Gerenciamento de recursos delegados do AzureAzure delegated resource management

O gerenciamento de recursos delegado do Azure é um dos principais componentes do Azure Lighthouse.Azure delegated resource management is one of the key components of Azure Lighthouse. Com o gerenciamento de recursos delegados do Azure, os provedores de serviços podem simplificar as experiências de envolvimento e de integração do cliente e gerenciar recursos delegados em escala com agilidade e precisão.With Azure delegated resource management, service providers can simplify customer engagement and onboarding experiences, while managing delegated resources at scale with agility and precision. Os clientes mantêm o controle sobre quais provedores de serviço podem acessar seus locatários, os clientes mantêm o controle sobre quem pode acessar seu locatário, quais recursos eles podem acessar e quais ações podem ser executadas.Customers maintain control over which service providers can access their tenant, Customers maintain control over who can access their tenant, what resources they can access, and what actions can be taken.

O que é gerenciamento de recursos delegados do Azure?What is Azure delegated resource management?

O gerenciamento de recursos delegados do Azure permite a projeção lógica de recursos de um locatário para outro.Azure delegated resource management enables logical projection of resources from one tenant onto another tenant. Isso permite que usuários autorizados em um locatário do Azure AD (Active Directory) realizem operações de gerenciamento em diferentes locatários do Azure AD que pertencem a seus clientes.This lets authorized users in one Azure Active Directory (Azure AD) tenant perform management operations across different Azure AD tenants belonging to their customers. Os provedores de serviços podem entrar em seu próprio locatário do Azure AD e ter autorização para trabalhar em grupos de recursos e assinaturas de clientes delegados.Service providers can sign in to their own Azure AD tenant and have authorization to work in delegated customer subscriptions and resource groups. Isso permite que eles realizem operações de gerenciamento em nome de seus clientes, sem precisar entrar em cada locatário individual do cliente.This lets them perform management operations on behalf of their customers, without having to sign in to each individual customer tenant.

Dica

O gerenciamento de recursos delegado do Azure também pode ser usado em uma empresa que tem vários locatários do Azure ad próprios para simplificar o gerenciamento entre locatários.Azure delegated resource management can also be used within an enterprise which has multiple Azure AD tenants of its own to simplify cross-tenant management.

Com o gerenciamento de recursos delegados do Azure, os usuários autorizados podem trabalhar diretamente no contexto de uma assinatura de cliente sem ter uma conta no locatário do cliente ou ser um coproprietário do locatário do cliente.With Azure delegated resource management, authorized users can work directly in the context of a customer subscription without having an account in that customer's tenant or being a co-owner of the customer's tenant.

A experiência de gerenciamento entre locatários permite que você trabalhe com mais eficiência com os serviços de gerenciamento do Azure, como Azure Policy, a central de segurança do Azure e muito mais.The cross-tenant management experience lets you work more efficiently with Azure management services like Azure Policy, Azure Security Center, and more. Todas as atividades do provedor de serviços são controladas no log de atividades, que é armazenado no locatário do cliente (e pode ser exibido por usuários no locatário de gerenciamento).All service provider activity is tracked in the activity log, which is stored in the customer's tenant (and can be viewed by users in the managing tenant). Isso significa que os usuários no gerenciamento e no locatário gerenciado podem identificar facilmente o usuário associado a quaisquer alterações.This means that users in both the managing and the managed tenant can easily identify the user associated with any changes.

Você pode publicar o novo tipo de oferta de serviço gerenciado no Azure Marketplace para integrar facilmente os clientes ao Azure Lighthouse.You can publish the new Managed Service offer type to Azure Marketplace to easily onboard customers to Azure Lighthouse. Ou será possível concluir o processo de integração implantando modelos do Azure Resource Manager.Alternatively, you can complete the onboarding process by deploying Azure Resource Manager templates.

Como o gerenciamento de recursos delegados do Azure funcionaHow Azure delegated resource management works

Em um alto nível, veja como o gerenciamento de recursos delegados do Azure funciona:At a high level, here's how Azure delegated resource management works:

  1. Primeiro, você identifica o acesso (funções) que seus grupos, entidades de serviço ou usuários precisarão gerenciar os recursos do Azure do cliente.First, you identify the access (roles) that your groups, service principals, or users will need to manage the customer's Azure resources. A definição de acesso contém a ID de locatário de gerenciamento junto com as identidades de PrincipalId do seu locatário mapeado para valores internos de RoleDefinition (colaborador, colaborador de VM, leitor, etc.).The access definition contains the managing tenant ID along with principalId identities from your tenant mapped to built-in roleDefinition values (Contributor, VM Contributor, Reader, etc.).

  2. Você especifica esse acesso e integra o cliente ao Azure Lighthouse de uma destas duas maneiras:You specify this access and onboard the customer to Azure Lighthouse in one of two ways:

  3. Depois que o cliente tiver sido integrado, os usuários autorizados poderão entrar no seu locatário de gerenciamento e executar tarefas no escopo determinado do cliente, com base no acesso que você definiu.Once the customer has been onboarded, authorized users can sign in to your managing tenant and perform tasks at the given customer scope, based on the access that you defined. Os clientes podem examinar as ações do provedor de serviços e ter a opção de remover o acesso, se necessário.Customers can review service provider actions and have the option to remove access if needed.

Observação

Você pode gerenciar recursos delegados que estão localizados em regiõesdiferentes.You can manage delegated resources that are located in different regions. No entanto, a delegação de assinaturas em uma nuvem nacional e na nuvem pública do Azure ou em duas nuvens nacionais separadas não tem suporte.However, delegation of subscriptions across a national cloud and the Azure public cloud, or across two separate national clouds, isn't supported.

Suporte para gerenciamento de recursos delegados do AzureSupport for Azure delegated resource management

Se precisar de ajuda com relação ao gerenciamento de recursos delegados do Azure, abra uma solicitação de suporte no portal do Azure.If you need help related to Azure delegated resource management, you can open a support request in the Azure portal. Para Tipo de problema, escolha Técnico.For Issue type, choose Technical. Selecione uma assinatura e, em seguida, selecione Lighthouse (em monitoramento & gerenciamento).Select a subscription, then select Lighthouse (under Monitoring & Management).

Próximas etapasNext steps