Интерфейсы управления для различных клиентовCross-tenant management experiences

Как поставщик услуг вы можете использовать Azure лигхсаусе для управления ресурсами для нескольких клиентов из собственного клиента в портал Azure.As a service provider, you can use Azure Lighthouse to manage resources for multiple customers from within your own tenant in the Azure portal. Многие задачи и службы могут выполняться в управляемых клиентах с помощью делегированного управления ресурсами Azure.Many tasks and services can be performed across managed tenants by using Azure delegated resource management.

Примечание

Делегированное управление ресурсами Azure также можно использовать на предприятии, имеющем несколько собственных арендаторов Azure AD, чтобы упростить их администрирование.Azure delegated resource management can also be used within an enterprise which has multiple Azure AD tenants of its own to simplify cross-tenant administration.

Общие сведения о клиентах пользователейUnderstanding customer tenants

В Azure Active Directory (Azure AD) клиент представляет организацию.An Azure Active Directory (Azure AD) tenant is a representation of an organization. Это выделенный экземпляр Azure AD, который организация получает при создании связи с корпорацией Майкрософт, подписавшись на Azure, Microsoft 365 или другие службы.It's a dedicated instance of Azure AD that an organization receives when they create a relationship with Microsoft by signing up for Azure, Microsoft 365, or other services. Каждый клиент Azure AD отделен от остальных клиентов Azure AD и имеет собственный идентификатор клиента (GUID).Each Azure AD tenant is distinct and separate from other Azure AD tenants, and has its own tenant ID (a GUID). Дополнительные сведения см. в статье Что такое Azure Active Directory.For more info, see What is Azure Active Directory?

Как правило, чтобы управлять ресурсами Azure для клиента, поставщики услуг должны будут входить на портал Azure, используя учетную запись, связанную с клиентом этого пользователя. При этом необходимо будет, чтобы администратор в клиенте пользователя создавал учетные записи пользователей и управлял ими для поставщика услуг.Typically, in order to manage Azure resources for a customer, service providers would have to sign in to the Azure portal using an account associated with that customer's tenant, requiring an administrator in the customer's tenant to create and manage user accounts for the service provider.

С помощью Azure Лигхсаусе процесс адаптации указывает пользователей в клиенте поставщика услуг, которые смогут работать с делегированными подписками и группами ресурсов в клиенте клиента.With Azure Lighthouse, the onboarding process specifies users within the service provider's tenant who will be able to work on delegated subscriptions and resource groups in the customer's tenant. Эти пользователи могут затем войти на портал Azure, используя собственные учетные данные.These users can then sign in to the Azure portal using their own credentials. На портале Azure они могут управлять ресурсами, принадлежащими всем клиентам, к которым у них есть доступ.Within the Azure portal, they can manage resources belonging to all customers to which they have access. Это можно сделать, посетив страницу Мои клиенты на портале Azure или работая напрямую в контексте подписки этого клиента на портале Azure или через API.This can be done by visiting the My customers page in the Azure portal, or by working directly within the context of that customer's subscription, either in the Azure portal or via APIs.

Azure Лигхсаусе обеспечивает большую гибкость в управлении ресурсами для нескольких клиентов без необходимости входить в разные учетные записи в разных клиентах.Azure Lighthouse allows greater flexibility to manage resources for multiple customers without having to sign in to different accounts in different tenants. Например, у поставщика услуг может быть два клиента с разными обязанностями и уровнями доступа.For example, a service provider may have two customers with different responsibilities and access levels. С помощью Azure Лигхсаусе полномочные пользователи могут войти в клиент поставщика услуг для доступа к этим ресурсам.Using Azure Lighthouse, authorized users can sign in to the service provider's tenant to access these resources.

Ресурсы клиента, управляемые с помощью одного клиента поставщика услуг

Поддержка интерфейсов API и средств управленияAPIs and management tool support

Вы можете выполнять задачи управления делегированными ресурсами непосредственно на портале или с помощью интерфейсов API и средств управления (таких как Azure CLI и Azure PowerShell).You can perform management tasks on delegated resources either directly in the portal or by using APIs and management tools (such as Azure CLI and Azure PowerShell). Все существующие API можно использовать для работы с делегированными ресурсами, если их функциональные возможности поддерживаются для распределенного управления арендаторами и у пользователя есть соответствующие разрешения.All existing APIs can be used when working with delegated resources, as long as the functionality is supported for cross-tenant management and the user has the appropriate permissions.

Командлет Azure PowerShell Get-азсубскриптион показывает HomeTenantId ManagedByTenantIds атрибуты и для каждой подписки, позволяя определить, принадлежит ли возвращаемая Подписка к управляемому клиенту клиента или к управляющему клиенту.The Azure PowerShell Get-AzSubscription cmdlet shows the HomeTenantId and ManagedByTenantIds attributes for each subscription, allowing you to identify whether a returned subscription belongs to a managed customer tenant or to your managing tenant.

Аналогичным образом Azure CLI команды, например AZ Account List , homeTenantId отображают managedByTenants атрибуты и.Similarly, Azure CLI commands such as az account list show the homeTenantId and managedByTenants attributes.

Совет

Если вы не видите эти значения при использовании Azure CLI, попробуйте очистить кэш, выполнив az account clear, а затем — az login --identity.If you don't see these values when using Azure CLI, try clearing your cache by running az account clear followed by az login --identity.

Мы также предоставляем интерфейсы API, которые относятся к выполнению задач Лигхсаусе Azure.We also provide APIs that are specific to performing Azure Lighthouse tasks. Дополнительные сведения см. в разделе Справочные материалы.For more info, see the Reference section.

Расширенные службы и сценарииEnhanced services and scenarios

Большинство задач и служб могут выполняться для делегированных ресурсов в управляемых арендаторах.Most tasks and services can be performed on delegated resources across managed tenants. Ниже приведены некоторые ключевые сценарии, в которых управление между клиентами может быть особенно эффективным.Below are some of the key scenarios where cross-tenant management can be especially effective.

Служба " дуга Azure":Azure Arc:

Служба автоматизации Azure.Azure Automation:

  • Использование учетных записей службы автоматизации для получения доступа к делегированным ресурсам клиента и работы с ними.Use automation accounts to access and work with delegated customer resources

Azure Backup.Azure Backup:

  • Резервное копирование и восстановление данных пользователей в клиентах.Back up and restore customer data in customer tenants
  • Используйте Обозреватель резервного копирования для просмотра оперативных сведений об элементах резервного копирования (включая ресурсы Azure, еще не настроенные для резервного копирования) и сведений о мониторинге (задания и оповещения) для делегированных подписок.Use the Backup Explorer to help view operational information of backup items (including Azure resources not yet configured for backup) and monitoring information (jobs and alerts) for delegated subscriptions. В настоящее время Обозреватель резервного копирования доступен только для данных виртуальных машин Azure.The Backup Explorer is currently available only for Azure VM data.
  • Используйте Отчеты о резервном копировании для делегированных подписок, чтобы отслеживать хронологические тенденции, анализировать потребление хранилища резервных копий и выполнять аудит резервного копирования и восстановления.Use Backup Reports across delegated subscriptions to track historical trends, analyze backup storage consumption, and audit backups and restores.

Управление затратами Azure + выставление счетов:Azure Cost Management + Billing:

  • С помощью управляющего клиента партнеры CSP могут просматривать, контролировать и анализировать предварительные затраты на использование (не включая покупки) для клиентов, находящихся в плане Azure.From the managing tenant, CSP partners can view, manage, and analyze pre-tax consumption costs (not inclusive of purchases) for customers who are under the Azure plan. Стоимость будет основываться на тарифах розничной торговли и управлении доступом на основе ролей Azure (Azure RBAC), которую должен иметь партнер для подписки клиента.The cost will be based on retail rates and the Azure role-based access control (Azure RBAC) access that the partner has for the customer's subscription.

Служба Azure Kubernetes (AKS):Azure Kubernetes Service (AKS):

  • Управление размещенными средами Kubernetes, а также развертывание контейнерных приложений и управление ими в клиентах пользователей.Manage hosted Kubernetes environments and deploy and manage containerized applications within customer tenants

Azure Monitor.Azure Monitor:

  • Просмотр оповещений для делегированных подписок с возможностью просмотра оповещений во всех подписках.View alerts for delegated subscriptions, with the ability to view alerts across all subscriptions
  • Просмотр сведений журнала действий для делегированных подписок.View activity log details for delegated subscriptions
  • Анализ журналов: запрос данных из удаленных рабочих областей для клиентов в нескольких клиентах.Log analytics: Query data from remote customer workspaces in multiple tenants
  • Создание оповещений в арендаторах клиентов, которые инициируют автоматизацию (например, Runbook службы автоматизации Azure или Функции Azure) в арендаторе поставщика службы через веб-перехватчики.Create alerts in customer tenants that trigger automation, such as Azure Automation runbooks or Azure Functions, in the service provider tenant through webhooks
  • Для рабочих нагрузок SAP Отслеживайте метрики решений SAP с помощью агрегированного представления по клиентам .For SAP workloads, monitor SAP Solutions metrics with an aggregated view across customer tenants

Сеть Azure.Azure Networking:

Политика Azure.Azure Policy:

  • Моментальные снимки соответствия, отображающие сведения о назначенных политиках в делегированных подписках.Compliance snapshots show details for assigned policies within delegated subscriptions
  • Создание и изменение определений политики в делегированной подписке.Create and edit policy definitions within a delegated subscription
  • Назначение пользовательских определений политики в делегированной подписке.Assign customer-defined policy definitions within the delegated subscription
  • Клиенты видят политики, созданные поставщиком услуг, наряду с политиками, которые они создали сами.Customers see policies authored by the service provider alongside any policies they've authored themselves
  • Может исправлять ошибки deployIfNotExists или изменят назначения в арендаторе клиента.Can remediate deployIfNotExists or modify assignments within the customer tenant

Azure Resource Graph.Azure Resource Graph:

  • Теперь включает идентификатор клиента в возвращенные результаты запроса, позволяя определить, принадлежит ли подписка клиенту пользователя или клиенту поставщика услуг.Now includes the tenant ID in returned query results, allowing you to identify whether a subscription belongs to the customer tenant or service provider tenant

Центр безопасности Azure.Azure Security Center:

  • Видимость различных клиентовCross-tenant visibility
    • Мониторинг соответствия политикам безопасности и обеспечение безопасности всех ресурсов клиентов.Monitor compliance to security policies and ensure security coverage across all tenants' resources
    • Непрерывный мониторинг соответствия нормативным требованиям для нескольких клиентов в одном представлении.Continuous regulatory compliance monitoring across multiple customers in a single view
    • Мониторинг, рассмотрение и определение приоритетных практических рекомендаций по безопасности с вычислением оценки безопасности.Monitor, triage, and prioritize actionable security recommendations with secure score calculation
  • Управление состоянием безопасности для различных клиентов.Cross-tenant security posture management
    • Управление политиками безопасности.Manage security policies
    • Выполнение действий с ресурсами, которые не соответствуют практическим рекомендациям по безопасности.Take action on resources that are out of compliance with actionable security recommendations
    • Сбор и хранение данных, связанных с безопасностью.Collect and store security-related data
  • Обнаружение угроз для различных клиентов и защита от них.Cross-tenant threat detection and protection
    • Обнаружение угроз в ресурсах клиентов.Detect threats across tenants' resources
    • Применение дополнительных элементов управления защитой от угроз, таких как JIT-доступ к виртуальной машине.Apply advanced threat protection controls such as just-in-time (JIT) VM access
    • Повышение уровня защиты конфигурации группы безопасности сети с помощью адаптивной защиты сети.Harden network security group configuration with Adaptive Network Hardening
    • Обеспечение работы только тех приложений и процессов на серверах, которые должны использоваться с адаптивными элементами управления приложениями.Ensure servers are running only the applications and processes they should be with adaptive application controls
    • Мониторинг изменений важных файлов и записей реестра с помощью мониторинга целостности файлов (FIM).Monitor changes to important files and registry entries with File Integrity Monitoring (FIM)

Azure Sentinel.Azure Sentinel:

Работоспособность служб Azure.Azure Service Health:

  • Мониторинг работоспособности ресурсов клиента с помощью службы "Работоспособность ресурсов Azure".Monitor the health of customer resources with Azure Resource Health
  • Отслеживание работоспособности служб Azure, которые используют клиенты.Track the health of the Azure services used by your customers

Azure Site Recovery.Azure Site Recovery:

  • Управление параметрами аварийного восстановления для виртуальных машин Azure в клиентах клиентов (Обратите внимание, что нельзя использовать RunAs учетные записи для копирования РАСШИРЕНИЙ ВМ).Manage disaster recovery options for Azure virtual machines in customer tenants (note that you can't use RunAs accounts to copy VM extensions)

Виртуальные машины Azure.Azure Virtual Machines:

  • Использование расширений виртуальных машин для выполнения задач настройки и автоматизации после развертывания виртуальных машин Azure в пользовательских клиентах.Use virtual machine extensions to provide post-deployment configuration and automation tasks on Azure VMs in customer tenants
  • Использование диагностики загрузки для устранения неполадок с виртуальными машинами Azure в пользовательских клиентах.Use boot diagnostics to troubleshoot Azure VMs in customer tenants
  • Получение доступа к виртуальным машинам с помощью последовательной консоли в пользовательских клиентах.Access VMs with serial console in customer tenants
  • Интегрируйте виртуальные машины с Azure Key Vault для паролей, секретов или криптографических ключей для шифрования дисков с помощью управляемого удостоверения в политике, гарантируя, что секреты хранятся в Key Vault клиентов.Integrate VMs with Azure Key Vault for passwords, secrets, or cryptographic keys for disk encryption by using managed identity through policy, ensuring that secrets are stored in a Key Vault in customer tenants
  • Обратите внимание на то, что вы не можете использовать Azure Active Directory для удаленного входа на виртуальные машины в арендаторах клиента.Note that you can't use Azure Active Directory for remote login to VMs in customer tenants

Запросы в службу поддержки.Support requests:

Текущие ограниченияCurrent limitations

Во всех сценариях необходимо учитывать следующие текущие ограничения.With all scenarios, please be aware of the following current limitations:

  • Запросы, обрабатываемые службой Azure Resource Manager, можно выполнять с помощью делегированного управления ресурсами Azure.Requests handled by Azure Resource Manager can be performed using Azure delegated resource management. URI операций для этих запросов начинаются с https://management.azure.com.The operation URIs for these requests start with https://management.azure.com. Однако запросы, обрабатываемые экземпляром типа ресурса (например, Key Vault секреты доступа или доступа к данным хранилища), не поддерживаются с помощью делегированного управления ресурсами Azure.However, requests that are handled by an instance of a resource type (such as Key Vault secrets access or storage data access) aren't supported with Azure delegated resource management. URI операций для этих запросов обычно начинаются с адреса, уникального для вашего экземпляра, например https://myaccount.blob.core.windows.net или https://mykeyvault.vault.azure.net/.The operation URIs for these requests typically start with an address that is unique to your instance, such as https://myaccount.blob.core.windows.net or https://mykeyvault.vault.azure.net/. Последние также обычно являются операциями с данными, а не операциями управления.The latter also are typically data operations rather than management operations.
  • При назначении ролей должны использоваться встроенные роли управления доступом на основе ролей (RBAC).Role assignments must use role-based access control (RBAC) built-in roles. В настоящее время все встроенные роли поддерживаются с помощью делегированных управления ресурсами Azure, за исключением владельца или любых встроенных ролей с DataActions разрешениями.All built-in roles are currently supported with Azure delegated resource management except for Owner or any built-in roles with DataActions permission. Роль "Администратор доступа пользователей" поддерживается только для назначения ролей управляемым удостоверениям.The User Access Administrator role is supported only for limited use in assigning roles to managed identities. Пользовательские роли и роли классического администратора подписки не поддерживаются.Custom roles and classic subscription administrator roles are not supported.
  • Хотя вы можете подключить подписки, использующие Azure Databricks, в настоящее время пользователи в управляющем арендаторе не смогут запускать рабочие области Azure Databricks в делегированной подписке.While you can onboard subscriptions that use Azure Databricks, users in the managing tenant can't launch Azure Databricks workspaces on a delegated subscription at this time.
  • Хотя вы можете подключить подписки и группы ресурсов, имеющие блокировки ресурсов, эти блокировки не будут препятствовать выполнению действий пользователями в управляющем клиенте.While you can onboard subscriptions and resource groups that have resource locks, those locks will not prevent actions from being performed by users in the managing tenant. Запрет назначений, защищающий управляемые системой ресурсы, такие как созданные управляемыми приложениями Azure или Azure Blueprints (назначенные системой запреты назначений), не позволяет пользователям в управляющем арендаторе работать с этими ресурсами. Однако в настоящее время пользователи в арендаторе клиента не могут создавать собственные запреты назначений (назначаемые пользователем запреты назначений).Deny assignments that protect system-managed resources, such as those created by Azure managed applications or Azure Blueprints (system-assigned deny assignments), do prevent users in the managing tenant from acting on those resources; however, at this time users in the customer tenant can't create their own deny assignments (user-assigned deny assignments).

Дальнейшие действияNext steps