Gestione risorse delegate di AzureAzure delegated resource management

Gestione delle risorse delegate di Azure è uno dei componenti principali di Azure Lighthouse.Azure delegated resource management is one of the key components of Azure Lighthouse. Con la gestione risorse delegate di Azure, i provider di servizi possono semplificare le esperienze di engagement e onboarding dei clienti, gestendo al contempo le risorse delegate su larga scala con agilità e precisione.With Azure delegated resource management, service providers can simplify customer engagement and onboarding experiences, while managing delegated resources at scale with agility and precision. I clienti mantengono il controllo sui provider di servizi che possono accedere al tenant, i clienti mantengono il controllo sugli utenti che possono accedere al tenant, sulle risorse a cui possono accedere e sulle azioni che possono essere eseguite.Customers maintain control over which service providers can access their tenant, Customers maintain control over who can access their tenant, what resources they can access, and what actions can be taken.

Informazioni sulla gestione risorse delegate di AzureWhat is Azure delegated resource management?

La gestione risorse delegate di Azure consente la proiezione logica delle risorse da un tenant a un altro.Azure delegated resource management enables logical projection of resources from one tenant onto another tenant. Questo consente agli utenti autorizzati di un tenant di Azure Active Directory (Azure AD) di eseguire operazioni di gestione su tenant di Azure AD diversi appartenenti ai clienti.This lets authorized users in one Azure Active Directory (Azure AD) tenant perform management operations across different Azure AD tenants belonging to their customers. I provider di servizi possono accedere al proprio tenant di Azure AD e avere l'autorizzazione per lavorare nelle sottoscrizioni e nei gruppi di risorse delegati dei clienti.Service providers can sign in to their own Azure AD tenant and have authorization to work in delegated customer subscriptions and resource groups. In questo modo possono eseguire operazioni di gestione per conto dei clienti, senza dover accedere al tenant di ogni singolo cliente.This lets them perform management operations on behalf of their customers, without having to sign in to each individual customer tenant.

Suggerimento

La gestione risorse delegate di Azure può essere usata anche all'interno di un'azienda con più tenant di Azure AD propri per semplificare la gestione tra tenant.Azure delegated resource management can also be used within an enterprise which has multiple Azure AD tenants of its own to simplify cross-tenant management.

Con la gestione risorse delegate di Azure, gli utenti autorizzati possono lavorare direttamente nel contesto della sottoscrizione di un cliente senza avere un account nel tenant di tale cliente o essere comproprietario del tenant del cliente.With Azure delegated resource management, authorized users can work directly in the context of a customer subscription without having an account in that customer's tenant or being a co-owner of the customer's tenant.

L' esperienza di gestione tra tenant ti permette di lavorare in modo più efficiente con i servizi di gestione di Azure, ad esempio criteri di Azure, il Centro sicurezza di Azure e altro ancora.The cross-tenant management experience lets you work more efficiently with Azure management services like Azure Policy, Azure Security Center, and more. Tutte le attività del provider di servizi vengono registrate nel log attività, che è archiviato nel tenant del cliente (e può essere visualizzato dagli utenti nel tenant di gestione).All service provider activity is tracked in the activity log, which is stored in the customer's tenant (and can be viewed by users in the managing tenant). Ciò significa che gli utenti nel tenant di gestione e gestito possono identificare facilmente l'utente associato a qualsiasi modifica.This means that users in both the managing and the managed tenant can easily identify the user associated with any changes.

È possibile pubblicare il nuovo tipo di offerta del servizio gestito in Azure Marketplace per caricare facilmente i clienti nel Faro di Azure.You can publish the new Managed Service offer type to Azure Marketplace to easily onboard customers to Azure Lighthouse. In alternativa, è possibile completare il processo di onboarding distribuendo i modelli di Azure Resource Manager.Alternatively, you can complete the onboarding process by deploying Azure Resource Manager templates.

Come funziona la gestione risorse delegate di AzureHow Azure delegated resource management works

Di seguito viene illustrato il funzionamento generale della gestione risorse delegate di Azure:At a high level, here's how Azure delegated resource management works:

  1. Per prima cosa, è necessario identificare l'accesso (ruoli) che i gruppi, le entità servizio o gli utenti dovranno gestire per le risorse di Azure del cliente.First, you identify the access (roles) that your groups, service principals, or users will need to manage the customer's Azure resources. La definizione di accesso contiene l'ID tenant di gestione insieme alle identità PrincipalId del tenant di cui è stato eseguito il mapping ai valori roleDefinition predefiniti (collaboratore, collaboratore macchina virtuale, lettore e così via).The access definition contains the managing tenant ID along with principalId identities from your tenant mapped to built-in roleDefinition values (Contributor, VM Contributor, Reader, etc.).

  2. È possibile specificare questo accesso e caricare il cliente in Azure Lighthouse in uno dei due modi seguenti:You specify this access and onboard the customer to Azure Lighthouse in one of two ways:

  3. Una volta caricato il cliente, gli utenti autorizzati possono accedere al tenant di gestione ed eseguire attività nell'ambito del cliente specificato, in base all'accesso definito.Once the customer has been onboarded, authorized users can sign in to your managing tenant and perform tasks at the given customer scope, based on the access that you defined. I clienti possono esaminare le azioni del provider di servizi e avere la possibilità di rimuovere l'accesso, se necessario.Customers can review service provider actions and have the option to remove access if needed.

Nota

È possibile gestire le risorse delegate che si trovano in areediverse.You can manage delegated resources that are located in different regions. Tuttavia, la delega delle sottoscrizioni in un cloud nazionale e nel cloud pubblico di Azure o in due cloud nazionali distinti non è supportata.However, delegation of subscriptions across a national cloud and the Azure public cloud, or across two separate national clouds, isn't supported.

Supporto per la gestione risorse delegate di AzureSupport for Azure delegated resource management

Per assistenza relativa alla gestione risorse delegate di Azure, è possibile aprire una richiesta di supporto nel portale di Azure.If you need help related to Azure delegated resource management, you can open a support request in the Azure portal. Per Tipo di problema scegliere Tecnico.For Issue type, choose Technical. Selezionare una sottoscrizione e quindi selezionare Lighthouse (in monitoraggio & gestione).Select a subscription, then select Lighthouse (under Monitoring & Management).

Passaggi successiviNext steps