Kiracılar arası yönetim deneyimleri

hizmet sağlayıcı olarak, azure mathouse kullanarak, birden çok müşteriye ait kaynakları kendi Azure Active Directory (Azure AD) kiracınızda yönetebilirsiniz. Yönetilen kiracılar arasında çok sayıda görev ve hizmet, Azure tarafından atanan kaynak yönetimikullanılarak gerçekleştirilebilir.

Kiracılar ve temsilciyi anlama

Bir Azure AD kiracısı, kuruluşun bir gösterimidir. bu, bir kuruluşun azure, Microsoft 365 veya diğer hizmetlere kaydolarak Microsoft ile bir ilişki oluşturduklarında aldığı adanmış bir Azure AD örneğidir. Her Azure AD kiracısı farklı ve diğer Azure AD kiracılarından ayrıdır ve kendi kiracı KIMLIĞINE (bir GUID) sahiptir. Daha fazla bilgi için bkz. Azure Active Directory nedir?

Genellikle, bir müşterinin Azure kaynaklarını yönetmek için, hizmet sağlayıcılarının bu müşterinin kiracısıyla ilişkili bir hesabı kullanarak Azure portal oturum açması gerekir, bu da müşterinin kiracısında hizmet sağlayıcısı için Kullanıcı hesapları oluşturmak ve yönetmek için bir yönetici gerektirir.

Azure Use ile, ekleme işlemi, hizmet sağlayıcısının kiracısındaki kullanıcıları, müşterinin kiracısında Temsilcili abonelikler ve kaynak grupları üzerinde çalışabilecektir. Bu kullanıcılar daha sonra kendi kimlik bilgilerini kullanarak Azure portal oturum açabilirler. Azure portal içinde, erişimleri olan tüm müşterilere ait olan kaynakları yönetebilir. Bu işlem, Azure portal müşteriler sayfasından veya Azure Portal ya da API 'ler aracılığıyla doğrudan söz konusu müşterinin aboneliği kapsamında çalışarak yapılabilir.

Azure Athouse, farklı kiracılarda farklı hesaplarda oturum açmak zorunda kalmadan birden fazla müşteriye ait kaynakların yönetilmesine daha fazla esneklik sağlar. Örneğin, bir hizmet sağlayıcısı farklı sorumluluklara ve erişim düzeylerine sahip iki müşteriye sahip olabilir. Yetkili kullanıcılar, Azure Athouse kullanılarak bu kaynaklara erişmek için hizmet sağlayıcının kiracısında oturum açabilir.

API 'Ler ve Yönetim Aracı desteği

Temsilcili kaynaklar üzerinde doğrudan portalda veya API 'Ler ile yönetim araçlarını kullanarak (Azure CLı ve Azure PowerShell) yönetim görevleri gerçekleştirebilirsiniz. Tüm mevcut API 'Ler, işlevsellik çapraz Kiracı Yönetimi için desteklendiği ve Kullanıcı uygun izinlere sahip olduğu sürece, temsilcili kaynaklarla çalışırken kullanılabilir.

Azure PowerShell Get-azsubscription cmdlet 'i , TenantId varsayılan olarak yönetim kiracısı için gösterir. HomeTenantId ManagedByTenantIds Her abonelik için ve özniteliklerini kullanarak, döndürülen bir aboneliğin yönetilen bir kiracıya veya yönetim kiracınıza ait olduğunu tanımlamanızı sağlayabilirsiniz.

Benzer şekilde, az Account List gıbı Azure CLI komutları homeTenantId ve özniteliklerini gösterir managedByTenants . Azure CLı kullanırken bu değerleri görmüyorsanız, arkasından ' i çalıştırarak Önbelleğinizi temizlemeyi deneyin az account clear az login --identity .

Azure REST API, abonelikler-Get ve abonelikler-liste komutları şunları içerir ManagedByTenant .

Ayrıca, Azure Use görevlerini gerçekleştirmeye özgü API 'Ler sunuyoruz. Daha fazla bilgi için başvuru bölümüne bakın.

Geliştirilmiş hizmetler ve senaryolar

Görevlerin ve hizmetlerin çoğu yönetilen kiracılar arasındaki temsilci kaynaklarında gerçekleştirilebilir. Bunlar, platformlar arası yönetimin özellikle etkili olabilecek önemli senaryolardan bazılarıdır.

Azure yay:

• Azure yay özellikli sunucuölçeğinde karma sunucuları yönetme:
  • azure dışındaki Windows sunucu veya Linux makinelerini , azure 'daki temsilcili aboneliklere ve/veya kaynak gruplarına bağlı olarak yönetin
  • Azure Ilkesi ve etiketleme gibi Azure yapılarını kullanarak bağlı makineleri yönetme
  • Müşterilerin karma ortamları arasında aynı ilke kümesinin uygulandığından emin olun
  • Müşterilerin karma ortamları arasında uyumluluğu izlemek için bulut için Microsoft Defender 'ı kullanın
• Karma Kubernetes kümelerini ölçeğe göre yönetme- Azure Arc-etkinleştirilmiş Kubernetes (Önizleme):
  • Azure 'da Temsilcili aboneliklere ve/veya kaynak gruplarına bağlı Kubernetes kümelerini yönetme
  • Bağlı kümeler için Gilar kullanma
  • Bağlı kümeler arasında ilkeleri zorunlu kıl

Azure Otomasyonu:

• Atanan kaynaklarla erişmek ve bunlarla çalışmak için Otomasyon hesaplarını kullanma

Azure Backup:

• Şirket içi iş yüklerinden, Azure VM 'lerinden, Azure dosya paylaşımlarından ve daha fazlasına ait müşteri verilerini yedekleyin ve geri yükleyin
• Tüm temsilci atanmış müşteri kaynakları için yedekleme merkezi 'nde verileri görüntüleyin
• Temsilci olan abonelikler için yedekleme öğelerinin (henüz yedekleme için yapılandırılmamış Azure kaynakları dahil) ve izleme bilgilerinin (işlerin ve uyarıların) işletimsel bilgilerini görüntülemeye yardımcı olması için yedekleme Gezginini kullanın. Yedekleme Gezgini Şu anda yalnızca Azure VM verileri için kullanılabilir.
• Geçmiş eğilimleri izlemek, yedekleme depolama tüketimini analiz etmek ve yedeklemeleri denetlemek ve geri yüklemek için, temsilcili abonelikler arasında yedekleme raporları kullanın.

Azure şemaları:

• Kaynak şablonlarının ve diğer yapıların dağıtımını düzenlemek için Azure şemaları 'nı kullanın (müşteri aboneliğini hazırlamak için ek erişim gerekir)

Azure maliyet yönetimi + faturalandırma:

• Yönetim kiracısından, CSP iş ortakları, Azure planı kapsamındaki müşteriler için vergi öncesi tüketim maliyetlerini (satın almalara dahil değil) görüntüleyebilir, yönetebilir ve analiz edebilir. Maliyet, perakende tariflerine ve iş ortağının müşterinin aboneliğine sahip olduğu Azure rol tabanlı erişim denetimi (Azure RBAC) erişimine göre yapılır. Şu anda, Azure RBAC erişimine dayalı her bir müşteri aboneliği için perakende ücretlerine göre tüketim maliyetlerini görüntüleyebilirsiniz.

Azure Key Vault:

• Müşteri kiracılarında Anahtar kasaları oluşturma
• Müşteri kiracılarında Anahtar kasaları oluşturmak için yönetilen bir kimlik kullanma

Azure Kubernetes hizmeti (AKS):

• Barındırılan Kubernetes ortamlarını yönetme ve müşteri kiracılarında Kapsayıcılı uygulamaları dağıtma ve yönetme
• Müşteri kiracılarında kümeleri dağıtma ve yönetme
• Müşteri kiracılarında performansı izlemek için kapsayıcılar için Azure Izleyicisini kullanın

Azure geçişi:

• Müşteri kiracısında geçiş projeleri oluşturma ve VM 'Leri geçirme

Azure izleyici:

• Tüm aboneliklerdeki uyarıları görüntüleme ve yenileme özelliği sayesinde, temsilci olan abonelikler için uyarıları görüntüleme
• Temsilcili abonelikler için etkinlik günlüğü ayrıntılarını görüntüleme
• Log Analytics: birden çok Kiracıdaki uzak çalışma alanlarından verileri sorgulama (müşteri kiracılarındaki çalışma alanlarından veriye erişmek için kullanılan Otomasyon hesaplarının aynı kiracıda oluşturulması gerektiğini unutmayın)
• Müşteri kiracılarında ölçüm uyarıları, günlük uyarılarıve etkinlik günlüğü uyarılarını oluşturun, görüntüleyin ve yönetin
• Azure Otomasyonu runbook 'ları veya Azure Işlevleri gibi Otomasyonu tetikleyen müşteri kiracılarında, Web kancaları aracılığıyla kiracıyı yönetme bölümünde uyarı oluşturma
• Yönetim kiracısında kaynak günlüklerini çalışma alanlarına göndermek için müşteri kiracılarında oluşturulan çalışma alanlarında Tanılama ayarları oluşturun
• SAP iş yükleri için, Müşteri kiracılar genelinde toplu bir görünüm Ile SAP Çözümleri ölçümlerini izleyin
• Azure AD B2C için oturum açma ve denetim günlüklerini farklı izleme çözümlerine yönlendirin

Azure ağı:

• Yönetilen kiracılar dahilinde Azure sanal ağını ve sanal ağ arabirim kartlarını (vNIC 'ler) dağıtın ve yönetin
• Müşterilerin sanal ağ kaynaklarını korumak için Azure Güvenlik duvarını dağıtma ve yapılandırma
• Azure sanal WAN, ExpressRouteve VPN ağ geçitleri gibi bağlantı hizmetlerini yönetme
• Azure Athouse kullanarak Azure ağ msp programı için önemli senaryoları destekleme

Azure ilkesi:

• Temsilci abonelikler içinde ilke tanımları oluşturma ve düzenleme
• Birden çok kiracının tamamında ilke tanımlarını ve ilke atamalarını dağıtma
• Atanan abonelikler içinde müşteri tanımlı ilke tanımları atama
• Müşteriler, yazdığı ilkelerin yanı sıra hizmet sağlayıcı tarafından yazılan ilkeleri görür
• Dağıtım kiracısındaki deployIfNotExists 'i düzeltebilir veya atamaları değiştirebilir
• Müşteri kiracılarında uyumlu olmayan kaynaklar için uyumluluk ayrıntılarını görüntülemenin Şu anda desteklenmediğini unutmayın

Azure kaynak Graph:

• Şimdi döndürülen sorgu sonuçlarında kiracı KIMLIĞINI içerir ve aboneliğin yönetilen bir kiracıya ait olup olmadığını tanımlamanızı sağlar

Azure hizmet durumu:

• Azure Kaynak Durumu ile müşteri kaynaklarının sistem durumunu izleme
• Müşterileriniz tarafından kullanılan Azure hizmetlerinin sistem durumunu izleme

Azure Site Recovery:

• Müşteri kiracılarında Azure sanal makineler için olağanüstü durum kurtarma seçeneklerini yönetme ( RunAs VM uzantılarını kopyalamak için hesapları kullanmayacağınızı unutmayın)

Azure sanal makineleri:

• Azure VM 'lerinde dağıtım sonrası yapılandırma ve otomasyon görevleri sağlamak için sanal makine uzantılarını kullanın
• Azure VM 'Leri sorunlarını gidermek için önyükleme tanılamayı kullanma
• Seri konsol ile VM 'Lere erişme
• Gizli dizileri yönetilen kiracılarda bir Key Vault depolandığından emin olmak için, ilke aracılığıyla yönetilen kimlikkullanarak disk şifrelemesi için parolalar, gizlilikler veya şifreleme anahtarları için Azure Key Vault Ile VM 'leri tümleştirin
• vm 'lerde uzaktan oturum açma için Azure Active Directory kullanmayacağınızı unutmayın

Bulut Için Microsoft Defender:

• Çapraz kiracı görünürlüğü
  • Güvenlik ilkelerine uyumluluğu izleyin ve tüm kiracıların kaynakları genelinde güvenlik kapsamı sağlayın
  • Tek bir görünümdeki birden fazla kiracıda sürekli mevzuat uyumluluğu izleme
  • Güvenli puan hesaplaması ile eylem yapılabilir güvenlik önerilerini izleyin, önceliklendirin ve önceliklendirin
• Çapraz kiracı güvenlik sonrası yönetimi
  • Güvenlik ilkelerini yönetin
  • İşlem yapılabilir güvenlik önerileri ile uyumlu olmayan kaynaklar üzerinde işlem gerçekleştirin
  • Güvenlikle ilgili verileri toplama ve depolama
• Çapraz kiracı tehdit algılama ve koruma
  • Kiracıların kaynakları genelinde tehditleri Algıla
  • Tam zamanında (JıT) VM erişimi gibi gelişmiş tehdit koruması denetimleri uygulayın
  • Uyarlamalı ağ sağlamlaştırma ile ağ güvenlik grubu yapılandırmasını Harden artırma
  • Sunucuların yalnızca Uyarlamalı uygulama denetimleriyle birlikte olması gereken uygulamaları ve süreçler çalıştırdığından emin olun
  • Dosya bütünlüğü Izleme (FIM) ile önemli dosyalarda ve kayıt defteri girdilerindeki değişiklikleri izleme
• Tüm aboneliğin, yönetim kiracısı için temsilci seçilmiş olması gerektiğini unutmayın; Bulut senaryoları için Microsoft Defender, temsilcili kaynak gruplarıyla desteklenmez

Microsoft Sentinel:

• Müşteri Kiracılarında Microsoft Sentinel kaynaklarını yönetme
• Birden çok kiracıda saldırıları izleyin ve güvenlik uyarılarını görüntüleyin
• Kiracılar arasında yayılan birden çok Microsoft Sentinel çalışma alanı genelinde olayları görüntüleme

Destek istekleri:

• Temsilci seçme kaynakları için Azure portal Yardım + Destek 'Ten destek istekleri açın (temsilci seçilen kapsam için kullanılabilen destek planını seçme)
• Azure kota API 'sini kullanarak, temsilcili müşteri kaynakları için Azure hizmet kotalarını görüntüleyin ve yönetin

Geçerli sınırlamalar

Tüm senaryolarla, lütfen aşağıdaki geçerli sınırlamalara dikkat edin:

• Azure Resource Manager tarafından işlenen istekler, Azure ışıklı kullanımı kullanılarak gerçekleştirilebilir. Bu isteklerin işlem URI 'Leri ile başlar https://management.azure.com . Ancak, bir kaynak türü örneği tarafından işlenen istekler (Key Vault gizli dizi erişimi veya depolama veri erişimi gibi) Azure ınthouse ile desteklenmez. Bu isteklerin işlem URI 'Leri genellikle örneğiniz için benzersiz olan bir adresle başlar, örneğin https://myaccount.blob.core.windows.net veya https://mykeyvault.vault.azure.net/ . İkincisi ayrıca yönetim işlemleri yerine genellikle veri operasyonlardır.
• Rol atamaları Azure yerleşik rollerinikullanmalıdır. Tüm yerleşik roller, sahip veya izin içeren herhangi bir yerleşik rol haricinde Azure açık Thouse ile desteklenmektedir DataActions . Kullanıcı erişimi yönetici rolü yalnızca yönetilen kimliklere rol atamakonusunda sınırlı kullanım için desteklenir. Özel roller ve Klasik abonelik yöneticisi rolleri desteklenmez.
• Azure Databricks kullanan abonelikler ekleyebilirsiniz, ancak yönetme kiracısındaki kullanıcılar şu anda bir temsilci olan abonelikte Azure Databricks çalışma alanlarını başlatamaz.
• Kaynak kilitleri olan abonelikler ve kaynak grupları ekleyebilirsiniz, ancak bu kilitler yönetim kiracısındaki kullanıcılar tarafından gerçekleştirilen eylemlerin gerçekleştirilmesini engellemez. Azure tarafından yönetilen uygulamalar veya Azure şemaları (sistem tarafından atanan reddetme atamaları) tarafından oluşturulanlar gibi sistem tarafından yönetilen kaynakları koruyan atamaları reddetme , yönetim kiracısındaki kullanıcıların bu kaynaklara göre davranmasını önler; Bununla birlikte, müşteri kiracısındaki kullanıcılar kendi reddetme atamalarını oluşturamaz (Kullanıcı tarafından atanan reddetme atamaları).
• Bir Ulusal bulut ve Azure genel bulutu genelinde veya iki ayrı ulusal bulutta abonelikler temsilciliğini desteklemez.

Sonraki adımlar

• Azure Resource Manager şablonları kullanarak ya da Azure Market 'e özel veya genel olarak yönetilen bir hizmet teklifi yayımlayarak, müşterilerinizi Azure aydınlathouse 'a ekleyin.
• Azure portal müşterilerime giderek müşterileri görüntüleyin ve yönetin .