Beheerervaring in meerdere tenants

  • Artikel
  • 9 minuten om te lezen

Als serviceprovider kunt u Azure Lighthouse gebruiken voor het beheren van resources voor meerdere klanten vanuit uw eigen Azure Active Directory (Azure AD)-tenant. Veel taken en services kunnen worden uitgevoerd voor beheerde tenants met behulp van gedelegeerd Azure-resourcebeheer.

Tip

Azure Lighthouse kunnen ook worden gebruikt binnen een onderneming die meerdere eigen Azure AD-tenants heeft om het beheer tussen tenants te vereenvoudigen.

Informatie over tenants en delegering

Een Azure AD-tenant is een weergave van een organisatie. Het is een toegewezen exemplaar van Azure AD dat een organisatie ontvangt wanneer ze een relatie met Microsoft maken door zich te registreren voor Azure, Microsoft 365 of andere services. Elke Azure AD-tenant is verschillend en gescheiden van andere Azure AD-tenants en heeft een eigen tenant-id (een GUID). Zie Wat is Azure Active Directory? voor meer Azure Active Directory.

Normaal gesproken moeten serviceproviders zich voor het beheren van Azure-resources voor een klant aanmelden bij de Azure Portal met behulp van een account dat is gekoppeld aan de tenant van die klant, waardoor een beheerder in de tenant van de klant gebruikersaccounts voor de serviceprovider moet maken en beheren.

Met Azure Lighthouse geeft het onboardingproces gebruikers binnen de tenant van de serviceprovider op die kunnen werken aan gedelegeerde abonnementen en resourcegroepen in de tenant van de klant. Deze gebruikers kunnen zich vervolgens aanmelden bij de Azure Portal met hun eigen referenties. Binnen de Azure Portal kunnen ze resources beheren die horen bij alle klanten waarvoor ze toegang hebben. U kunt dit doen door naar de pagina Mijn klanten in de Azure Portal te gaan of door rechtstreeks binnen de context van het abonnement van die klant te werken, in de Azure Portal of via API's.

Azure Lighthouse biedt meer flexibiliteit voor het beheren van resources voor meerdere klanten zonder dat u zich bij verschillende accounts in verschillende tenants moet aanmelden. Een serviceprovider kan bijvoorbeeld twee klanten hebben met verschillende verantwoordelijkheden en toegangsniveaus. Met Azure Lighthouse kunnen gemachtigde gebruikers zich aanmelden bij de tenant van de serviceprovider voor toegang tot deze resources.

Diagram met klantbronnen die worden beheerd via één serviceprovider-tenant.

Ondersteuning voor API's en beheerprogramma's

U kunt beheertaken uitvoeren op gedelegeerde resources rechtstreeks in de portal of met behulp van API's en beheerhulpprogramma's (zoals Azure CLI en Azure PowerShell). Alle bestaande API's kunnen worden gebruikt bij het werken met gedelegeerde resources, zolang de functionaliteit wordt ondersteund voor beheer tussen tenants en de gebruiker over de juiste machtigingen beschikt.

De Azure PowerShell cmdlet Get-AzSubscription toont standaard de voor TenantId de beherende tenant. U kunt de kenmerken en voor elk abonnement gebruiken, zodat u kunt bepalen of een geretourneerd abonnement bij een beheerde tenant hoort of bij uw HomeTenantId ManagedByTenantIds beherende tenant.

Op dezelfde manier worden de kenmerken en weergegeven in Azure CLI-opdrachten zoals az account homeTenantId managedByTenants list. Als u deze waarden niet ziet wanneer u Azure CLI gebruikt, probeert u de cache te wissen door uit te gaan az account clear gevolgd door az login --identity .

In de Azure REST API bevatten de opdrachten Abonnementen - Get en Abonnementen - ManagedByTenant Lijst.

Notitie

Naast tenantgegevens met betrekking tot Azure Lighthouse, kunnen tenants die worden weergegeven door deze API's ook partnerten tenants voor Azure Databricks of door Azure beheerde toepassingen weerspiegelen.

We bieden ook API's die specifiek zijn voor het uitvoeren van Azure Lighthouse taken. Zie de sectie Referentie voor meer informatie.

Verbeterde services en scenario's

De meeste taken en services kunnen worden uitgevoerd op gedelegeerde resources in beheerde tenants. Hieronder vindt u enkele van de belangrijkste scenario's waarin beheer tussen tenants met name effectief kan zijn.

Azure Arc:

Azure Automation:

  • Automation-accounts gebruiken voor toegang tot en werken met gedelegeerde resources

Azure Backup:

  • Back-up en herstel van klantgegevens van on-premises workloads, Azure-VM's, Azure-bestands shares en meer
  • Gegevens weergeven voor alle gedelegeerde klantbronnen in Het Back-upcentrum
  • Gebruik de Back-upverkenner om operationele informatie weer te geven van back-upitems (inclusief Azure-resources die nog niet zijn geconfigureerd voor back-up) en bewakingsinformatie (taken en waarschuwingen) voor gedelegeerde abonnementen. De Back-upverkenner is momenteel alleen beschikbaar voor Azure VM-gegevens.
  • Gebruik Back-uprapporten gedelegeerde abonnementen om historische trends bij te houden, het verbruik van back-upopslag te analyseren en back-ups en herstel te controleren.

Azure Blueprints:

  • Gebruik Azure Blueprints om de implementatie van resourcesjablonen en andere artefacten te beheren (hiervoor is extra toegang vereist om het klantabonnement voor te bereiden)

Azure Cost Management + Billing:

  • Vanuit de beherende tenant kunnen CSP-partners verbruikskosten vóór belasting bekijken, beheren en analyseren (niet inclusief aankopen) voor klanten die onder het Azure-plan vallen. De kosten worden gebaseerd op de detailhandelstarieven en de op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) die de partner heeft voor het abonnement van de klant. Op dit moment kunt u de verbruikskosten bekijken tegen retailtarieven voor elk afzonderlijk klantabonnement op basis van Azure RBAC-toegang.

Azure Key Vault:

  • Key Vaults maken in tenants van klanten
  • Een beheerde identiteit gebruiken om sleutelkluizen te maken in tenants van klanten

Azure Kubernetes Service (AKS):

  • Gehoste Kubernetes-omgevingen beheren en toepassingen in containers implementeren en beheren in tenants van klanten
  • Clusters implementeren en beheren in tenants van klanten
  • Gebruik Azure Monitor containers om de prestaties van tenants van klanten te bewaken

Azure Migrate:

  • Migratieprojecten maken in de tenant van de klant en VM's migreren

Azure Monitor:

  • Waarschuwingen weergeven voor gedelegeerde abonnementen, met de mogelijkheid om waarschuwingen voor alle abonnementen weer te geven en te vernieuwen
  • Details van activiteitenlogboek weergeven voor gedelegeerde abonnementen
  • Log Analytics:query's uitvoeren op gegevens van externe werkruimten in meerdere tenants (automation-accounts die worden gebruikt voor toegang tot gegevens uit werkruimten in tenants van klanten, moeten in dezelfde tenant worden gemaakt)
  • Metrische waarschuwingen, logboekwaarschuwingenen waarschuwingen voor activiteitenlogboek maken,weergeven en beheren in tenants van klanten
  • Waarschuwingen maken in tenants van klanten die automatisering activeren, zoals Azure Automation runbooks of Azure Functions, in de beherende tenant via webhooks
  • Diagnostische instellingen maken in werkruimten die zijn gemaakt in tenants van klanten, om resourcelogboeken te verzenden naar werkruimten in de beherende tenant
  • Voor SAP-workloads controleert u de metrische gegevens van SAP Solutions met een geaggregeerde weergave voor tenants van klanten
  • Voor Azure AD B2C routeert u aanmeldings- en controlelogboeken naar verschillende bewakingsoplossingen

Azure-netwerken:

Azure Policy:

  • Beleidsdefinities binnen gedelegeerde abonnementen maken en bewerken
  • Beleidsdefinities en beleidstoewijzingen implementeren in meerdere tenants
  • Door de klant gedefinieerde beleidsdefinities toewijzen binnen gedelegeerde abonnementen
  • Klanten zien beleidsregels die zijn geschreven door de serviceprovider naast de beleidsregels die ze zelf hebben gemaakt
  • Kan deployIfNotExists herstellen of toewijzingen wijzigen binnen de beheerde tenant
  • Houd er rekening mee dat het weergeven van nalevingsdetails voor niet-compatibele resources in tenants van klanten momenteel niet wordt ondersteund

Azure Resource Graph:

  • Bevat nu de tenant-id in de geretourneerde queryresultaten, zodat u kunt identificeren of een abonnement tot een beheerde tenant behoort

Azure Service Health:

  • De status van klantbronnen bewaken met Azure Resource Health
  • De status bijhouden van de Azure-services die door uw klanten worden gebruikt

Azure Site Recovery:

  • Opties voor herstel na noodherstel beheren voor virtuele Azure-machines in tenants van klanten (houd er rekening mee dat u geen accounts kunt gebruiken om RunAs VM-extensies te kopiëren)

Azure Virtual Machines:

  • Extensies van virtuele machines gebruiken om configuratie- en automatiseringstaken na de implementatie te bieden op Azure-VM's
  • Diagnostische gegevens over opstarten gebruiken om problemen met Azure-VM's op te lossen
  • Toegang tot VM's met seriële console
  • VM's integreren met Azure Key Vault voor wachtwoorden, geheimen of cryptografische sleutels voor schijfversleuteling met behulp van beheerde identiteit via beleid ,om ervoor te zorgen dat geheimen worden opgeslagen in een Key Vault in de beheerde tenants
  • Houd er rekening mee dat u geen toegangsgegevens Azure Active Directory voor externe aanmelding bij VM's

Microsoft Defender for Cloud:

  • Zichtbaarheid voor alle tenants
    • Naleving van beveiligingsbeleid bewaken en beveiligingsdekking garanderen voor alle resources van alle tenants
    • Continue bewaking van naleving van regelgeving voor meerdere tenants in één weergave
    • Beveilig, triageer en prioriteer actiebare beveiligingsaanbevelingen met berekening van de beveiligingsscore
  • Beheer van beveiligingsstatussen voor alle tenants
    • Beveiligingsbeleid beheren
    • Actie ondernemen op resources die niet voldoen aan de beveiligingsaanbevelingen die kunnen worden uitgevoerd
    • Beveiligingsgegevens verzamelen en opslaan
  • Detectie en beveiliging van bedreigingen tussen tenants
    • Bedreigingen in de resources van tenants detecteren
    • Geavanceerde beveiliging tegen bedreigingen toepassen, zoals JIT-toegang (Just-In-Time)
    • De configuratie van netwerkbeveiligingsgroep verbeteren met adaptieve netwerkbeveiliging
    • Zorg ervoor dat op servers alleen de toepassingen en processen worden uitgevoerd die moeten worden uitgevoerd met adaptieve toepassingsregelaars
    • Wijzigingen in belangrijke bestanden en registergegevens bewaken met FIM (File Integrity Monitoring)
  • Houd er rekening mee dat het hele abonnement moet worden gedelegeerd aan de beherende tenant; Microsoft Defender voor cloudscenario's worden niet ondersteund met gedelegeerde resourcegroepen

Microsoft Sentinel:

Ondersteuningsaanvragen:

Huidige beperkingen

Houd bij alle scenario's rekening met de volgende huidige beperkingen:

  • Aanvragen die door Azure Resource Manager worden verwerkt, kunnen worden uitgevoerd met Azure Lighthouse. De bewerkings-URI's voor deze aanvragen beginnen met https://management.azure.com . Aanvragen die worden verwerkt door een exemplaar van een resourcetype (zoals toegang tot Key Vault-geheimen of toegang tot opslaggegevens) worden echter niet ondersteund met Azure Lighthouse. De bewerkings-URI's voor deze aanvragen beginnen meestal met een adres dat uniek is voor uw exemplaar, zoals https://myaccount.blob.core.windows.net of https://mykeyvault.vault.azure.net/ . De laatste zijn doorgaans ook gegevensbewerkingen in plaats van beheerbewerkingen.
  • Roltoewijzingen moeten gebruikmaken van ingebouwde Azure-rollen. Alle ingebouwde rollen worden momenteel ondersteund met Azure Lighthouse, met uitzondering van Eigenaar of ingebouwde rollen met DataActions machtigingen. De rol Gebruikerstoegangbeheerder wordt alleen ondersteund voor beperkt gebruik bij het toewijzen van rollen aan beheerde identiteiten. Aangepaste rollen en klassieke abonnementsbeheerdersrollen worden niet ondersteund.
  • Hoewel u abonnementen kunt onboarden die gebruikmaken van Azure Databricks, kunnen gebruikers in de beherende tenant op dit moment Azure Databricks-werkruimten in een gedelegeerd abonnement niet starten.
  • Hoewel u abonnementen en resourcegroepen met resourcevergrendelingen kunt onboarden, verhinderen deze vergrendelingen niet dat acties worden uitgevoerd door gebruikers in de beherende tenant. Toewijzingen weigeren die door het systeem beheerde resources beveiligen, zoals resources die zijn gemaakt door azure beheerde toepassingen of Azure Blueprints (door het systeem toegewezen toewijzingen voor weigeren), verhinderen dat gebruikers in de beherende tenant op deze resources kunnen handelen; Op dit moment kunnen gebruikers in de tenant van de klant echter geen eigen toewijzingen voor weigeren maken (door de gebruiker toegewezen toewijzingen voor weigeren).
  • Delegering van abonnementen in een nationale cloud en de openbare Azure-cloud, of in twee afzonderlijke nationale clouds, wordt niet ondersteund.

Volgende stappen