Azure Lighthouse in scenari aziendali

  • Articolo

Uno scenario comune per Azure Lighthouse prevede un provider di servizi che gestisce le risorse nei tenant Microsoft Entra dei clienti. Le funzionalità di Azure Lighthouse possono essere usate anche per semplificare la gestione tra tenant all'interno di un'azienda che usa più tenant di Microsoft Entra.

Tenant singolo o più tenant

Per la maggior parte delle organizzazioni, la gestione è più semplice con un singolo tenant di Microsoft Entra. L'inclusione di tutte le risorse in un tenant consente la centralizzazione delle attività di gestione da parte di entità servizio, gruppi di utenti o utenti designati all'interno di tale tenant. Quando possibile, è consigliabile usare un unico tenant per l'organizzazione.

Alcune organizzazioni potrebbero dover usare più tenant di Microsoft Entra. Potrebbe trattarsi di una situazione temporanea, come quando sono state effettuate acquisizioni e non è stata ancora definita una strategia di consolidamento dei tenant a lungo termine. Altre volte, le organizzazioni potrebbero dover gestire più tenant in modo continuativo a causa di filiali completamente indipendenti, requisiti geografici o legali o altre considerazioni.

Nei casi in cui è necessaria un'architettura multi-tenant, Azure Lighthouse consente di centralizzare e semplificare le operazioni di gestione. Usando Azure Lighthouse, gli utenti in un tenant di gestione possono eseguire funzioni di gestione tra tenant in modo centralizzato e scalabile.

Architettura di gestione dei tenant

Per usare Azure Lighthouse in un'azienda, è necessario determinare quale tenant includerà gli utenti che eseguono operazioni di gestione sugli altri tenant. In altre parole, sarà necessario designare un tenant come tenant di gestione per gli altri tenant.

Si supponga, ad esempio, che l'organizzazione abbia un singolo tenant che chiameremo Tenant A. L'organizzazione acquisisce quindi tenant B e Tenant C e si hanno motivi aziendali che richiedono di gestirli come tenant separati. Tuttavia, si vogliono usare le stesse definizioni di criteri, procedure di backup e processi di sicurezza per tutti, con le attività di gestione eseguite dallo stesso set di utenti.

Poiché il tenant A include già gli utenti dell'organizzazione che hanno eseguito tali attività per il tenant A, è possibile eseguire l'onboarding delle sottoscrizioni all'interno del tenant B e del tenant C, che consente agli stessi utenti nel tenant A di eseguire tali attività in tutti i tenant.

Diagram showing users in Tenant A managing resources in Tenant B and Tenant C.

Considerazioni sulla sicurezza e sull'accesso

Nella maggior parte degli scenari aziendali si vuole delegare una sottoscrizione completa ad Azure Lighthouse. È anche possibile scegliere di delegare solo gruppi di risorse specifici all'interno di una sottoscrizione.

In entrambi i casi, assicurarsi di seguire il principio dei privilegi minimi quando si definisce quali utenti avranno accesso alle risorse delegate. Questo garantisce che gli utenti abbiano solo le autorizzazioni necessarie per eseguire le attività richieste e riduce la probabilità di errori accidentali.

Azure Lighthouse fornisce solo collegamenti logici tra un tenant di gestione e i tenant gestiti, anziché spostare fisicamente dati o risorse. L'accesso, inoltre, viene sempre eseguito in una sola direzione, dal tenant di gestione a quelli gestiti. Gli utenti e i gruppi nel tenant di gestione devono continuare a usare l'autenticazione a più fattori durante l'esecuzione di operazioni di gestione sulle risorse del tenant gestito.

Le aziende con tutele interne o esterne per la governance e la conformità possono usare i log attività di Azure per soddisfarne i requisiti di trasparenza. Quando i tenant aziendali hanno stabilito relazioni di gestione e tenant gestiti, gli utenti in ogni tenant possono visualizzare le attività registrate per visualizzare le azioni eseguite dagli utenti nel tenant di gestione.

Considerazioni sull'onboarding

Le sottoscrizioni (o i gruppi di risorse all'interno di una sottoscrizione) possono essere caricate in Azure Lighthouse distribuendo modelli di Azure Resource Manager o tramite offerte di Servizi gestiti pubblicate in Azure Marketplace.

Poiché gli utenti aziendali in genere avranno accesso diretto ai tenant dell'organizzazione e non è necessario commercializzare o promuovere un'offerta di gestione, in genere è più veloce e più semplice distribuire modelli di Azure Resource Manager. Anche se il materiale sussidiario per l'onboarding si riferisce a provider di servizi e clienti, le aziende possono usare gli stessi processi per eseguire l'onboarding dei tenant.

Se si preferisce, è possibile eseguire l'onboarding dei tenant in un'azienda pubblicando un'offerta di servizi gestiti in Azure Marketplace. Affinché l'offerta sia disponibile solo per i tenant appropriati, assicurarsi che i piani siano contrassegnati come privati. Con un piano privato, si forniscono gli ID sottoscrizione per ogni tenant di cui si prevede di eseguire l'onboarding e nessun altro sarà in grado di ottenere l'offerta.

Azure AD B2C

Azure Active Directory B2C (Azure AD B2C) fornisce un'identità business-to-customer come servizio. Quando si delega un gruppo di risorse tramite Azure Lighthouse, è possibile usare Monitoraggio di Azure per instradare l'accesso e il controllo di Azure Active Directory B2C (Azure AD B2C) a diverse soluzioni di monitoraggio. È possibile conservare i log per l'uso a lungo termine o integrarsi con strumenti siem (Security Information and Event Management) di terze parti per ottenere informazioni dettagliate sull'ambiente.

Per altre informazioni, vedere Monitorare Azure AD B2C con Monitoraggio di Azure.

Note sulla terminologia

Per la gestione tra tenant all'interno dell'organizzazione, i riferimenti ai provider di servizi nella documentazione di Azure Lighthouse possono essere riconosciuti per l'applicazione al tenant di gestione all'interno di un'organizzazione, ovvero il tenant che include gli utenti che gestiranno le risorse in altri tenant tramite Azure Lighthouse. Analogamente, tutti i riferimenti ai clienti possono essere considerati applicabili ai tenant che delegano le risorse da gestire tramite gli utenti nel tenant di gestione.

Nell'esempio descritto in precedenza, Tenant A può essere considerato come il tenant del provider di servizi (tenant di gestione) e Tenant B e Tenant C possono essere considerati come i tenant dei clienti.

Continuando con questo esempio, gli utenti tenant A con le autorizzazioni appropriate possono visualizzare e gestire le risorse delegate nella pagina Clienti personali del portale di Azure. Analogamente, gli utenti di Tenant B e Tenant C con le autorizzazioni appropriate possono visualizzare e gestire le risorse che sono state delegate a Tenant A nella pagina Provider di servizi del portale di Azure.

Passaggi successivi