Azure Lighthouse i företagsscenarier

Artikel
10/26/2023

Ett vanligt scenario för Azure Lighthouse är en tjänstleverantör som hanterar resurser i sina kunders Microsoft Entra-klienter. Funktionerna i Azure Lighthouse kan också användas för att förenkla hantering mellan klientorganisationer inom ett företag som använder flera Microsoft Entra-klienter.

Enskild eller flera klientorganisationer

För de flesta organisationer är hanteringen enklare med en enda Microsoft Entra-klientorganisation. Om du har alla resurser inom en klientorganisation kan du centralisera hanteringsuppgifter av utsedda användare, användargrupper eller tjänstens huvudnamn i klientorganisationen. Vi rekommenderar att du använder en klientorganisation för din organisation när det är möjligt.

Vissa organisationer kan behöva använda flera Microsoft Entra-klienter. Detta kan vara en tillfällig situation, eftersom när förvärv har ägt rum och en långsiktig strategi för klientkonsolidering inte har definierats ännu. Andra gånger kan organisationer behöva underhålla flera klienter kontinuerligt på grund av helt oberoende dotterbolag, geografiska eller juridiska krav eller andra överväganden.

I de fall där en arkitektur med flera klientorganisationer krävs kan Azure Lighthouse hjälpa till att centralisera och effektivisera hanteringsåtgärder. Med hjälp av Azure Lighthouse kan användare i en hanterande klientorganisation utföra hanteringsfunktioner mellan klientorganisationer på ett centraliserat och skalbart sätt.

Arkitektur för klientorganisationshantering

Om du vill använda Azure Lighthouse i ett företag måste du ta reda på vilken klientorganisation som ska innehålla de användare som utför hanteringsåtgärder på de andra klienterna. Med andra ord måste du ange en klientorganisation som hanteringsklient för de andra klienterna.

Anta till exempel att din organisation har en enda klientorganisation som vi ska anropa klientorganisation A. Din organisation hämtar sedan klient B och klientorganisation C, och du har affärsskäl som kräver att du underhåller dem som separata klientorganisationer. Du vill dock använda samma principdefinitioner, säkerhetskopieringsmetoder och säkerhetsprocesser för alla, med hanteringsuppgifter som utförs av samma uppsättning användare.

Eftersom Klient A redan innehåller användare i din organisation som har utfört dessa uppgifter för klientorganisation A, kan du registrera prenumerationer i klient B och klientorganisation C, vilket gör att samma användare i klient A kan utföra dessa uppgifter för alla klienter.

Diagram showing users in Tenant A managing resources in Tenant B and Tenant C.

Säkerhets- och åtkomstöverväganden

I de flesta företagsscenarier vill du delegera en fullständig prenumeration till Azure Lighthouse. Du kan också välja att endast delegera specifika resursgrupper i en prenumeration.

Hur som helst, se till att följa principen om lägsta behörighet när du definierar vilka användare som ska ha åtkomst till delegerade resurser. Detta bidrar till att säkerställa att användarna bara har de behörigheter som krävs för att utföra de uppgifter som krävs och minskar risken för oavsiktliga fel.

Azure Lighthouse tillhandahåller endast logiska länkar mellan en hanterande klientorganisation och hanterade klienter i stället för att fysiskt flytta data eller resurser. Dessutom går åtkomsten alltid bara i en riktning, från den hanterande klientorganisationen till de hanterade klienterna. Användare och grupper i den hanterande klientorganisationen bör fortsätta att använda multifaktorautentisering när hanteringsåtgärder utförs på hanterade klientresurser.

Företag med intern eller extern styrning och efterlevnadsskydd kan använda Azure-aktivitetsloggar för att uppfylla sina transparenskrav. När företagsklientorganisationer har upprättat hanterings- och hanterade klientrelationer kan användare i varje klientorganisation visa loggad aktivitet för att se åtgärder som vidtagits av användare i den hanterande klientorganisationen.

Introduktionsöverväganden

Prenumerationer (eller resursgrupper i en prenumeration) kan registreras i Azure Lighthouse antingen genom att distribuera Azure Resource Manager-mallar eller via managed services-erbjudanden som publicerats till Azure Marketplace.

Eftersom företagsanvändare vanligtvis har direkt åtkomst till företagets klienter, och det inte finns något behov av att marknadsföra eller marknadsföra ett hanteringserbjudande, är det vanligtvis snabbare och enklare att distribuera Azure Resource Manager-mallar. Registreringsvägledningen avser tjänsteleverantörer och kunder, men företag kan använda samma processer för att registrera sina klienter.

Om du vill kan klienter i ett företag registreras genom att publicera ett erbjudande om hanterade tjänster till Azure Marketplace. Kontrollera att erbjudandet endast är tillgängligt för lämpliga klienter genom att se till att dina planer har markerats som privata. Med en privat plan anger du prenumerations-ID:n för varje klientorganisation som du planerar att registrera, och ingen annan kommer att kunna få ditt erbjudande.

Azure AD B2C

Azure Active Directory B2C (Azure AD B2C) tillhandahåller företags-till-kund-identitet som en tjänst. När du delegerar en resursgrupp via Azure Lighthouse kan du använda Azure Monitor för att dirigera inloggnings- och granskningsloggar för Azure Active Directory B2C (Azure AD B2C) till olika övervakningslösningar. Du kan behålla loggarna för långsiktig användning eller integrera med siem-verktyg (säkerhetsinformation och händelsehantering) från tredje part för att få insikter om din miljö.

Mer information finns i Övervaka Azure AD B2C med Azure Monitor.

Terminologianteckningar

För hantering mellan klientorganisationer i företaget kan referenser till tjänstleverantörer i Azure Lighthouse-dokumentationen tolkas som tillämpliga på den hanterande klientorganisationen i ett företag, det vill s.v.s. den klientorganisation som innehåller de användare som ska hantera resurser i andra klientorganisationer via Azure Lighthouse. På samma sätt kan alla referenser till kunder anses gälla för de klienter som delegerar resurser som ska hanteras via användare i den hanterande klientorganisationen.

I exemplet som beskrivs ovan kan du till exempel betrakta klientorganisation A som tjänstleverantörsklient (den hanterande klientorganisationen) och Klient B och Klientorganisation C som kundklientorganisationer.

Om du fortsätter med det exemplet kan klientanvändare med rätt behörighet visa och hantera delegerade resurser på sidan Mina kunder i Azure-portalen. På samma sätt kan klient-B- och klient-C-användare med rätt behörighet visa och hantera de resurser som har delegerats till klientorganisation A på sidan Tjänstleverantörer i Azure-portalen.

Nästa steg

Utforska alternativ för resursorganisation i arkitekturer med flera klientorganisationer.
Lär dig mer om hanteringsupplevelser mellan klientorganisationer.
Läs mer om hur Azure Lighthouse fungerar.