Miljöer för hantering av flera klienter

Som tjänstleverantör kan du använda Azure Lighthouse för att hantera resurser för flera kunder från din egen Azure Active Directory (Azure AD) klientorganisation. Många uppgifter och tjänster kan utföras över hanterade klienter med hjälp av Azure-delegerad resurshantering.

Förstå klienter och delegering

En Azure AD-klientorganisation är en representation av en organisation. Det är en dedikerad instans av Azure AD som en organisation får när de skapar en relation med Microsoft genom att registrera sig för Azure, Microsoft 365 eller andra tjänster. Varje Azure AD-klientorganisation är separat och separat från andra Azure AD-klienter och har sitt eget klient-ID (ett GUID). Mer information finns i Vad är Azure Active Directory?

För att kunna hantera Azure-resurser för en kund skulle tjänstleverantörer vanligtvis behöva logga in på Azure Portal med ett konto som är associerat med kundens klientorganisation, vilket kräver att en administratör i kundens klientorganisation skapar och hanterar användarkonton för tjänstleverantören.

Med Azure Lighthouse anger registreringsprocessen användare i tjänstleverantörens klientorganisation som ska kunna arbeta med delegerade prenumerationer och resursgrupper i kundens klientorganisation. Dessa användare kan sedan logga in på Azure Portal med sina egna autentiseringsuppgifter. I Azure Portal kan de hantera resurser som hör till alla kunder som de har åtkomst till. Detta kan göras genom att gå till sidan Mina kunder i Azure Portal eller genom att arbeta direkt i kontexten för kundens prenumeration, antingen i Azure Portal eller via API:er.

Azure Lighthouse ger större flexibilitet för att hantera resurser för flera kunder utan att behöva logga in på olika konton i olika klienter. En tjänstleverantör kan till exempel ha två kunder med olika ansvarsområden och åtkomstnivåer. Med Azure Lighthouse kan behöriga användare logga in på tjänstleverantörens klientorganisation för att få åtkomst till dessa resurser.

Stöd för API:er och hanteringsverktyg

Du kan utföra hanteringsuppgifter på delegerade resurser antingen direkt i portalen eller med hjälp av API:er och hanteringsverktyg (till exempel Azure CLI och Azure PowerShell). Alla befintliga API:er kan användas när du arbetar med delegerade resurser, så länge funktionen stöds för hantering mellan klientorganisationen och användaren har rätt behörigheter.

Cmdleten Azure PowerShell Get-AzSubscription visar som standard för den TenantId hanterande klientorganisationen. Du kan använda attributen och för varje prenumeration, så att du kan identifiera om en returnerad prenumeration tillhör en hanterad HomeTenantId ManagedByTenantIds klient eller din hanterande klientorganisation.

På samma sätt visar Azure CLI-kommandon som az account list homeTenantId managedByTenants attributen och . Om du inte ser dessa värden när du använder Azure CLI kan du prova att rensa cacheminnet genom att az account clear köra följt av az login --identity .

I Azure REST API kommandona Subscriptions - Get och Subscriptions - List ManagedByTenant .

Vi tillhandahåller även API:er som är specifika för att Azure Lighthouse uppgifter. Mer information finns i avsnittet Referens.

Förbättrade tjänster och scenarier

De flesta uppgifter och tjänster kan utföras på delegerade resurser över hanterade klientorganisationer. Nedan visas några av de viktigaste scenarierna där hantering mellan klientorganisationen kan vara särskilt effektivt.

Azure Arc:

• Hantera hybridservrar i stor skala – Azure Arc-aktiverade servrar:
  • Hantera Windows Server- eller Linux-datorer utanför Azure som är anslutna till delegerade prenumerationer och/eller resursgrupper i Azure
  • Hantera anslutna datorer med hjälp av Azure-konstruktioner, Azure Policy och taggning
  • Se till att samma uppsättning principer tillämpas i kundernas hybridmiljöer
  • Använda Microsoft Defender för molnet för att övervaka efterlevnad i kundernas hybridmiljöer
• Hantera Kubernetes-hybridkluster i skala Azure Arc Kubernetes (förhandsversion):
  • Hantera Kubernetes-kluster som är anslutna till delegerade prenumerationer och/eller resursgrupper i Azure
  • Använda GitOps för anslutna kluster
  • Framtvinga principer i anslutna kluster

Azure Automation:

• Använda Automation-konton för att få åtkomst till och arbeta med delegerade resurser

Azure Backup:

• Återställning av kunddata från lokala arbetsbelastningar, virtuella Azure-datorer, Azure-filresurser med mera
• Visa data för alla delegerade kundresurser i Backup Center
• Använd -Backup-utforskaren att visa driftsinformation för säkerhetskopieringsobjekt (inklusive Azure-resurser som ännu inte har konfigurerats för säkerhetskopiering) och övervakningsinformation (jobb och aviseringar) för delegerade prenumerationer. Den Backup-utforskaren är för närvarande endast tillgänglig för Azure VM-data.
• Använd Backup-rapporter delegerade prenumerationer för att spåra historiska trender, analysera lagringsanvändning för säkerhetskopior och granska säkerhetskopieringar och återställningar.

Azure Blueprints:

• Använd Azure Blueprints för att samordna distributionen av resursmallar och andra artefakter (kräver ytterligare åtkomst för att förbereda kundprenumerationen)

Azure Cost Management + Billing:

• Från den hanterande klientorganisationen kan CSP-partner visa, hantera och analysera förbrukningskostnader före skatt (inte inklusive inköp) för kunder som omfattas av Azure-planen. Kostnaden baseras på återförsäljarpriser och azures rollbaserade åtkomstkontroll (Azure RBAC) som partnern har för kundens prenumeration. För närvarande kan du visa förbrukningskostnader till återförsäljarpriser för varje enskild kundprenumeration baserat på Azure RBAC-åtkomst.

Azure Key Vault:

• Skapa nyckelvalv i kundklienter
• Använda en hanterad identitet för att skapa nyckelvalv i kundklienter

Azure Kubernetes Service (AKS):

• Hantera värdhanterade Kubernetes-miljöer och distribuera och hantera containerprogram i kundklienter
• Distribuera och hantera kluster i kundklienter
• Använda Azure Monitor för containrar för att övervaka prestanda mellan kundklienter

Azure Migrate:

• Skapa migreringsprojekt i kundens klientorganisation och migrera virtuella datorer

Azure Monitor:

• Visa aviseringar för delegerade prenumerationer, med möjlighet att visa och uppdatera aviseringar för alla prenumerationer
• Visa aktivitetslogginformation för delegerade prenumerationer
• Log Analytics:Fråga efter data från fjärranslutna arbetsytor i flera klienter (observera att Automation-konton som används för att komma åt data från arbetsytor i kundklienter måste skapas i samma klientorganisation)
• Skapa, visa och hantera måttaviseringar, logga aviseringaroch aktivitetsloggaviseringar i kundklienter
• Skapa aviseringar i kundklienter som utlöser automatisering, till exempel Azure Automation runbooks eller Azure Functions, i den hanterande klientorganisationen via webhooks
• Skapa diagnostikinställningar i arbetsytor som skapats i kundklienter för att skicka resursloggar till arbetsytor i den hanterande klientorganisationen
• För SAP-arbetsbelastningar övervakar du SAP Solutions-mått med en sammanställd vy över kundklienter
• För Azure AD B2C kan du dirigera inloggnings- och granskningsloggar till olika övervakningslösningar

Azure-nätverkstjänster:

• Distribuera och hantera Azure Virtual Network och virtuella nätverkskort (vNIC) i hanterade klienter
• Distribuera och konfigurera Azure Firewall att skydda kundernas Virtual Network resurser
• Hantera anslutningstjänster som Azure Virtual WAN, ExpressRouteoch VPN-gatewayer
• Använd Azure Lighthouse för att stödja viktiga scenarier för Azure-nätverkstjänster MSP-programmet

Azure Policy:

• Skapa och redigera principdefinitioner i delegerade prenumerationer
• Distribuera principdefinitioner och principtilldelningar över flera klienter
• Tilldela kunddefinierade principdefinitioner i delegerade prenumerationer
• Kunder ser principer som har redigerats av tjänstleverantören tillsammans med eventuella principer som de har skapat själva
• Kan åtgärda deployIfNotExists eller ändra tilldelningar i den hanterade klientorganisationen
• Observera att det för närvarande inte finns stöd för att visa efterlevnadsinformation för icke-kompatibla resurser i kundklienter

Azure Resource Graph:

• Innehåller nu klientorganisations-ID:t i returnerade frågeresultat, så att du kan identifiera om en prenumeration tillhör en hanterad klientorganisation

Azure Service Health:

• Övervaka hälsotillståndet för kundresurser med Azure Resource Health
• Spåra hälsotillståndet för de Azure-tjänster som används av dina kunder

Azure Site Recovery:

• Hantera haveriberedskapsalternativ för virtuella Azure-datorer i kundklienter (observera att du inte kan använda konton RunAs för att kopiera VM-tillägg)

Azure Virtual Machines:

• Använd tillägg för virtuella datorer för att tillhandahålla konfigurations- och automatiseringsuppgifter efter distributionen på virtuella Azure-datorer
• Använda startdiagnostik för att felsöka virtuella Azure-datorer
• Få åtkomst till virtuella datorer med seriekonsolen
• Integrera virtuella datorer med Azure Key Vault för lösenord, hemligheter eller kryptografiska nycklar för diskkryptering med hjälp av hanterad identitet via princip ,vilket säkerställer att hemligheter lagras i en Key Vault i de hanterade klientorganisationen
• Observera att du inte kan använda Azure Active Directory för fjärrinloggning till virtuella datorer

Microsoft Defender för moln:

• Synlighet mellan klienter
  • Övervaka efterlevnad av säkerhetsprinciper och säkerställa säkerhetstäckning för alla klientorganisationens resurser
  • Kontinuerlig övervakning av regelefterlevnad över flera klienter i en enda vy
  • Övervaka, prioritera och prioritera användbara säkerhetsrekommendationer med beräkning av säkerhetspoäng
• Hantering av säkerhetsstatus mellan klienter
  • Hantera säkerhetsprinciper
  • Vidta åtgärder för resurser som inte följer gällande säkerhetsrekommendationer
  • Samla in och lagra säkerhetsrelaterade data
• Hotidentifiering och skydd mellan klientorganisationen
  • Identifiera hot mellan klientorganisationens resurser
  • Tillämpa avancerade hotskyddskontroller, till exempel jit-åtkomst (just-in-time) för virtuella datorer
  • Härda nätverkssäkerhetsgruppens konfiguration med anpassningsbar nätverkshärdning
  • Se till att servrarna endast kör de program och processer som de ska ha med anpassningsbara programkontroller
  • Övervaka ändringar av viktiga filer och registerposter med övervakning av filintegritet (FIM)
• Observera att hela prenumerationen måste delegeras till den hanterande klientorganisationen. Microsoft Defender för molnscenarier stöds inte med delegerade resursgrupper

Microsoft Sentinel:

• Hantera Microsoft Sentinel-resurser i kundklienter
• Spåra attacker och visa säkerhetsaviseringar över flera klienter
• Visa incidenter över flera Microsoft Sentinel-arbetsytor som är fördelade mellan klienter

Supportbegäranden:

• Öppna supportbegäranden från Hjälp + support i Azure Portal för delegerade resurser (välja den supportplan som är tillgänglig för det delegerade omfånget)
• Använda Azure Quota API för att visa och hantera Azure-tjänstkvoter för delegerade kundresurser

Aktuella begränsningar

I alla scenarier bör du vara medveten om följande aktuella begränsningar:

• Begäranden som hanteras av Azure Resource Manager kan utföras med hjälp av Azure Lighthouse. Åtgärds-URI:erna för dessa begäranden börjar med https://management.azure.com . Begäranden som hanteras av en instans av en resurstyp (till exempel åtkomst Key Vault hemligheter eller lagringsdata) stöds dock inte med Azure Lighthouse. Åtgärds-URI:erna för dessa begäranden börjar vanligtvis med en adress som är unik för din instans, till exempel https://myaccount.blob.core.windows.net eller https://mykeyvault.vault.azure.net/ . Det senare är också vanligtvis dataåtgärder i stället för hanteringsåtgärder.
• Rolltilldelningar måste använda inbyggda Azure-roller. Alla inbyggda roller stöds för närvarande med Azure Lighthouse, förutom ägare eller inbyggda roller med DataActions behörighet. Rollen Administratör för användaråtkomst stöds endast för begränsad användning vid tilldelning av roller till hanterade identiteter. Anpassade roller och administratörsroller för klassiska prenumerationer stöds inte.
• Du kan registrera prenumerationer som använder Azure Databricks, men användare i den hanterande klientorganisationen kan inte starta Azure Databricks arbetsytor på en delegerad prenumeration just nu.
• Du kan registrera prenumerationer och resursgrupper som har resurslås, men dessa lås förhindrar inte att åtgärder utförs av användare i den hanterande klientorganisationen. Neka tilldelningar som skyddar system hanterade resurser, till exempel de som skapats av Azure-hanterade program eller Azure Blueprints (systemtilldejade tilldelningar), hindrar inte användare i den hanterande klientorganisationen från att agera på dessa resurser. För stunden kan dock användare i kundklientorganisationen inte skapa egna tilldelningsnekanden (tilldelningar som tilldelats av användaren).
• Delegering av prenumerationer i ett nationellt moln och det offentliga Azure-molnet, eller mellan två separata nationella moln, stöds inte.

Nästa steg

• Registrera dina kunder för Azure Lighthouse, antingen med hjälp Azure Resource Manager mallar eller genom att publicera ett privat eller offentligt hanterat tjänsterbjudande för att Azure Marketplace.
• Visa och hantera kunder genom att gå till Mina kunder i Azure Portal.