók, hogy egyszerűbbé tegye a bérlők közötti felügyeletet egy olyan vállalaton belül, amely több Microsoft Entra-bérlőt használ.

Egy vagy több bérlő

A legtöbb szervezet számára egyszerűbb a felügyelet egyetlen Microsoft Entra-bérlővel. Ha az összes erőforrás egy bérlőn belül van, az lehetővé teszi a felügyeleti feladatok központosítását a bérlőn belüli kijelölt felhasználók, felhasználói csoportok vagy szolgáltatásnevek szerint. Javasoljuk, hogy lehetőség szerint használjon egy bérlőt a szervezet számára.

Előfordulhat, hogy egyes szervezeteknek több Microsoft Entra-bérlőt kell használniuk. Ez átmeneti helyzet lehet, mint amikor felvásárlások történtek, és a bérlők hosszú távú konszolidációs stratégiáját még nem határozták meg. Más esetekben előfordulhat, hogy a szervezeteknek folyamatosan több bérlőt kell fenntartaniuk teljesen független leányvállalatok, földrajzi vagy jogi követelmények vagy egyéb szempontok miatt.

Ha több-bérlős architektúrára van szükség, az Azure Lighthouse segíthet központosítani és egyszerűsíteni a felügyeleti műveleteket. Az Azure Lighthouse használatával az egy bérlőt kezelő felhasználók központosított, skálázható módon végezhetnek bérlőközi felügyeleti funkciókat .

Bérlőkezelési architektúra

Az Azure Lighthouse vállalati környezetben való használatához meg kell határoznia, hogy melyik bérlő tartalmazza a többi bérlőn felügyeleti műveleteket végző felhasználókat. Más szóval egy bérlőt kell kijelölnie a többi bérlőhöz tartozó kezelő bérlőként.

Tegyük fel például, hogy a szervezetnek egyetlen bérlője van, amelyet A bérlőnek fogunk hívni. A szervezet ezután beszerzi a B bérlőt és a C bérlőt, és üzleti okai vannak, amelyek miatt külön bérlőként kell őket fenntartania. Azonban ugyanazokat a szabályzatdefiníciókat, biztonsági mentési eljárásokat és biztonsági folyamatokat szeretné használni mindegyikhez, és a felügyeleti feladatokat ugyanaz a felhasználócsoport végzi.

Mivel az A bérlő már tartalmazza a szervezet azon felhasználóit, akik elvégezték ezeket a feladatokat az A bérlőhöz, a B bérlőn és a C bérlőn belül is előveheti az előfizetéseket, így az A bérlő ugyanazon felhasználói elvégezhetik ezeket a feladatokat az összes bérlőn.

Biztonsági és hozzáférési szempontok

A legtöbb nagyvállalati forgatókönyvben teljes előfizetést szeretne delegálni az Azure Lighthouse-ba. Dönthet úgy is, hogy csak bizonyos erőforráscsoportokat delegál egy előfizetésen belül.

Akárhogy is, mindenképpen kövesse a minimális jogosultság elvét annak meghatározásakor, hogy mely felhasználók férhetnek hozzá a delegált erőforrásokhoz. Ezzel biztosítható, hogy a felhasználók csak a szükséges feladatok elvégzéséhez szükséges engedélyekkel rendelkezzenek, és csökkentik a véletlen hibák esélyét.

Az Azure Lighthouse csak logikai kapcsolatokat biztosít a felügyelt bérlők és a felügyelt bérlők között az adatok vagy erőforrások fizikai áthelyezése helyett. Emellett a hozzáférés mindig csak egy irányba halad, a felügyelt bérlőtől a felügyelt bérlőkig. A felügyeleti bérlő felhasználóinak és csoportjainak továbbra is többtényezős hitelesítést kell használniuk a felügyelt bérlői erőforrások felügyeleti műveleteinek végrehajtásakor.

A belső vagy külső szabályozási és megfelelőségi védőkorlátokkal rendelkező vállalatok az Azure-tevékenységnaplók használatával képesek megfelelni az átláthatósági követelményeknek. Amikor a vállalati bérlők felügyeleti és felügyelt bérlői kapcsolatokat alakítottak ki, az egyes bérlők felhasználói megtekinthetik a naplózott tevékenységeket, hogy lássák a felügyelt bérlő felhasználói által végrehajtott műveleteket.

Előkészítési szempontok

Az előfizetések (vagy az előfizetésen belüli erőforráscsoportok) az Azure Lighthouse-ba az Azure Resource Manager-sablonok üzembe helyezésével vagy az Azure Marketplace-en közzétett felügyelt szolgáltatásokon keresztül is előkészíthetők.

Mivel a nagyvállalati felhasználók általában közvetlen hozzáféréssel rendelkeznek a vállalat bérlőihez, és nincs szükség felügyeleti ajánlatok értékesítésére vagy előléptetésére, általában gyorsabb és egyszerűbb azure Resource Manager-sablonok üzembe helyezése. Bár az előkészítési útmutató a szolgáltatókra és az ügyfelekre vonatkozik, a vállalatok ugyanazokat a folyamatokat használhatják a bérlőik előkészítéséhez.

Ha szeretné, a vállalaton belüli bérlők egy felügyelt szolgáltatási ajánlat Azure Marketplace-en való közzétételével hozhatók létre. Annak érdekében, hogy az ajánlat csak a megfelelő bérlők számára legyen elérhető, győződjön meg arról, hogy a csomagok privátként vannak megjelölve. Egy privát csomaggal minden olyan bérlőhöz megadja az előfizetés azonosítóját, amelyet elő szeretne készíteni, és senki más nem fogja tudni lekérni az ajánlatot.

Azure AD B2C

Az Azure Active Directory B2C (Azure AD B2C) szolgáltatásként biztosítja az ügyfelek közötti identitást. Amikor egy erőforráscsoportot delegál az Azure Lighthouse-on keresztül, az Azure Monitor használatával átirányíthatja az Azure Active Directory B2C (Azure AD B2C) bejelentkezési és naplózási naplóit különböző monitorozási megoldásokhoz. Megőrizheti a naplókat hosszú távú használatra, vagy integrálhatja a külső biztonsági információkat és eseménykezelési (SIEM) eszközöket, hogy betekintést nyerjen a környezetébe.

További információ: Azure AD B2C monitorozása az Azure Monitorral.

Terminológiai megjegyzések

A vállalaton belüli bérlők közötti felügyelethez az Azure Lighthouse dokumentációjában szereplő szolgáltatókra mutató hivatkozások értelmezhetők úgy, hogy a vállalaton belüli felügyeleti bérlőre vonatkoznak, vagyis arra a bérlőre, amely magában foglalja azokat a felhasználókat, akik más bérlők erőforrásait az Azure Lighthouse-on keresztül kezelik. Hasonlóképpen, az ügyfelekre mutató hivatkozások értelmezhetők azokra a bérlőkre is, amelyek az erőforrásokat delegálják a felügyelt bérlő felhasználóin keresztül.

A fent ismertetett példában például az A bérlő a szolgáltatói bérlő (a kezelő bérlő), a B bérlő és a C bérlő pedig ügyfélbérlelőként tekinthető.

A példával folytatva a megfelelő engedélyekkel rendelkező A bérlői felhasználók megtekinthetik és kezelhetik a delegált erőforrásokat az Azure Portal Saját ügyfelek lapján. Hasonlóképpen, a megfelelő engedélyekkel rendelkező B bérlői és C bérlői felhasználók megtekinthetik és kezelhetik az A bérlőhöz delegált erőforrásokat az Azure Portal Szolgáltatók lapján.

Következő lépések

• Megismerheti az erőforrás-szervezési lehetőségeket a több-bérlős architektúrákban.
• További információ a bérlők közötti felügyeleti szolgáltatásokról.
• További információ az Azure Lighthouse működéséről.