Miljöer för hantering av flera klienter

Som tjänstleverantör kan du använda Azure Lighthouse för att hantera dina kunders Azure-resurser inifrån din egen Microsoft Entra-klientorganisation. Många vanliga uppgifter och tjänster kan utföras i dessa hanterade klienter.

Dricks

Azure Lighthouse kan också användas inom ett företag som har flera egna Microsoft Entra-klienter för att förenkla administration mellan klientorganisationer.

Förstå klientorganisationer och delegering

En Microsoft Entra-klientorganisation är en representation av en organisation. Det är en dedikerad instans av Microsoft Entra-ID som en organisation får när de skapar en relation med Microsoft genom att registrera sig för Azure, Microsoft 365 eller andra tjänster. Varje Microsoft Entra-klientorganisation är distinkt och separat från andra Microsoft Entra-klienter och har ett eget klient-ID (ett GUID). Mer information finns i Vad är Microsoft Entra-ID?

För att kunna hantera Azure-resurser för en kund måste tjänsteleverantörer vanligtvis logga in på Azure-portalen med ett konto som är associerat med kundens klientorganisation. I det här scenariot måste en administratör i kundens klientorganisation skapa och hantera användarkonton för tjänstleverantören.

Med Azure Lighthouse anger registreringsprocessen användare i tjänstleverantörens klientorganisation som har tilldelats roller till delegerade prenumerationer och resursgrupper i kundens klientorganisation. Dessa användare kan sedan logga in på Azure-portalen med sina egna autentiseringsuppgifter och arbeta med resurser som tillhör alla kunder som de har åtkomst till. Användare i den hanterande klientorganisationen kan se alla dessa kunder genom att besöka sidan Mina kunder i Azure-portalen. De kan också arbeta med resurser direkt inom ramen för kundens prenumeration, antingen i Azure-portalen eller via API:er.

Azure Lighthouse ger flexibilitet att hantera resurser för flera kunder utan att behöva logga in på olika konton i olika klientorganisationer. En tjänstleverantör kan till exempel ha två kunder med olika ansvarsområden och åtkomstnivåer. Med Hjälp av Azure Lighthouse kan behöriga användare logga in på tjänstleverantörens klientorganisation och komma åt alla delegerade resurser mellan dessa kunder, enligt de roller som de har tilldelats för varje delegering.

Stöd för API:er och hanteringsverktyg

Du kan utföra hanteringsuppgifter på delegerade resurser i Azure-portalen eller använda API:er och hanteringsverktyg som Azure CLI och Azure PowerShell. Alla befintliga API:er kan användas på delegerade resurser, så länge funktionen stöds för hantering mellan klientorganisationer och användaren har rätt behörigheter.

CmdletenTenantId Azure PowerShell Get-AzSubscription visar för den hanterande klienten som standard. Med attributen HomeTenantId och ManagedByTenantIds för varje prenumeration kan du identifiera om en returnerad prenumeration tillhör en hanterad klientorganisation eller till din hanteringsklient.

På samma sätt visar Azure CLI-kommandon som az account list attributen homeTenantId och managedByTenants . Om du inte ser dessa värden när du använder Azure CLI kan du prova att rensa cachen genom att köra az account clear följt av az login --identity.

I Azure REST-API:et innehåller ManagedByTenantkommandona Prenumerationer – Hämta och Prenumerationer – Lista .

Kommentar

Förutom klientinformation som rör Azure Lighthouse kan klienter som visas av dessa API:er även återspegla partnerklientorganisationer för Azure Databricks eller Azure-hanterade program.

Vi tillhandahåller även API:er som är specifika för att utföra Azure Lighthouse-uppgifter. Mer information finns i avsnittet Referens .

Förbättrade tjänster och scenarier

De flesta Azure-uppgifter och -tjänster kan användas med delegerade resurser mellan hanterade klienter, förutsatt att lämpliga roller beviljas. Nedan visas några av de viktigaste scenarierna där hantering mellan klientorganisationer kan vara särskilt effektiv.

Azure Arc:

• Hantera hybridservrar i stor skala – Azure Arc-aktiverade servrar:
  • Registrera servrar till delegerade kundprenumerationer och/eller resursgrupper i Azure
  • Hantera Windows Server- eller Linux-datorer utanför Azure som är anslutna till delegerade prenumerationer
  • Hantera anslutna datorer med hjälp av Azure-konstruktioner, till exempel Azure Policy och taggning
  • Se till att samma uppsättning principer tillämpas i kundernas hybridmiljöer
  • Använd Microsoft Defender för molnet för att övervaka efterlevnad i kundernas hybridmiljöer
• Hantera Kubernetes-hybridkluster i stor skala – Azure Arc-aktiverade Kubernetes:
  • Anslut Kubernetes-kluster till delegerade prenumerationer och/eller resursgrupper
  • Använda GitOps för att distribuera konfigurationer till anslutna kluster
  • Utföra hanteringsuppgifter som att framtvinga principer i anslutna kluster

Azure Automation:

• Använda Automation-konton för att komma åt och arbeta med delegerade resurser

Azure Backup:

• Säkerhetskopiera och återställa kunddata från lokala arbetsbelastningar, virtuella Azure-datorer, Azure-filresurser med mera
• Visa data för alla delegerade kundresurser i Backup Center
• Använd Säkerhetskopieringsutforskaren för att visa driftinformation om säkerhetskopieringsobjekt (inklusive Azure-resurser som ännu inte har konfigurerats för säkerhetskopiering) och övervakningsinformation (jobb och aviseringar) för delegerade prenumerationer. Säkerhetskopieringsutforskaren är för närvarande endast tillgänglig för azure VM-data.
• Använd säkerhetskopieringsrapporter i delegerade prenumerationer för att spåra historiska trender, analysera lagringsförbrukning för säkerhetskopiering och granska säkerhetskopior och återställningar.

Azure Blueprints:

• Använd Azure Blueprints för att samordna distributionen av resursmallar och andra artefakter (kräver ytterligare åtkomst för att förbereda kundprenumerationen)

Azure Cost Management + Fakturering:

• Från den hanterande klientorganisationen kan CSP-partner visa, hantera och analysera förbrukningskostnader före skatt (inte inklusive inköp) för kunder som omfattas av Azure-planen. Kostnaden baseras på detaljhandelspriser och azure-rollbaserad åtkomstkontroll (Azure RBAC) åtkomst som partnern har för kundens prenumeration. För närvarande kan du visa förbrukningskostnader till detaljhandelspriser för varje enskild kundprenumeration baserat på Azure RBAC-åtkomst.

Azure Key Vault:

• Skapa Key Vaults i kundklientorganisationer
• Använda en hanterad identitet för att skapa Nyckelvalv i kundklientorganisationer

Azure Kubernetes Service (AKS):

• Hantera värdbaserade Kubernetes-miljöer och distribuera och hantera containerbaserade program i kundklientorganisationer
• Distribuera och hantera kluster i kundklientorganisationer
• Använda Azure Monitor för containrar för att övervaka prestanda mellan kundklientorganisationer

Azure Migrate:

• Skapa migreringsprojekt i kundklientorganisationen och migrera virtuella datorer

Azure Monitor:

• Visa aviseringar för delegerade prenumerationer med möjlighet att visa och uppdatera aviseringar i alla prenumerationer
• Visa aktivitetslogginformation för delegerade prenumerationer
• Logganalys: Fråga efter data från fjärranslutna arbetsytor i flera klientorganisationer (observera att automationskonton som används för att komma åt data från arbetsytor i kundklientorganisationer måste skapas i samma klientorganisation)
• Skapa, visa och hantera aviseringar i kundklientorganisationer
• Skapa aviseringar i kundklientorganisationer som utlöser automatisering, till exempel Azure Automation-runbooks eller Azure Functions, i hanteringsklientorganisationen via webhooks
• Skapa diagnostikinställningar i arbetsytor som skapats i kundklientorganisationer för att skicka resursloggar till arbetsytor i den hanterande klienten
• För SAP-arbetsbelastningar övervakar du SAP Solutions-mått med en aggregerad vy över kundklientorganisationer
• För Azure AD B2C dirigerar du inloggnings- och granskningsloggar till olika övervakningslösningar

Azure-nätverk:

• Distribuera och hantera azure virtual network och virtuella nätverkskort (vNICs) i hanterade klientorganisationer
• Distribuera och konfigurera Azure Firewall för att skydda kundernas virtuella nätverksresurser
• Hantera anslutningstjänster som Azure Virtual WAN, Azure ExpressRoute och VPN Gateway
• Använda Azure Lighthouse för att stödja viktiga scenarier för AZURE Networking MSP-programmet

Azure Policy:

• Skapa och redigera principdefinitioner i delegerade prenumerationer
• Distribuera principdefinitioner och principtilldelningar mellan flera klienter
• Tilldela kunddefinierade principdefinitioner i delegerade prenumerationer
• Kunder ser principer som skapats av tjänstleverantören tillsammans med alla principer som de har skapat själva
• Kan åtgärda deployIfNotExists eller ändra tilldelningar i den hanterade klientorganisationen
• Observera att visning av efterlevnadsinformation för icke-kompatibla resurser i kundklientorganisationer för närvarande inte stöds

Azure Resource Graph:

• Se klientorganisations-ID i returnerade frågeresultat så att du kan identifiera om en prenumeration tillhör en hanterad klientorganisation

Azure Service Health:

• Övervaka hälsotillståndet för kundresurser med Azure Resource Health
• Spåra hälsotillståndet för de Azure-tjänster som används av dina kunder

Azure Site Recovery:

• Hantera alternativ för haveriberedskap för virtuella Azure-datorer i kundklientorganisationer (observera att du inte kan använda RunAs konton för att kopiera VM-tillägg)

Virtuella Azure-datorer:

• Använd tillägg för virtuella datorer för att tillhandahålla konfigurations- och automatiseringsuppgifter efter distributionen på virtuella Azure-datorer
• Använda startdiagnostik för att felsöka virtuella Azure-datorer
• Få åtkomst till virtuella datorer med seriekonsol
• Integrera virtuella datorer med Azure Key Vault för lösenord, hemligheter eller kryptografiska nycklar för diskkryptering med hjälp av hanterad identitet via en princip, vilket säkerställer att hemligheter lagras i ett Nyckelvalv i de hanterade klientorganisationer
• Observera att du inte kan använda Microsoft Entra-ID för fjärrinloggning till virtuella datorer

Microsoft Defender för molnet:

• Synlighet mellan klientorganisationer
  • Övervaka efterlevnaden av säkerhetsprinciper och säkerställa säkerhetstäckning för alla klientorganisationers resurser
  • Kontinuerlig övervakning av regelefterlevnad mellan flera klienter i en enda vy
  • Övervaka, sortera och prioritera åtgärdsbara säkerhetsrekommendationer med beräkning av säker poäng
• Hantering av säkerhetsstatus mellan klientorganisationer
  • Hantera säkerhetsprinciper
  • Vidta åtgärder för resurser som inte är kompatibla med åtgärdsbara säkerhetsrekommendationer
  • Samla in och lagra säkerhetsrelaterade data
• Hotidentifiering och skydd mellan klientorganisationer
  • Identifiera hot mellan klientorganisationers resurser
  • Tillämpa kontroller för avancerat skydd mot hot, till exempel just-in-time-åtkomst (JIT) för virtuella datorer
  • Härda nätverkssäkerhetsgruppens konfiguration med adaptiv nätverkshärdning
  • Se till att servrar endast kör de program och processer som de ska ha med anpassningsbara programkontroller
  • Övervaka ändringar i viktiga filer och registerposter med FIM (File Integrity Monitoring)
• Observera att hela prenumerationen måste delegeras till den hanterande klientorganisationen. Microsoft Defender för molnet scenarier stöds inte med delegerade resursgrupper

Microsoft Sentinel:

• Hantera Microsoft Sentinel-resurser i kundklientorganisationer
• Spåra attacker och visa säkerhetsaviseringar i flera klienter
• Visa incidenter över flera Microsoft Sentinel-arbetsytor spridda över klientorganisationer

Supportförfrågningar:

• Öppna supportförfrågningar från Hjälp + support i Azure-portalen för delegerade resurser (välj den supportplan som är tillgänglig för det delegerade omfånget)
• Använd Azure Quota API för att visa och hantera Azure-tjänstkvoter för delegerade kundresurser

Aktuella begränsningar

Med alla scenarier bör du vara medveten om följande aktuella begränsningar:

• Begäranden som hanteras av Azure Resource Manager kan utföras med Hjälp av Azure Lighthouse. Åtgärds-URI:er för dessa begäranden börjar med https://management.azure.com. Begäranden som hanteras av en instans av en resurstyp (till exempel åtkomst till Key Vault-hemligheter eller åtkomst till lagringsdata) stöds dock inte med Azure Lighthouse. Åtgärds-URI:er för dessa begäranden börjar vanligtvis med en adress som är unik för din instans, till exempel https://myaccount.blob.core.windows.net eller https://mykeyvault.vault.azure.net/. Det senare är också vanligtvis dataåtgärder snarare än hanteringsåtgärder.
• Rolltilldelningar måste använda inbyggda Azure-roller. Alla inbyggda roller stöds för närvarande med Azure Lighthouse, förutom ägare eller inbyggda roller med DataActions behörighet. Rollen Administratör för användaråtkomst stöds endast för begränsad användning vid tilldelning av roller till hanterade identiteter. Anpassade roller och klassiska administratörsroller för prenumerationer stöds inte. Mer information finns i Rollstöd för Azure Lighthouse.
• För användare i den hanterade klientorganisationen visas inte rolltilldelningar som görs via Azure Lighthouse under Åtkomstkontroll (IAM) eller med CLI-verktyg som az role assignment list. Dessa tilldelningar visas bara i Azure-portalen i avsnittet Delegeringar i Azure Lighthouse eller via Azure Lighthouse-API:et.
• Du kan registrera prenumerationer som använder Azure Databricks, men användare i den hanterande klienten kan inte starta Azure Databricks-arbetsytor i en delegerad prenumeration.
• Du kan registrera prenumerationer och resursgrupper som har resurslås, men dessa lås förhindrar inte att åtgärder utförs av användare i den hanterande klientorganisationen. Neka tilldelningar som skyddar systemhanterade resurser (systemtilldelade neka tilldelningar), till exempel de som skapats av Azure-hanterade program eller Azure Blueprints, hindrar användare i den hanterande klienten från att agera på dessa resurser. Användare i kundklientorganisationen kan dock inte skapa egna nekandetilldelningar.
• Delegering av prenumerationer i ett nationellt moln och det offentliga Azure-molnet, eller mellan två separata nationella moln, stöds inte.

Nästa steg

• Registrera dina kunder i Azure Lighthouse, antingen med hjälp av Azure Resource Manager-mallar eller genom att publicera ett erbjudande om privata eller offentliga hanterade tjänster på Azure Marketplace.
• Visa och hantera kunder genom att gå till Mina kunder i Azure-portalen.
• Läs mer om Azure Lighthouse-arkitektur.