Kurumsal senaryolarda Azure Lighthouse

  • Makale
  • Okumak için 3 dakika

Hizmet sağlayıcısının Azure Lighthouse bir hizmet sağlayıcısının müşterilere ait Azure Active Directory (Azure AD) kiracılarında kaynakları yönetmesi yaygın bir senaryodur. Birden çok Azure AD Azure Lighthouse bir kuruluş içinde kiracılar arası yönetimi basitleştirmek için de kullanılabilir.

Tek veya birden çok kiracı

Çoğu kuruluş için tek bir Azure AD kiracısı ile yönetim daha kolaydır. Tüm kaynakların bir kiracıda olması, yönetim görevlerinin belirlenen kullanıcılar, kullanıcı grupları veya bu kiracı içindeki hizmet sorumluları tarafından merkezileştirilmesine olanak sağlar. Mümkün olduğunca, kuruluş için bir kiracı kullanılması önerilir.

Bazı kuruluşların birden çok Azure AD kiracısı kullanması gerekir. Alımlar landığı ve uzun vadeli bir kiracı birleştirme stratejisi henüz tanımlanmamış olduğu için bu geçici bir durum olabilir. Diğer zamanlarda, bağımsız yan kuruluşlar, coğrafi veya yasal gereksinimler veya diğer konular nedeniyle kuruluşların sürekli olarak birden çok kiracıyı sürdürmesi gerekir.

Çok kiracılı bir mimarinin gerekli olduğu durumlarda, Azure Lighthouse yönetim işlemlerini merkezileştirmeye ve kolaylaştırmanıza yardımcı olabilir. Bir Azure Lighthouse kiracıda bulunan kullanıcılar, kiracılar arası yönetim işlevlerini merkezi ve ölçeklenebilir bir şekilde gerçekleştirebilirsiniz.

Kiracı yönetimi mimarisi

Kuruluşta Azure Lighthouse kullanmak için, diğer kiracılarda yönetim işlemleri yapan kullanıcıları hangi kiracının dahil etmek zorunda olduğunu belirlemeniz gerekir. Başka bir deyişle, bir kiracıyı diğer kiracıların yönetim kiracısı olarak atamanız gerekir.

Örneğin, kurumda A Kiracısı olarak çağırdiğimiz tek bir kiracı olduğunu diyelim. Daha sonra, kuruluş B ve Kiracı C kiracısına sahip olur ve bunları ayrı kiracılar olarak korumanızı gerektiren iş nedenlerine sahip olursanız. Ancak, aynı kullanıcı kümesi tarafından gerçekleştirilen yönetim görevleriyle bunların hepsi için aynı ilke tanımlarını, yedekleme uygulamalarını ve güvenlik işlemlerini kullanmak istiyoruz.

A Kiracısı, A Kiracısı için bu görevleri gerçekleştiren kullanıcıları zaten içerir. Kiracı A'daki aynı kullanıcıların bu görevleri tüm kiracılarda gerçekleştirmelerini sağlayan B kiracısı ve Kiracı C kiracısı içinde abonelikler abilirsiniz.

A Kiracısı'nın B ve Kiracı C kiracılarında kaynakları yöneten kullanıcıları gösteren diyagram.

Güvenlik ve erişimle ilgili dikkat edilmesi gerekenler

Kurumsal senaryoların çoğunda, abonelik için tam abonelik Azure Lighthouse. Ayrıca bir abonelik içinde yalnızca belirli kaynak gruplarını temsilci seçmeyi de seçebilirsiniz.

Her iki şekilde de, hangi kullanıcıların temsilcili kaynaklara erişimiolacağını tanımlarken en az ayrıcalık ilkesini takip edin. Bunu yapmak, kullanıcıların yalnızca gerekli görevleri gerçekleştirmek için gereken izinlere sahip olduğundan emin olmalarına yardımcı olur ve yanlışlıkla hata yapma ihtimalini azaltır.

Azure Lighthouse, verileri veya kaynakları fiziksel olarak taşıma yerine yalnızca yönetilen kiracı ile yönetilen kiracılar arasında mantıksal bağlantılar sağlar. Ayrıca erişim, yönetilen kiracıdan yönetilen kiracılara kadar her zaman tek bir yönde ilerler. Yönetilen kiracı kaynaklarında yönetim işlemleri yaparken, yöneten kiracıda kullanıcılar ve gruplar çok faktörlü kimlik doğrulamasını kullanmaya devam edecektir.

İç veya dış idare ve uyumluluk korumaları olan kuruluşlar, saydamlık gereksinimlerini karşılamak için Azure Etkinlik günlüklerini kullanabilir. Kurumsal kiracılar yönetim ve yönetilen kiracı ilişkileri kurduğunda, her kiracının kullanıcıları, yönetilen kiracıda kullanıcıların sınanmış eylemlerini görmek için günlüğe kaydedilen etkinliği sınar.

Ekleme ile ilgili dikkat edilmesi gerekenler

Abonelikler (veya abonelik içindeki kaynak grupları), Azure Lighthouse şablonları dağıtarak Azure Resource Manager yönetilen hizmetlere yayımlanan Yönetilen Hizmetler teklifleri aracılığıyla Azure Market.

Kurumsal kullanıcılar genellikle kuruluş kiracılarına doğrudan erişime sahip olacak ve bir yönetim teklifi pazara sunmayacak veya tanıtmayacakları için, dağıtım şablonlarını dağıtmak genellikle daha hızlı Azure Resource Manager kolaylaşır. Ekleme kılavuzu hizmet sağlayıcılarına ve müşterilerine başvururken, kuruluşlar kiracılarını eklemeye yönelik aynı işlemleri kullanabilir.

Tercih ederseniz, bir kuruluş içindeki kiracılar bir Yönetilen Hizmetler teklifiniAzure Market. Teklifin yalnızca uygun kiracılar tarafından kullanılabilir olduğundan emin olmak için planlarınızı özel olarak işaretlenin. Özel bir planla, eklemeyi planladığı her kiracı için abonelik kimliklerini sağlarsınız ve teklifinizi başka kimse alamayacaktır.

Azure AD B2C

Azure Active Directory B2C (Azure AD B2C), hizmet olarak işletmeden müşteriye kimlik sağlar. Azure Lighthouse aracılığıyla bir kaynak grubunu temsilci olarak Azure İzleyici B2C (Azure AD B2C) oturum açma ve denetim günlüklerini farklı izleme çözümlerine Azure Active Directory için kullanabilirsiniz. Günlükleri uzun süreli kullanım için koruyabilirsiniz veya ortamınız hakkında içgörüler elde etmek için üçüncü taraf güvenlik bilgileri ve olay yönetimi (SIEM) araçlarıyla tümleştirebilirsiniz.

Daha fazla bilgi için bkz. Azure AD B2C ile Azure İzleyici.

Terminoloji notları

Kuruluş içindeki kiracılar arası yönetim için, Azure Lighthouse belgelerinde hizmet sağlayıcılarına yapılan başvurular, bir kuruluş içindeki (diğer kiracılarda kaynakları Azure Lighthouse aracılığıyla yönetecek kullanıcıları içeren kiracı) yöneten kiracıya uygulanabilecek şekilde anlaşılabilir. Benzer şekilde, müşterilere yapılan tüm başvurular, yönetilen kiracıda kullanıcılar aracılığıyla yönetilmesi için kaynaklara tapan kiracılara uygulanabilecek şekilde anlaşılabilir.

Örneğin yukarıda açıklanan örnekte A kiracısı, hizmet sağlayıcısı kiracısı (yöneten kiracı) ve B Kiracısı ve C Kiracısı olarak müşteri kiracıları olarak düşünilebilir.

Bu örnekten devam ediyoruz, uygun izinlere sahip Kiracı A kullanıcıları, ilgili kiracının Müşterilerim sayfasında temsilci olarak Azure portal. Benzer şekilde, uygun izinlere sahip Kiracı B ve Kiracı C kullanıcıları, kiracının Hizmet sağlayıcıları sayfasında Kiracı A'ya devredilen kaynakları Azure portal.

Sonraki adımlar