Kiracılar arası yönetim deneyimleriCross-tenant management experiences

Hizmet sağlayıcısı olarak, Azure kaynaklarını, Azure Portalkendi kiracınızda birden fazla müşterinin Azure kaynaklarını yönetmek için kullanabilirsiniz .As a service provider, you can use Azure delegated resource management to manage Azure resources for multiple customers from within your own tenant in the Azure portal. Birçok görev ve hizmet yönetilen kiracılar genelinde Azure kaynakları için kullanılabilir.Most tasks and services can be performed on delegated Azure resources across managed tenants. Bu makalede, Azure tarafından yetkilendirilen Kaynak yönetiminin etkili olduğu bazı gelişmiş senaryolar açıklanmaktadır.This article describes some of the enhanced scenarios where Azure delegated resource management can be effective.

Not

Azure Temsilcili kaynak yönetimi, platformlar arası yönetimi basitleştirmek için birden fazla kiracının bulunduğu bir kuruluşta da kullanılabilir.Azure delegated resource management can also be used within an enterprise which has multiple tenants of its own to simplify cross-tenant administration.

Müşteri kiracılarını anlamaUnderstanding customer tenants

Azure Active Directory (Azure AD) kiracısı, kuruluşun bir gösterimidir.An Azure Active Directory (Azure AD) tenant is a representation of an organization. Bu, bir kuruluşun Azure, Microsoft 365 veya diğer hizmetlere kaydolarak Microsoft ile bir ilişki oluşturduklarında aldığı adanmış bir Azure AD örneğidir.It's a dedicated instance of Azure AD that an organization receives when they create a relationship with Microsoft by signing up for Azure, Microsoft 365, or other services. Her Azure AD kiracısı farklı ve diğer Azure AD kiracılarından ayrıdır ve kendi kiracı KIMLIĞINE (bir GUID) sahiptir.Each Azure AD tenant is distinct and separate from other Azure AD tenants, and has its own tenant ID (a GUID). Daha fazla bilgi için bkz. Azure Active Directory nedir?For more info, see What is Azure Active Directory?

Genellikle, bir müşterinin Azure kaynaklarını yönetmek için, hizmet sağlayıcılarının bu müşterinin kiracısıyla ilişkili bir hesabı kullanarak Azure portal oturum açması gerekir ve Kullanıcı hesaplarını oluşturmak ve yönetmek için müşterinin kiracısında bir yönetici gerektirir hizmet sağlayıcı için.Typically, in order to manage Azure resources for a customer, service providers would have to sign in to the Azure portal using an account associated with that customer's tenant, requiring an administrator in the customer's tenant to create and manage user accounts for the service provider.

Azure Temsilcili kaynak yönetimi sayesinde, ekleme işlemi, hizmet sağlayıcısının kiracısındaki kullanıcıları, müşteri kiracısında abonelikler, kaynak grupları ve kaynaklara erişebilecek ve yönetebilecek kullanıcıları belirler.With Azure delegated resource management, the onboarding process specifies users within the service provider's tenant who will be able to access and manage subscriptions, resource groups, and resources in the customer's tenant. Bu kullanıcılar daha sonra kendi kimlik bilgilerini kullanarak Azure portal oturum açabilirler.These users can then sign in to the Azure portal using their own credentials. Azure portal içinde, erişimleri olan tüm müşterilere ait olan kaynakları yönetebilir.Within the Azure portal, they can manage resources belonging to all customers to which they have access. Bu işlem, Azure portal müşteriler sayfasından veya Azure Portal ya da API 'ler aracılığıyla doğrudan söz konusu müşterinin aboneliği kapsamında çalışarak yapılabilir.This can be done by visiting the My customers page in the Azure portal, or by working directly within the context of that customer's subscription, either in the Azure portal or via APIs.

Azure Temsilcili kaynak yönetimi, farklı kiracılarda farklı hesaplarda oturum açmaya gerek kalmadan, birden fazla müşteriye ait kaynakların yönetilmesine daha fazla esneklik sağlar.Azure delegated resource management allows greater flexibility to manage resources for multiple customers without having to sign in to different accounts in different tenants. Örneğin, bir hizmet sağlayıcısı, aşağıda gösterildiği gibi farklı sorumluluklara ve erişim düzeylerine sahip üç müşteriye sahip olabilir:For example, a service provider may have three customers, with different responsibilities and access levels, as shown here:

Hizmet sağlayıcısı sorumluluklarını gösteren üç müşteri kiracının

Yetkili kullanıcılar, Azure tarafından atanan kaynak yönetimini kullanarak bu kaynaklara erişmek için hizmet sağlayıcının kiracısında oturum açabilirler, burada gösterildiği gibi:Using Azure delegated resource management, authorized users can sign in to the service provider’s tenant to access these resources, as shown here:

Bir hizmet sağlayıcı kiracısıyla yönetilen müşteri kaynakları

API 'Ler ve Yönetim Aracı desteğiAPIs and management tool support

Temsilcili kaynaklar üzerinde doğrudan portalda veya API 'Ler ile yönetim araçlarını kullanarak (Azure CLı ve Azure PowerShell) yönetim görevleri gerçekleştirebilirsiniz.You can perform management tasks on delegated resources either directly in the portal or by using APIs and management tools (such as Azure CLI and Azure PowerShell). Tüm mevcut API 'Ler, işlevsellik çapraz Kiracı Yönetimi için desteklendiği ve Kullanıcı uygun izinlere sahip olduğu sürece, temsilcili kaynaklarla çalışırken kullanılabilir.All existing APIs can be used when working with delegated resources, as long as the functionality is supported for cross-tenant management and the user has the appropriate permissions.

Ayrıca, Azure Temsilcili kaynak yönetimi görevlerini gerçekleştirmek için API 'Ler sunuyoruz.We also provide APIs to perform Azure delegated resource management tasks. Daha fazla bilgi için başvuru bölümüne bakın.For more info, see the Reference section.

Geliştirilmiş hizmetler ve senaryolarEnhanced services and scenarios

Birçok görev ve hizmet, yönetilen kiracılar genelinde Temsilcili kaynaklar üzerinde gerçekleştirilebilir.Most tasks and services can be performed on delegated resources across managed tenants. Platformlar arası yönetimin etkili olabilmesi için aşağıdaki önemli senaryolardan bazılarını aşağıda bulabilirsiniz.Below are some of the key scenarios where cross-tenant management can be effective.

Sunucular Için Azure Arc (Önizleme):Azure Arc for servers (preview):

Azure Otomasyonu:Azure Automation:

  • Atanan müşteri kaynaklarına erişmek ve bunlarla çalışmak için Otomasyon hesaplarını kullanmaUse automation accounts to access and work with delegated customer resources

Azure Backup:Azure Backup:

  • Müşteri kiracılarında müşteri verilerini yedekleme ve geri yüklemeBack up and restore customer data in customer tenants

Azure Kubernetes hizmeti (AKS):Azure Kubernetes Service (AKS):

  • Barındırılan Kubernetes ortamlarını yönetme ve müşteri kiracılarında Kapsayıcılı uygulamaları dağıtma ve yönetmeManage hosted Kubernetes environments and deploy and manage containerized applications within customer tenants

Azure izleyici:Azure Monitor:

  • Tüm aboneliklerdeki uyarıları görüntüleyebilme olanağı sayesinde, temsilci atanmış abonelikler için uyarıları görüntülemeView alerts for delegated subscriptions, with the ability to view alerts across all subscriptions
  • Temsilcili abonelikler için etkinlik günlüğü ayrıntılarını görüntülemeView activity log details for delegated subscriptions
  • Log Analytics: birden çok Kiracıdaki uzak müşteri çalışma alanlarından verileri sorgulamaLog analytics: Query data from remote customer workspaces in multiple tenants
  • Web kancaları aracılığıyla hizmet sağlayıcı kiracısındaki Azure Otomasyonu runbook 'ları veya Azure Işlevleri gibi Otomasyonu tetikleyen müşteri kiracılarında uyarı oluşturmaCreate alerts in customer tenants that trigger automation, such as Azure Automation runbooks or Azure Functions, in the service provider tenant through webhooks

Azure ilkesi:Azure Policy:

  • Uyumluluk anlık görüntüleri, atanan abonelikler içindeki atanmış ilkelerin ayrıntılarını gösterirCompliance snapshots show details for assigned policies within delegated subscriptions
  • Temsilci atanmış bir abonelik içinde ilke tanımları oluşturma ve düzenlemeCreate and edit policy definitions within a delegated subscription
  • Atanan abonelik içinde müşteri tanımlı ilke tanımları atamaAssign customer-defined policy definitions within the delegated subscription
  • Müşteriler, yazdığı ilkelerin yanı sıra hizmet sağlayıcı tarafından yazılan ilkeleri görürCustomers see policies authored by the service provider alongside any policies they've authored themselves
  • DeployIfNotExists 'i düzeltebilir veya müşteri kiracısında atamaları değiştirebilirlerCan remediate deployIfNotExists or modify assignments within the customer tenant

Azure Kaynak Grafiği:Azure Resource Graph:

  • Şimdi döndürülen sorgu sonuçlarında kiracı KIMLIĞINI içerir, bu da bir aboneliğin müşteri kiracısına veya hizmet sağlayıcı kiracısına ait olup olmadığını tanımlamanızı sağlarNow includes the tenant ID in returned query results, allowing you to identify whether a subscription belongs to the customer tenant or service provider tenant

Azure Güvenlik Merkezi:Azure Security Center:

  • Çapraz kiracı görünürlüğüCross-tenant visibility
    • Güvenlik ilkelerine uyumluluğu izleyin ve tüm kiracıların kaynakları genelinde güvenlik kapsamı sağlayınMonitor compliance to security policies and ensure security coverage across all tenants’ resources
    • Tek bir görünümdeki birden çok müşteri arasında sürekli mevzuat uyumluluk izlemesiContinuous regulatory compliance monitoring across multiple customers in a single view
    • Güvenli puan hesaplaması ile eylem yapılabilir güvenlik önerilerini izleyin, önceliklendirin ve önceliklendirinMonitor, triage, and prioritize actionable security recommendations with secure score calculation
  • Çapraz kiracı güvenlik sonrası yönetimiCross-tenant security posture management
    • Güvenlik ilkelerini yönetmeManage security policies
    • İşlem yapılabilir güvenlik önerileri ile uyumlu olmayan kaynaklar üzerinde işlem gerçekleştirinTake action on resources that are out of compliance with actionable security recommendations
    • Güvenlikle ilgili verileri toplama ve depolamaCollect and store security-related data
  • Çapraz kiracı tehdit algılama ve korumaCross-tenant threat detection and protection
    • Kiracıların kaynakları genelinde tehditleri AlgılaDetect threats across tenants’ resources
    • Tam zamanında (JıT) VM erişimi gibi gelişmiş tehdit koruması denetimleri uygulayınApply advanced threat protection controls such as just-in-time (JIT) VM access
    • Uyarlamalı ağ sağlamlaştırma ile ağ güvenlik grubu yapılandırmasını Harden artırmaHarden network security group configuration with Adaptive Network Hardening
    • Sunucuların yalnızca Uyarlamalı uygulama denetimleriyle birlikte olması gereken uygulamaları ve süreçler çalıştırdığından emin olunEnsure servers are running only the applications and processes they should be with adaptive application controls
    • Dosya bütünlüğü Izleme (FIM) ile önemli dosyalarda ve kayıt defteri girdilerindeki değişiklikleri izlemeMonitor changes to important files and registry entries with File Integrity Monitoring (FIM)

Azure Sentinel:Azure Sentinel:

  • Müşteri kiracılarında Azure Sentinel kaynaklarını yönetmeManage Azure Sentinel resources in customer tenants

Azure hizmet durumu:Azure Service Health:

  • Azure Kaynak Durumu ile müşteri kaynaklarının sistem durumunu izlemeMonitor the health of customer resources with Azure Resource Health
  • Müşterileriniz tarafından kullanılan Azure hizmetlerinin sistem durumunu izlemeTrack the health of the Azure services used by your customers

Azure Site Recovery:Azure Site Recovery:

  • Müşteri kiracılarında Azure sanal makineler için olağanüstü durum kurtarma seçeneklerini yönetme (VM uzantılarını kopyalamak için RunAs hesaplarını kullanmayacağınızı unutmayın)Manage disaster recovery options for Azure virtual machines in customer tenants (note that you can't use RunAs accounts to copy VM extensions)

Azure sanal makineleri:Azure Virtual Machines:

  • Müşteri kiracılarında Azure VM 'lerinde dağıtım sonrası yapılandırma ve otomasyon görevleri sağlamak için sanal makine uzantılarını kullanınUse virtual machine extensions to provide post-deployment configuration and automation tasks on Azure VMs in customer tenants
  • Müşteri kiracılarında Azure VM 'lerinde sorun gidermek için önyükleme tanılamayı kullanmaUse boot diagnostics to troubleshoot Azure VMs in customer tenants
  • Müşteri kiracılarında seri konsol ile VM 'Lere erişmeAccess VMs with serial console in customer tenants
  • Bir VM 'ye uzaktan oturum açma için Azure Active Directory kullanmayacağınızı ve disk şifrelemesi için parolalar, gizlilikler veya şifreleme anahtarları için bir sanal makineyi Key Vault ile tümleştiremiyorum gerektiğini unutmayınNote that you can't use Azure Active Directory for remote login to a VM, and you can't integrate a VM with a Key Vault for passwords, secrets or cryptographic keys for disk encryption

Azure sanal ağı:Azure Virtual Network:

  • Sanal ağlar ve sanal ağ arabirim kartları (vNIC 'ler) ile müşteri kiracılar arasında dağıtın ve yönetinDeploy and manage virtual networks and virtual network interface cards (vNICs) within customer tenants

Destek istekleri:Support requests:

  • Temsilci atanan kaynaklar için destek isteklerini, Azure portal Yardım + Destek dikey penceresinden açın (Temsilcili kapsam için kullanılabilen destek planını seçme)Open support requests for delegated resources from the Help + support blade in the Azure portal (selecting the support plan available to the delegated scope)

Geçerli sınırlamalarCurrent limitations

Tüm senaryolarla, lütfen aşağıdaki geçerli sınırlamalara dikkat edin:With all scenarios, please be aware of the following current limitations:

  • Azure Resource Manager tarafından işlenen istekler, Azure tarafından atanan kaynak yönetimi kullanılarak gerçekleştirilebilir.Requests handled by Azure Resource Manager can be performed using Azure delegated resource management. Bu isteklerin işlem URI 'Leri https://management.azure.combaşlar.The operation URIs for these requests start with https://management.azure.com. Ancak, kaynak türünün bir örneği tarafından işlenen istekler (örneğin, Anahtar Kasası gizli dizileri erişimi veya depolama veri erişimi), Azure tarafından atanan kaynak yönetimi ile desteklenmez.However, requests that are handled by an instance of a resource type (such as KeyVault secrets access or storage data access) aren’t supported with Azure delegated resource management. Bu isteklerin işlem URI 'Leri genellikle örneğiniz için benzersiz olan ve https://myaccount.blob.core.windows.net veya https://mykeyvault.vault.azure.net/gibi bir adresle başlar.The operation URIs for these requests typically start with an address that is unique to your instance, such as https://myaccount.blob.core.windows.net or https://mykeyvault.vault.azure.net/. İkincisi ayrıca yönetim işlemleri yerine genellikle veri operasyonlardır.The latter also are typically data operations rather than management operations.
  • Rol atamalarının rol tabanlı erişim denetimi (RBAC) yerleşik rollerinikullanması gerekir.Role assignments must use role-based access control (RBAC) built-in roles. Tüm yerleşik roller Şu anda, sahip veya Dataactions iznine sahip herhangi bir yerleşik rol haricinde Azure tarafından yetkilendirilen kaynak yönetimi ile desteklenmektedir.All built-in roles are currently supported with Azure delegated resource management except for Owner or any built-in roles with DataActions permission. Kullanıcı erişimi yönetici rolü yalnızca yönetilen kimliklere rol atamakonusunda sınırlı kullanım için desteklenir.The User Access Administrator role is supported only for limited use in assigning roles to managed identities. Özel roller ve Klasik abonelik yöneticisi rolleri desteklenmez.Custom roles and classic subscription administrator roles are not supported.
  • Şu anda, abonelik Azure Databricks kullanıyorsa, Azure tarafından atanan kaynak yönetimi için abonelik (veya bir abonelik içinde kaynak grubu) ekleyemezsiniz.Currently, you can’t onboard a subscription (or resource group within a subscription) for Azure delegated resource management if the subscription uses Azure Databricks. Benzer şekilde, Microsoft. ManagedServices kaynak sağlayıcısı ile ekleme için bir abonelik kaydedilmişse, bu abonelik için şu anda bir Databricks çalışma alanı oluşturamazsınız.Similarly, if a subscription has been registered for onboarding with the Microsoft.ManagedServices resource provider, you won’t be able to create a Databricks workspace for that subscription at this time.
  • Kaynak kilitleri olan Azure tarafından atanan kaynak yönetimi için abonelikler ve kaynak grupları ekleyebilirsiniz, ancak bu kilitler, eylemlerin yönetim kiracısındaki kullanıcılar tarafından gerçekleştirilmesini engellemez.While you can onboard subscriptions and resource groups for Azure delegated resource management which have resource locks, those locks will not prevent actions from being performed by users in the managing tenant. Azure tarafından yönetilen uygulamalar veya Azure şemaları (sistem tarafından atanan reddetme atamaları) tarafından oluşturulanlar gibi sistem tarafından yönetilen kaynakları koruyan atamaları reddetme , yönetim kiracısındaki kullanıcıların bu kaynaklara göre davranmasını önler; Bununla birlikte, müşteri kiracısındaki kullanıcılar kendi reddetme atamalarını oluşturamaz (Kullanıcı tarafından atanan reddetme atamaları).Deny assignments that protect system-managed resources, such as those created by Azure managed applications or Azure Blueprints (system-assigned deny assignments), do prevent users in the managing tenant from acting on those resources; however, at this time users in the customer tenant can’t create their own deny assignments (user-assigned deny assignments).

Sonraki adımlarNext steps