Делегированное управление ресурсами AzureAzure delegated resource management

Делегированное управление ресурсами Azure — один из ключевых компонентов Azure Lighthouse.Azure delegated resource management is one of the key components of Azure Lighthouse. С помощью делегированного управления ресурсами Azure поставщики услуг могут упростить привлечение и подключение клиентов, одновременно управляя делегированными ресурсами в нужном масштабе с гибкостью и точностью.With Azure delegated resource management, service providers can simplify customer engagement and onboarding experiences, while managing delegated resources at scale with agility and precision.

Что такое делегированное управление ресурсами Azure?What is Azure delegated resource management?

Делегированное управление ресурсами Azure позволяет логически проецировать ресурсы одного арендатора на другого.Azure delegated resource management enables logical projection of resources from one tenant onto another tenant. Это позволяет полномочным пользователям в одном арендаторе Azure Active Directory (Azure AD) выполнять операции управления различными арендаторами Azure AD, принадлежащим их клиентам.This lets authorized users in one Azure Active Directory (Azure AD) tenant perform management operations across different Azure AD tenants belonging to their customers. Поставщики услуг могут войти в свой собственный арендатор Azure AD и иметь полномочия для работы с делегированными подписками клиентов и группами ресурсов.Service providers can sign in to their own Azure AD tenant and have authorization to work in delegated customer subscriptions and resource groups. Это позволяет им выполнять операции управления от имени своих клиентов без необходимости входить в систему каждого отдельного арендатора клиента.This lets them perform management operations on behalf of their customers, without having to sign in to each individual customer tenant.

Примечание

Делегированное управление ресурсами Azure также можно использовать на предприятии с несколькими собственными арендаторами Azure AD, чтобы упростить управление ими.Azure delegated resource management can also be used within an enterprise which has multiple Azure AD tenants of its own to simplify cross-tenant management.

Благодаря делегированному управлению ресурсами Azure полномочные пользователи могут работать напрямую с подпиской клиента, не имея учетной записи в арендаторе этого клиента или не являясь его совладельцем.With Azure delegated resource management, authorized users can work directly in the context of a customer subscription without having an account in that customer's tenant or being a co-owner of the customer's tenant. Они также могут просматривать все делегированные подписки клиентов и управлять ими на новой странице Мои клиенты на портале Azure.They can also view and manage all delegated customer subscriptions in the new My customers page in the Azure portal.

Возможности управления разными арендаторами позволяют более эффективно работать со службами управления Azure, такими как Политика Azure, Центр безопасности Azure и т. д.The cross-tenant management experience helps you work more efficiently with Azure management services like Azure Policy, Azure Security Center, and more. Все действия поставщика услуг будут отслеживаться в журнале действий, который хранится в клиенте клиента (и может быть просмотрен пользователями в управляющем клиенте).All service provider activity is tracked in the activity log, which is stored in the customer's tenant (and can be viewed by users in the managing tenant). Это означает, что и клиент, и поставщик услуг могут легко определить пользователя, связанного с любыми изменениями.This means that both the customer and service provider can easily identify the user associated with any changes.

При подключении клиента к управлению делегированными ресурсами Azure у него будет доступ к новой странице поставщиков услуг на портал Azure, где они могут подтвердить свои предложения, поставщиков услуг и делегированные ресурсы и управлять ими.When you onboard a customer to Azure delegated resource management, they'll have access to the new Service providers page in the Azure portal, where they can confirm and manage their offers, service providers, and delegated resources. Если клиент захочет в будущем отозвать доступ у поставщика услуг, он может сделать это здесь в любое время.If the customer ever wants to revoke access for a service provider, they can do so here at any time.

Вы можете опубликовать новый тип предложения управляемой службы в Azure Marketplace , чтобы легко подключить клиентов к управлению делегированными ресурсами Azure.You can publish the new Managed Service offer type to Azure Marketplace to easily onboard customers to Azure delegated resource management. Также можно подключать клиента к делегированному управлению ресурсами Azure.Alternatively, you can complete the onboarding process by deploying Azure Resource Manager templates.

Как работает делегированное управление ресурсами AzureHow Azure delegated resource management works

Работа делегированного управления ресурсами Azure на высоком уровне.At a high level, here's how Azure delegated resource management works:

  1. Как поставщик услуг, вы определяете доступ (роли), который понадобится группам, субъектам-службам или пользователям, чтобы управлять ресурсами клиентов Azure.As a service provider, you identify the access (roles) that your groups, service principals, or users will need to manage the customer's Azure resources. Определение доступа содержит идентификатор арендатора поставщика услуг, а также требуемый доступ для предложения, определяемый с помощью удостоверений арендатора PrincipalId, которые сопоставляются со встроенными значениямиroleDefinition (участник, участник виртуальной машины, читатель и т. д.).The access definition contains the service provider's tenant ID along with the required access for the offer, defined using principalId identities from your tenant mapped to built-in roleDefinition values (Contributor, VM Contributor, Reader, etc.).
  2. Вы указываете этот доступ и подключаете клиента к делегированному управлению ресурсами Azure с помощью одного из двух способов.You specify this access and onboard the customer to Azure delegated resource management in one of two ways:
  3. После того, как клиент был загружен, полномочные пользователи могут войти в систему своего арендатора поставщика услуг и выполнять задачи управления в заданной области клиента, основываясь на определенном вами доступе.Once the customer has been onboarded, authorized users can sign in to your service provider tenant and perform management tasks at the given customer scope, based on the access that you defined.

Примечание

Делегирование подписки между двумя клиентами в разных облаках не поддерживается.Delegation of a subscription between two tenants across separate clouds is not supported.

Поддержка делегированного управления ресурсами AzureSupport for Azure delegated resource management

Если вам нужна помощь, связанная с делегированным управлением ресурсами Azure, можете подать запрос в службу поддержки на портале Azure.If you need help related to Azure delegated resource management, you can open a support request in the Azure portal. Тип проблемы укажите как Техническая проблема.For Issue type, choose Technical. Выберите подписку, а затем выберите лигхсаусе (в разделе мониторинг & управление).Select a subscription, then select Lighthouse (under Monitoring & Management).

Дальнейшие действияNext steps