Использование Azure Lighthouse в корпоративных сценариях

Статья
05/11/2023

Распространенный сценарий для Azure Lighthouse включает в себя поставщик услуг, который управляет ресурсами в клиентах Microsoft Entra клиентов. Возможности Azure Lighthouse также можно использовать для упрощения межтенантного управления в пределах предприятия, использующего несколько клиентов Microsoft Entra.

Один или несколько клиентов

Для большинства организаций управление проще с одним клиентом Microsoft Entra. Собрав все ресурсы в одном клиенте, можно организовать централизацию задач управления для определенных пользователей, групп пользователей или субъектов-служб в пределах клиента. Мы рекомендуем использовать в организации один клиент всегда, когда это возможно.

Некоторым организациям может потребоваться использовать несколько клиентов Microsoft Entra. Это может быть временно, например после приобретения компаний, пока долгосрочная стратегия консолидации клиентов еще не определена. А иногда организации нужно постоянно поддерживать несколько клиентов, например для полностью независимых дочерних компаний, в силу географических ограничений или юридических требований и т. п.

В случаях, когда требуется архитектура с несколькими клиентами, Azure Lighthouse поможет с централизацией и упрощением операций управления. С помощью Azure Lighthouse пользователи в одном управляющем клиенте могут централизованно выполнять функции управления между клиентами с поддержкой масштабирования.

Архитектура управления клиентами

Чтобы использовать Azure Lighthouse на предприятии, необходимо определить, какой клиент будет включать пользователей, выполняющих операции управления с другими клиентами. Иными словами, необходимо назначить один клиент в качестве управляющего клиента для других клиентов.

Например, предположим, что у вашей организации есть один клиент, который мы будем называть клиентом A. Затем ваша организация получает клиент B и клиент C, и у вас есть бизнес-причины, которые требуют их обслуживания в качестве отдельных клиентов. Однако вы хотите использовать те же определения политик, методы резервного копирования и процессы безопасности для всех. Кроме того, задачи управления должна выполнять одна команда пользователей.

Поскольку Tenant A уже включает пользователей в организации, которые выполняли эти задачи для Tenant A, можно подключить подписки в Tenant B и Tenant C, чтобы те же пользователи в Tenant A выполняли эти задачи во всех клиентах.

Diagram showing users in Tenant A managing resources in Tenant B and Tenant C.

Вопросы безопасности и доступа

В большинстве корпоративных сценариев вам нужно делегировать всю подписку службе Azure Lighthouse. Вы также можете делегировать только определенные группы ресурсов в рамках подписки.

В любом случае при выборе пользователей, которые будут иметь доступ к делегированным ресурсам, соблюдайте принцип минимальных привилегий. Это позволит гарантировать, что пользователи получат только те разрешения, которые необходимы для выполнения их задач, и снизит вероятность случайных ошибок.

Azure Lighthouse только предоставляет логические связи между управляющим и управляемым клиентами, но не перемещают данные или ресурсы физически. Кроме того, доступ всегда происходит в одном направлении, от управляющего к управляемым клиентам. Пользователи и группы в управляющем клиенте будут по-прежнему использовать многофакторную проверку подлинности при выполнении операций управления для ресурсов управляемого клиента.

Предприятия с внутренним или внешним управлением и ограничительными условиями для соответствия требованиям могут использовать журналы действий Azure для соблюдения требований к прозрачности. Когда для корпоративных клиентов будут установлены отношения управляющего и управляемого, пользователи в каждом из них смогут просматривать журналы, чтобы отслеживать действия, выполняемые пользователями из управляющего клиента.

Azure AD B2C

Azure Active Directory B2C (Azure AD B2C) предоставляет службу корпоративного управления удостоверениями для клиентов. Когда вы делегируйте группу ресурсов через Azure Lighthouse, вы можете использовать Azure Monitor, чтобы перенаправлять вход Azure Active Directory B2C (Azure AD B2C) и журналы аудита в различные решения мониторинга. Эти журналы можно сохранить для долговременного использования или интегрировать со сторонними средствами для управления сведениями и событиями безопасности (SIEM), чтобы получать аналитические сведения о своей среде.

Дополнительные сведения см. в разделе Мониторинг Azure AD B2C с помощью Azure Monitor.

Заметки по терминологии

Для управления между клиентами в рамках предприятия все указания поставщиков услуг в документации по Azure Lighthouse можно применять к управляющему клиенту, то есть к тому клиенту, в который входят пользователи с правами управления ресурсами в других клиентах через Azure Lighthouse. Аналогичным образом, все указания клиентов можно применять к тем клиентам, которые делегируют ресурсы для управления пользователями из управляющего клиента.

Например, в описанном выше примере Tenant A будет считаться клиентом поставщика услуг (управляющий клиент), а Tenant B и Tenant C — пользовательскими клиентами.

В этом примере пользователи из Tenant A, имеющие соответствующие разрешения, могут просматривать делегированные ресурсы и управлять ими на странице Мои клиенты портала Azure. Аналогичным образом, пользователи из Tenant B и Tenant C, имеющие соответствующие разрешения, могут просматривать делегированные в Tenant A ресурсы и управлять ими на странице Поставщики услуг портала Azure.

Следующие шаги

Изучите варианты организации ресурсов в архитектурах с несколькими клиентами.
Узнайте больше об интерфейсах управления для различных клиентов.
Узнайте больше о работе Azure Lighthouse.