Azure Lighthouse i företagsscenarier

  • Artikel
  • 4 minuter för att läsa

Ett vanligt scenario för Azure Lighthouse är när en tjänstleverantör hanterar resurser i Azure Active Directory(Azure AD) klienter som tillhör kunder. Funktionerna i en Azure Lighthouse också användas för att förenkla hanteringen mellan klientorganisationen i ett företag som använder flera Azure AD-klienter.

En eller flera klienter

För de flesta organisationer är hanteringen enklare med en enda Azure AD-klientorganisation. Genom att ha alla resurser i en klientorganisation kan du centralisera hanteringsuppgifter av angivna användare, användargrupper eller tjänstens huvudnamn i klientorganisationen. Vi rekommenderar att du använder en klientorganisation för din organisation när det är möjligt.

Vissa organisationer kan behöva använda flera Azure AD-klientorganisationer. Detta kan vara en tillfällig situation, eftersom när förvärv har gjorts och en långsiktig strategi för klientkonsolidering inte har definierats ännu. Andra gånger kan organisationer behöva underhålla flera klienter kontinuerligt på grund av fullständigt oberoende dotterbolag, geografiska eller juridiska krav eller andra överväganden.

I fall där en arkitektur för flera innehavare krävs kan Azure Lighthouse centralisera och effektivisera hanteringsåtgärder. Med hjälp Azure Lighthouse kan användare i en hanterande klient utföra hanteringsfunktioner mellan klientorganisationen på ett centraliserat, skalbart sätt.

Klientorganisationshanteringsarkitektur

Om du Azure Lighthouse i ett företag måste du bestämma vilken klientorganisation som ska innehålla de användare som utför hanteringsåtgärder på de andra klienterna. Med andra ord måste du utse en klientorganisation som den hanterande klientorganisationen för de andra klienterna.

Låt oss till exempel säga att din organisation har en enda klientorganisation som vi kallar Klient A. Din organisation hämtar sedan klient B och klient C, och du har affärsorsaker som kräver att du underhåller dem som separata klienter. Men du vill använda samma principdefinitioner, säkerhetskopieringsmetoder och säkerhetsprocesser för alla, med hanteringsuppgifter som utförs av samma uppsättning användare.

Eftersom Klient A redan innehåller användare i din organisation som har utfört dessa uppgifter för Klient A kan du registrera prenumerationer i Klient B och Klient C, vilket gör att samma användare i klient A kan utföra dessa uppgifter i alla klienter.

Diagram som visar användare i Klient A som hanterar resurser i Klient B och Klient C.

Säkerhets- och åtkomstöverväganden

I de flesta företagsscenarier bör du delegera en fullständig prenumeration till Azure Lighthouse. Du kan också välja att endast delegera specifika resursgrupper i en prenumeration.

Oavsett vilket bör du följa principen om minsta behörighet när du definierar vilka användare som ska ha åtkomst till delegerade resurser. Detta bidrar till att säkerställa att användarna bara har de behörigheter som krävs för att utföra de uppgifter som krävs och minskar risken för oavsiktliga fel.

Azure Lighthouse innehåller bara logiska länkar mellan en hanterande klientorganisation och hanterade klienter, i stället för att fysiskt flytta data eller resurser. Dessutom går åtkomsten alltid bara i en riktning, från den hanterande klientorganisationen till de hanterade klientorganisationen. Användare och grupper i den hanterande klientorganisationen bör fortsätta att använda multifaktorautentisering när de utför hanteringsåtgärder på hanterade klientresurser.

Företag med interna eller externa styrnings- och efterlevnadsskyddsräcken kan använda Azure-aktivitetsloggar för att uppfylla sina transparenskrav. När företagsklienter har upprättat hanterade och hanterade klientrelationer kan användare i varje klientorganisation visa loggad aktivitet för att se åtgärder som vidtas av användare i den hanterande klientorganisationen.

Onboarding-överväganden

Prenumerationer (eller resursgrupper i en prenumeration) kan publiceras till Azure Lighthouse antingen genom att distribuera Azure Resource Manager-mallar eller via erbjudanden för hanterade tjänster som publicerats till Azure Marketplace.

Eftersom företagsanvändare vanligtvis har direkt åtkomst till företagets klienter, och det inte finns något behov av att marknadsföra eller marknadsföra ett hanteringserbjudande, är det vanligtvis snabbare och enklare att distribuera Azure Resource Manager mallar. Onboarding-vägledningen avser tjänstleverantörer och kunder, men företag kan använda samma processer för att registrera sina klienter.

Om du vill kan klienter inom ett företag publiceras genom att publicera ett erbjudande om hanterade tjänster för att Azure Marketplace. Se till att dina planer är markerade som privata för att säkerställa att erbjudandet endast är tillgängligt för lämpliga klienter. Med en privat plan anger du prenumerations-ID:erna för varje klientorganisation som du planerar att registrera, och ingen annan kan få ditt erbjudande.

Azure AD B2C

Azure Active Directory B2C (Azure AD B2C) tillhandahåller identitet som en tjänst från företag till kund. När du delegerar en resursgrupp via Azure Lighthouse kan du använda Azure Monitor för att dirigera inloggnings- och granskningsloggar för Azure Active Directory B2C (Azure AD B2C) till olika övervakningslösningar. Du kan behålla loggarna för långsiktig användning eller integrera med SIEM-verktyg (säkerhetsinformation och händelsehantering) från tredje part för att få insikter om din miljö.

Mer information finns i Övervaka Azure AD B2C med Azure Monitor.

Terminologianteckningar

För hantering av flera innehavare inom företaget kan referenser till tjänstleverantörer i Azure Lighthouse-dokumentationen tolkas som tillämpliga för den hanterande klientorganisationen i ett företag, det vill säga den klientorganisation som innehåller de användare som ska hantera resurser i andra klienter via Azure Lighthouse. På samma sätt kan alla referenser till kunder tolkas som tillämpliga för klienter som delegerar resurser som ska hanteras via användare i den hanterande klientorganisationen.

I exemplet som beskrivs ovan kan till exempel Klient A ses som en tjänstleverantörsklient (den hanterande klientorganisationen) och Klient B och Klient C kan ses som kundklienter.

Om vi fortsätter med det exemplet kan klientorganisation A-användare med rätt behörighet visa och hantera delegerade resurser på sidan Mina kunder i Azure Portal. På samma sätt kan användare av klientorganisation B och klientorganisation C med rätt behörighet visa och hantera de resurser som har delegerats till Klient A på sidan Tjänstproviders i Azure Portal.

Nästa steg