Gestione risorse delegate di AzureAzure delegated resource management

La gestione risorse delegate di Azure è uno dei componenti principali di Azure Lighthouse.Azure delegated resource management is one of the key components of Azure Lighthouse. Con la gestione risorse delegate di Azure, i provider di servizi possono semplificare le esperienze di engagement e onboarding dei clienti, gestendo al contempo le risorse delegate su larga scala con agilità e precisione.With Azure delegated resource management, service providers can simplify customer engagement and onboarding experiences, while managing delegated resources at scale with agility and precision.

Informazioni sulla gestione risorse delegate di AzureWhat is Azure delegated resource management?

La gestione risorse delegate di Azure consente la proiezione logica delle risorse da un tenant a un altro.Azure delegated resource management enables logical projection of resources from one tenant onto another tenant. Questo consente agli utenti autorizzati di un tenant di Azure Active Directory (Azure AD) di eseguire operazioni di gestione su tenant di Azure AD diversi appartenenti ai clienti.This lets authorized users in one Azure Active Directory (Azure AD) tenant perform management operations across different Azure AD tenants belonging to their customers. I provider di servizi possono accedere al proprio tenant di Azure AD e avere l'autorizzazione per lavorare nelle sottoscrizioni e nei gruppi di risorse delegati dei clienti.Service providers can sign in to their own Azure AD tenant and have authorization to work in delegated customer subscriptions and resource groups. In questo modo possono eseguire operazioni di gestione per conto dei clienti, senza dover accedere al tenant di ogni singolo cliente.This lets them perform management operations on behalf of their customers, without having to sign in to each individual customer tenant.

Nota

La gestione risorse delegate di Azure può essere usata anche all'interno di un'azienda con più tenant di Azure AD propri per semplificare la gestione tra tenant.Azure delegated resource management can also be used within an enterprise which has multiple Azure AD tenants of its own to simplify cross-tenant management.

Con la gestione risorse delegate di Azure, gli utenti autorizzati possono lavorare direttamente nel contesto della sottoscrizione di un cliente senza avere un account nel tenant di tale cliente o essere comproprietario del tenant del cliente.With Azure delegated resource management, authorized users can work directly in the context of a customer subscription without having an account in that customer's tenant or being a co-owner of the customer's tenant. Possono anche visualizzare e gestire tutte le sottoscrizioni delegate dei clienti nella nuova pagina Clienti personali del portale di Azure.They can also view and manage all delegated customer subscriptions in the new My customers page in the Azure portal.

L'esperienza di gestione tra tenant consente di usare in modo più efficiente i servizi di gestione di Azure, ad esempio Criteri di Azure, Centro sicurezza di Azure e altri.The cross-tenant management experience helps you work more efficiently with Azure management services like Azure Policy, Azure Security Center, and more. Tutte le attività del provider di servizi vengono registrate nel log attività, archiviato nel tenant del cliente e può essere visualizzato dagli utenti nel tenant di gestione.All service provider activity is tracked in the activity log, which is stored in the customer's tenant (and can be viewed by users in the managing tenant). Ciò significa che sia il cliente che il provider di servizi possono identificare facilmente l'utente associato a eventuali modifiche.This means that both the customer and service provider can easily identify the user associated with any changes.

Quando si esegue l'onboarding di un cliente per la gestione delle risorse delegate di Azure, quest'entrota avrà accesso alla nuova pagina Provider di servizi nel portale di Azure, in cui potrà confermare e gestire le offerte, i provider di servizi ele risorse delegate.When you onboard a customer to Azure delegated resource management, they'll have access to the new Service providers page in the Azure portal, where they can confirm and manage their offers, service providers, and delegated resources. Se il cliente vuole revocare l'accesso per un provider di servizi, può farlo in questa pagina in qualsiasi momento.If the customer ever wants to revoke access for a service provider, they can do so here at any time.

È possibile pubblicare il nuovo tipo di offerta Del servizio gestito in Azure Marketplace per eseguire facilmente l'onboarding dei clienti alla gestione delle risorse delegate di Azure.You can publish the new Managed Service offer type to Azure Marketplace to easily onboard customers to Azure delegated resource management.You can publish the new Managed Service offer type to Azure Marketplace to easily onboard customers to Azure delegated resource management. In alternativa, è possibile completare il processo di onboarding distribuendo i modelli di Azure Resource Manager.Alternatively, you can complete the onboarding process by deploying Azure Resource Manager templates.

Come funziona la gestione risorse delegate di AzureHow Azure delegated resource management works

Di seguito viene illustrato il funzionamento generale della gestione risorse delegate di Azure:At a high level, here's how Azure delegated resource management works:

  1. Il provider di servizi identifica l'accesso (ruoli) di cui avranno bisogno i gruppi, le entità servizio o gli utenti per gestire le risorse di Azure del cliente.As a service provider, you identify the access (roles) that your groups, service principals, or users will need to manage the customer's Azure resources. La definizione dell'accesso contiene l'ID tenant del provider di servizi con l'accesso necessario per l'offerta, definito usando le identità principalId del tenant associato ai valori roleDefinition predefiniti (Collaboratore, Collaboratore macchina virtuale, Lettore e così via).The access definition contains the service provider's tenant ID along with the required access for the offer, defined using principalId identities from your tenant mapped to built-in roleDefinition values (Contributor, VM Contributor, Reader, etc.).
  2. È possibile specificare questo accesso ed eseguire l'onboarding del cliente nella gestione risorse delegate di Azure in uno dei due modi seguenti:You specify this access and onboard the customer to Azure delegated resource management in one of two ways:
  3. Dopo l'onboarding del cliente, gli utenti autorizzati possono accedere al tenant del provider di servizi ed eseguire attività di gestione nell'ambito del cliente specificato, in base all'accesso definito.Once the customer has been onboarded, authorized users can sign in to your service provider tenant and perform management tasks at the given customer scope, based on the access that you defined.

Nota

La delega di una sottoscrizione tra due tenant in cloud separati non è supportata.Delegation of a subscription between two tenants across separate clouds is not supported.

Supporto per la gestione risorse delegate di AzureSupport for Azure delegated resource management

Per assistenza relativa alla gestione risorse delegate di Azure, è possibile aprire una richiesta di supporto nel portale di Azure.If you need help related to Azure delegated resource management, you can open a support request in the Azure portal. Per Tipo di problema scegliere Tecnico.For Issue type, choose Technical. Selezionare un abbonamento, quindi selezionare Faro (in Gestione & di monitoraggio).Select a subscription, then select Lighthouse (under Monitoring & Management).

Passaggi successiviNext steps