Experiências de gestão entre inquilinosCross-tenant management experiences

Como prestador de serviços, pode utilizar o Azure Lighthouse para gerir recursos para vários clientes dentro do seu próprio inquilino Azure Ative Directory (Azure AD).As a service provider, you can use Azure Lighthouse to manage resources for multiple customers from within your own Azure Active Directory (Azure AD) tenant. Muitas tarefas e serviços podem ser realizados através de inquilinos geridos, utilizando a gestão de recursos delegada da Azure.Many tasks and services can be performed across managed tenants by using Azure delegated resource management.

Dica

A gestão de recursos delegados Azure também pode ser usada dentro de uma empresa que tem vários inquilinos AD Azure próprios para simplificar a administração de inquilinos cruzados.Azure delegated resource management can also be used within an enterprise which has multiple Azure AD tenants of its own to simplify cross-tenant administration.

Compreensão dos inquilinos e delegaçãoUnderstanding tenants and delegation

Um inquilino da AD Azure é uma representação de uma organização.An Azure AD tenant is a representation of an organization. É um caso dedicado de Azure AD que uma organização recebe quando cria uma relação com a Microsoft ao inscrever-se no Azure, Microsoft 365 ou outros serviços.It's a dedicated instance of Azure AD that an organization receives when they create a relationship with Microsoft by signing up for Azure, Microsoft 365, or other services. Cada inquilino da AD Azure é distinto e separado de outros inquilinos da AD Azure, e tem o seu próprio ID de inquilino (um GUID).Each Azure AD tenant is distinct and separate from other Azure AD tenants, and has its own tenant ID (a GUID). Para mais informações, veja o que é o Diretório Ativo Azure?For more info, see What is Azure Active Directory?

Normalmente, para gerir os recursos da Azure para um cliente, os prestadores de serviços teriam de se inscrever no portal Azure utilizando uma conta associada ao inquilino desse cliente, exigindo que um administrador no arrendatário do cliente criasse e gerisse contas de utilizador para o prestador de serviços.Typically, in order to manage Azure resources for a customer, service providers would have to sign in to the Azure portal using an account associated with that customer's tenant, requiring an administrator in the customer's tenant to create and manage user accounts for the service provider.

Com o Azure Lighthouse, o processo de embarque especifica os utilizadores dentro do inquilino do prestador de serviços que poderão trabalhar em assinaturas delegadas e grupos de recursos no arrendatário do cliente.With Azure Lighthouse, the onboarding process specifies users within the service provider's tenant who will be able to work on delegated subscriptions and resource groups in the customer's tenant. Estes utilizadores podem então iniciar seduca no portal Azure usando as suas próprias credenciais.These users can then sign in to the Azure portal using their own credentials. Dentro do portal Azure, podem gerir recursos pertencentes a todos os clientes a que têm acesso.Within the Azure portal, they can manage resources belonging to all customers to which they have access. Isto pode ser feito visitando a página dos Meus clientes no portal Azure, ou trabalhando diretamente no contexto da subscrição desse cliente, seja no portal Azure ou através de APIs.This can be done by visiting the My customers page in the Azure portal, or by working directly within the context of that customer's subscription, either in the Azure portal or via APIs.

O Farol Azure permite uma maior flexibilidade na gestão de recursos para vários clientes sem ter de se inscrever em contas diferentes em diferentes inquilinos.Azure Lighthouse allows greater flexibility to manage resources for multiple customers without having to sign in to different accounts in different tenants. Por exemplo, um prestador de serviços pode ter dois clientes com responsabilidades diferentes e níveis de acesso.For example, a service provider may have two customers with different responsibilities and access levels. Utilizando o Farol Azure, os utilizadores autorizados podem inscrever-se no inquilino do prestador de serviços para aceder a estes recursos.Using Azure Lighthouse, authorized users can sign in to the service provider's tenant to access these resources.

Diagrama mostrando recursos do cliente geridos através de um inquilino prestador de serviços.

APIs e suporte de ferramentas de gestãoAPIs and management tool support

Pode executar tarefas de gestão em recursos delegados, quer diretamente no portal, quer utilizando APIs e ferramentas de gestão (como Azure CLI e Azure PowerShell).You can perform management tasks on delegated resources either directly in the portal or by using APIs and management tools (such as Azure CLI and Azure PowerShell). Todas as APIs existentes podem ser utilizadas quando trabalham com recursos delegados, desde que a funcionalidade seja suportada para a gestão de inquilinos cruzados e o utilizador tenha as permissões adequadas.All existing APIs can be used when working with delegated resources, as long as the functionality is supported for cross-tenant management and the user has the appropriate permissions.

O cmdlet Azure PowerShell Get-AzSubscription mostrará o TenantId para o inquilino gerente por padrão.The Azure PowerShell Get-AzSubscription cmdlet will show the TenantId for the managing tenant by default. Você pode usar os HomeTenantId atributos e ManagedByTenantIds atributos para cada subscrição, permitindo-lhe identificar se uma subscrição devolvida pertence a um inquilino gerido ou ao seu inquilino gerente.You can use the HomeTenantId and ManagedByTenantIds attributes for each subscription, allowing you to identify whether a returned subscription belongs to a managed tenant or to your managing tenant.

Da mesma forma, os comandos Azure CLI, como a lista de conta az, mostram os homeTenantId atributos e managedByTenants atributos.Similarly, Azure CLI commands such as az account list show the homeTenantId and managedByTenants attributes. Se não vir estes valores ao utilizar o Azure CLI, tente limpar o cache correndo az account clear seguido por az login --identity .If you don't see these values when using Azure CLI, try clearing your cache by running az account clear followed by az login --identity.

Na API Azure REST, as Assinaturas - Obter e Assinaturas - Os comandos da lista incluem ManagedByTenant .In the Azure REST API, the Subscriptions - Get and Subscriptions - List commands include ManagedByTenant.

Nota

Para além das informações dos inquilinos relacionadas com o Farol de Azure, os inquilinos apresentados por estas APIs podem também refletir os inquilinos parceiros para os pedidos geridos pela Azure Databricks ou para a Azure.In addition to tenant information related to Azure Lighthouse, tenants shown by these APIs may also reflect partner tenants for Azure Databricks or Azure managed applications.

Também fornecemos APIs que são específicas para executar tarefas do Farol Azure.We also provide APIs that are specific to performing Azure Lighthouse tasks. Para mais informações, consulte a secção Referência.For more info, see the Reference section.

Serviços e cenários melhoradosEnhanced services and scenarios

A maioria das tarefas e serviços pode ser realizada em recursos delegados entre inquilinos geridos.Most tasks and services can be performed on delegated resources across managed tenants. Abaixo estão alguns dos cenários-chave onde a gestão inter-inquilino pode ser especialmente eficaz.Below are some of the key scenarios where cross-tenant management can be especially effective.

Arco azul:Azure Arc:

Azure Automation:Azure Automation:

  • Utilizar contas de automação para aceder e trabalhar com recursos delegadosUse Automation accounts to access and work with delegated resources

Azure Backup:Azure Backup:

Plantas Azure:Azure Blueprints:

  • Utilize plantas Azure para orquestrar a implementação de modelos de recursos e outros artefactos (requer acesso adicional para preparar a subscrição do cliente)Use Azure Blueprints to orchestrate the deployment of resource templates and other artifacts (requires additional access to prepare the customer subscription)

Gestão de Custos Azure + Faturação:Azure Cost Management + Billing:

  • A partir do inquilino gerente, os parceiros da CSP podem ver, gerir e analisar os custos de consumo antes de impostos (não incluindo as compras) para clientes que estão ao abrigo do plano Azure.From the managing tenant, CSP partners can view, manage, and analyze pre-tax consumption costs (not inclusive of purchases) for customers who are under the Azure plan. O custo basear-se-á nas tarifas de retalho e no acesso ao controlo de acesso baseado em funções (Azure RBAC) que o parceiro tem para a subscrição do cliente.The cost will be based on retail rates and the Azure role-based access control (Azure RBAC) access that the partner has for the customer's subscription. Atualmente, você pode ver os custos de consumo a taxas de retalho para cada subscrição de clientes individuais com base no acesso Azure RBAC.Currently, you can view consumption costs at retail rates for each individual customer subscription based on Azure RBAC access.

Cofre da Chave Azure:Azure Key Vault:

  • Criar cofres chave em inquilinos de clientesCreate Key Vaults in customer tenants
  • Use uma identidade gerida para criar Cofres Chave em inquilinos de clientesUse a managed identity to create Key Vaults in customer tenants

Serviço Azure Kubernetes (AKS):Azure Kubernetes Service (AKS):

  • Gerir ambientes kubernetes hospedados e implementar e gerir aplicações contentorizadas dentro dos inquilinos dos clientesManage hosted Kubernetes environments and deploy and manage containerized applications within customer tenants
  • Implementar e gerir clusters em inquilinos de clientesDeploy and manage clusters in customer tenants
  • Utilize o Azure Monitor para contentores para monitorizar o desempenho entre os inquilinos do clienteUse Azure Monitor for containers to monitor performance across customer tenants

Azure Migrate:Azure Migrate:

  • Crie projetos de migração no inquilino do cliente e migrar VMsCreate migration projects in the customer tenant and migrate VMs

Monitor Azure:Azure Monitor:

Rede Azure:Azure Networking:

Política de Azure:Azure Policy:

  • Criar e editar definições de políticas dentro de subscrições delegadasCreate and edit policy definitions within delegated subscriptions
  • Implementar definições políticas e atribuições políticas em vários inquilinosDeploy policy definitions and policy assignments across multiple tenants
  • Atribuir definições de política definidas pelo cliente dentro de subscrições delegadasAssign customer-defined policy definitions within delegated subscriptions
  • Os clientes vêem políticas da autoria do prestador de serviços ao lado de quaisquer políticas que tenham sido autoresCustomers see policies authored by the service provider alongside any policies they've authored themselves
  • Pode remediar o implementaçãoIfNotExists ou modificar atribuições dentro do inquilino geridoCan remediate deployIfNotExists or modify assignments within the managed tenant
  • Note que a visualização de detalhes de conformidade para recursos não conformes em inquilinos de clientes não é atualmente suportadaNote that viewing compliance details for non-compliant resources in customer tenants is not currently supported

Gráfico de recursos Azure:Azure Resource Graph:

  • Agora inclui o ID do inquilino em resultados de consulta devolvido, permitindo-lhe identificar se uma subscrição pertence a um inquilino geridoNow includes the tenant ID in returned query results, allowing you to identify whether a subscription belongs to a managed tenant

Centro de Segurança Azure:Azure Security Center:

  • Visibilidade inter-inquilinoCross-tenant visibility
    • Monitorizar o cumprimento das políticas de segurança e garantir a cobertura de segurança em todos os recursos dos inquilinosMonitor compliance to security policies and ensure security coverage across all tenants' resources
    • Monitorização contínua da conformidade regulamentar em vários inquilinos numa única vistaContinuous regulatory compliance monitoring across multiple tenants in a single view
    • Monitor, triagem e priorização de recomendações de segurança accitivas com cálculo de pontuação seguraMonitor, triage, and prioritize actionable security recommendations with secure score calculation
  • Gestão da postura de segurança de inquilinos cruzadosCross-tenant security posture management
    • Manage security policies (Gerir políticas de segurança)Manage security policies
    • Tomar medidas sobre recursos que estão fora do cumprimento de recomendações de segurança accitóriasTake action on resources that are out of compliance with actionable security recommendations
    • Recolher e armazenar dados relacionados com a segurançaCollect and store security-related data
  • Deteção e proteção de ameaças de inquilinos cruzadosCross-tenant threat detection and protection
    • Detetar ameaças através dos recursos dos inquilinosDetect threats across tenants' resources
    • Aplicar controlos avançados de proteção contra ameaças, tais como acesso vm just-in-time (JIT)Apply advanced threat protection controls such as just-in-time (JIT) VM access
    • Configuração do grupo de segurança de rede Harden com Endurecimento da Rede AdaptiveHarden network security group configuration with Adaptive Network Hardening
    • Garantir que os servidores estão a executar apenas as aplicações e processos que devem estar com controlos de aplicações adaptativosEnsure servers are running only the applications and processes they should be with adaptive application controls
    • Monitorize alterações em ficheiros importantes e entradas de registo com Monitorização da Integridade do Ficheiro (FIM)Monitor changes to important files and registry entries with File Integrity Monitoring (FIM)
  • Note que a subscrição total deve ser delegada ao arrendatário gestor; Os cenários do Centro de Segurança Azure não são suportados com grupos de recursos delegadosNote that the entire subscription must be delegated to the managing tenant; Azure Security Center scenarios are not supported with delegated resource groups

Sentinela Azure:Azure Sentinel:

Saúde do Serviço Azure:Azure Service Health:

  • Monitorize a saúde dos recursos dos clientes com a Azure Resource HealthMonitor the health of customer resources with Azure Resource Health
  • Acompanhe a saúde dos serviços Azure utilizados pelos seus clientesTrack the health of the Azure services used by your customers

Recuperação do local de Azure:Azure Site Recovery:

  • Gerir opções de recuperação de desastres para máquinas virtuais Azure em inquilinos de clientes (note que não pode usar RunAs contas para copiar extensões VM)Manage disaster recovery options for Azure virtual machines in customer tenants (note that you can't use RunAs accounts to copy VM extensions)

Máquinas Virtuais Azure:Azure Virtual Machines:

  • Utilize extensões de máquinas virtuais para fornecer tarefas de configuração e automatização pós-implantação em VMs AzureUse virtual machine extensions to provide post-deployment configuration and automation tasks on Azure VMs
  • Use diagnósticos de arranque para resolver problemas Azure VMsUse boot diagnostics to troubleshoot Azure VMs
  • Acesso VMs com consola em sérieAccess VMs with serial console
  • Integre VMs com Azure Key Vault para senhas, segredos ou chaves criptográficas para encriptação de discos utilizando a identidade gerida através da política,garantindo que os segredos são armazenados num Cofre-Chave nos inquilinos geridosIntegrate VMs with Azure Key Vault for passwords, secrets, or cryptographic keys for disk encryption by using managed identity through policy, ensuring that secrets are stored in a Key Vault in the managed tenants
  • Note que não pode usar o Azure Ative Directory para login remoto em VMsNote that you can't use Azure Active Directory for remote login to VMs

Pedidos de apoio:Support requests:

Limitações atuaisCurrent limitations

Com todos os cenários, esteja atento às seguintes limitações atuais:With all scenarios, please be aware of the following current limitations:

  • Os pedidos tratados pelo Azure Resource Manager podem ser realizados através do Farol Azure.Requests handled by Azure Resource Manager can be performed using Azure Lighthouse. A operação URIs para estes pedidos começa com https://management.azure.com .The operation URIs for these requests start with https://management.azure.com. No entanto, os pedidos que são tratados por um tipo de recurso (como o acesso de segredos do Cofre chave ou o acesso a dados de armazenamento) não são suportados com o Farol de Azure.However, requests that are handled by an instance of a resource type (such as Key Vault secrets access or storage data access) aren't supported with Azure Lighthouse. A operação URIs para estes pedidos normalmente começa com um endereço exclusivo do seu caso, como https://myaccount.blob.core.windows.net ou https://mykeyvault.vault.azure.net/ .The operation URIs for these requests typically start with an address that is unique to your instance, such as https://myaccount.blob.core.windows.net or https://mykeyvault.vault.azure.net/. Estes últimos são também operações de dados em vez de operações de gestão.The latter also are typically data operations rather than management operations.
  • As atribuições de funções devem utilizar funções incorporadas do Azure.Role assignments must use Azure built-in roles. Todas as funções incorporadas são atualmente suportadas com a gestão de recursos delegados da Azure, exceto para o Proprietário ou quaisquer funções incorporadas com DataActions permissão.All built-in roles are currently supported with Azure delegated resource management except for Owner or any built-in roles with DataActions permission. A função de Administrador de Acesso ao Utilizador é suportada apenas para uso limitado na atribuição de funções a identidades geridas.The User Access Administrator role is supported only for limited use in assigning roles to managed identities. As funções personalizadas e as funções clássicas de administrador de subscrição não são suportadas.Custom roles and classic subscription administrator roles are not supported.
  • Enquanto você pode a bordo subscrições que usam Azure Databricks, os utilizadores no inquilino gerente não podem lançar espaços de trabalho Azure Databricks em uma subscrição delegada neste momento.While you can onboard subscriptions that use Azure Databricks, users in the managing tenant can't launch Azure Databricks workspaces on a delegated subscription at this time.
  • Embora possa embarcar subscrições e grupos de recursos que tenham bloqueios de recursos, esses bloqueios não impedirão que as ações sejam executadas pelos utilizadores no inquilino gerente.While you can onboard subscriptions and resource groups that have resource locks, those locks will not prevent actions from being performed by users in the managing tenant. Negar atribuições que protejam os recursos geridos pelo sistema, como as criadas pela Azure ou pela Azure Blueprints (atribuições de negação atribuídas ao sistema), impedem os utilizadores do inquilino gerente de agir em função desses recursos; no entanto, neste momento, os utilizadores do inquilino do cliente não podem criar as suas próprias atribuições de negação (atribuições de negação atribuídas pelo utilizador).Deny assignments that protect system-managed resources, such as those created by Azure managed applications or Azure Blueprints (system-assigned deny assignments), do prevent users in the managing tenant from acting on those resources; however, at this time users in the customer tenant can't create their own deny assignments (user-assigned deny assignments).
  • A delegação de assinaturas através de uma nuvem nacional e da nuvem pública de Azure, ou através de duas nuvens nacionais separadas, não é apoiada.Delegation of subscriptions across a national cloud and the Azure public cloud, or across two separate national clouds, is not supported.

Passos seguintesNext steps