Identitets- och åtkomsthantering i företagsskala för Azure VMware Solution

  • Artikel
  • 2 minuter för att läsa

Den här artikeln bygger på informationen i Identitets- och åtkomsthantering och Azure VMware Solution identitetsbegrepp.

Använd den här informationen för att undersöka designöverväganden och rekommendationer för identitets- och åtkomsthantering som är specifika för distribution av Azure VMware Solution.

Identitetskraven för Azure VMware Solution varierar beroende på dess implementering i Azure. Informationen i den här artikeln baseras på de vanligaste scenarierna.

Designöverväganden

När du Azure VMware Solution innehåller den nya miljöns vCenter en inbyggd lokal användare med namnet cloudadmin . Den här användaren tilldelas rollen CloudAdmin med flera behörigheter i vCenter. Du kan också skapa anpassade roller i Azure VMware Solution miljö med principen om minsta behörighet.

Designrekommendationer

  • Som en del av landningszonen för identitets- och åtkomsthantering i företagsskala distribuerar du en Active Directory Domain Services -domänkontrollant (AD DS) i identitetsprenumerationen.

  • Begränsa antalet användare som du tilldelar CloudAdmin-rollen. Använd anpassade roller och minsta behörighet för att tilldela användare till Azure VMware Solution.

  • Var försiktig när du roterar cloudadmin- och NSX-administratörslösenord.

  • Begränsa Azure VMware Solution rollbaserad åtkomstkontroll (RBAC) i Azure till den resursgrupp där den distribueras och de användare som behöver hantera Azure VMware Solution.

  • Konfigurera endast vSphere-behörigheter med anpassade roller på hierarkinivå om det behövs. Det är bättre att tillämpa behörigheter i lämplig VM-mapp eller resurspool. Undvik att använda vSphere-behörigheter på datacenternivå eller högre.

  • Uppdatera Active Directory-platser och -tjänster för att dirigera Azure och Azure VMware Solution AD DS-trafik till lämpliga domänkontrollanter.

  • Använd kommandot Kör i ditt privata moln för att:

    • Lägg till en AD DS-domänkontrollant som identitetskälla för vCenter och NSX-T.

    • Ange livscykelåtgärd för vsphere.local\CloudAdmins gruppen.

  • Skapa grupper i Active Directory och använd RBAC för att hantera vCenter och NSX-T. Du kan skapa anpassade roller ochtilldela Active Directory-grupper till de anpassade rollerna.

Nästa steg

Lär dig mer om nätverkstopologi och anslutning för Azure VMware Solution ett scenario i företagsskala. Undersök designöverväganden och metodtips för nätverk och anslutning med Microsoft Azure och Azure VMware Solution.

Nätverkstopologi och anslutning