Kurumsal senaryolarda Azure LighthouseAzure Lighthouse in enterprise scenarios

Azure ışıklı kullanım için en yaygın senaryo, müşterilerinin ' Azure Active Directory (Azure AD) kiracılarındaki kaynakları yöneten bir hizmet sağlayıcıdır.The most common scenario for Azure Lighthouse is a service provider managing resources in its customers’ Azure Active Directory (Azure AD) tenants. Ancak, Azure ışıklı kullanım özellikleri, birden çok Azure AD kiracısının kullanıldığı bir kuruluşta çapraz kiracı yönetimini basitleştirmek için de kullanılabilir.However, the capabilities of Azure Lighthouse can also be used to simplify cross-tenant management within an enterprise which uses multiple Azure AD tenants.

Tek ve birden çok kiracıSingle vs. multiple tenants

Çoğu kuruluş için, yönetim tek bir Azure AD kiracısıyla daha kolay olur.For most organizations, management is easier with a single Azure AD tenant. Tek bir kiracının içindeki tüm kaynakların olması, bu Kiracıdaki kullanıcılara, Kullanıcı gruplarına veya hizmet sorumlularına göre yönetim görevlerinin merkezileşmeyi sağlar.Having all resources within one tenant allows centralization of management tasks by designated users, user groups, or service principals within that tenant. Mümkün olduğunda kuruluşunuz için bir kiracı kullanmanızı öneririz.We recommend using one tenant for your organization whenever possible.

Aynı zamanda, bir kuruluşun birden çok Azure AD kiracının bakımını gerektirebileceği durumlar vardır.At the same time, there are situations that may require an organization to maintain multiple Azure AD tenants. Bazı durumlarda bu geçici bir durum olabilir. Bu durumda, alımlar gerçekleştiği sırada ve uzun süreli bir kiracı birleştirme stratejisinin tanımlanması zaman alabilir.In some cases, this may be a temporary situation, as when acquisitions have taken place and a long-term tenant consolidation strategy will take some time to define. Kuruluşun aynı zamanda birden fazla kiracının devam edebilmesi için (tamamen bağımsız bağlı kuruluşlar, coğrafi veya yasal gereksinimler vb.).An organization may also need to maintain multiple tenants on an ongoing basis (due to wholly independent subsidiaries, geographical or legal requirements, and so on). Çok kiracılı bir mimarinin gerekli olduğu durumlarda, yönetim işlemlerini merkezileştirmek ve kolaylaştırmak için Azure tarafından atanan kaynak yönetimi kullanılabilir.In cases where a multi-tenant architecture is required, Azure delegated resource management can be used to centralize and streamline management operations. Birden çok kiracıdan abonelikler, Azure tarafından atanan kaynak yönetimiiçin eklendi olabilir. Bu, bir yönetim kiracısındaki belirlenen kullanıcıların, merkezi ve ölçeklenebilir bir şekilde platformlar arası yönetim işlevleri gerçekleştirmesini sağlar.Subscriptions from multiple tenants can be onboarded for Azure delegated resource management, allowing designated users in a managing tenant to perform cross-tenant management functions in a centralized and scalable manner.

Kiracı Yönetimi mimarisiTenant management architecture

Birden çok kiracının yönetim işlemlerini merkezileştirirken, diğer kiracılara yönelik yönetim işlemlerini gerçekleştiren kullanıcıların hangi kiracının dahil edileceğini belirlemeniz gerekir.When centralizing management operations across multiple tenants, you’ll need to determine which tenant will include the users performing management operations for the other tenants. Diğer bir deyişle, diğer kiracılar için hangi kiracının yönetim kiracısı olacağını belirlemeniz gerekir.In other words, you will need to determine which tenant will be the managing tenant for other tenants.

Örneğin, kuruluşunuzun kiracı a'yı çağıracağımız tek bir kiracıya sahip olduğunu varsayalım. Daha sonra kuruluşunuz iki ek kiracı, kiracı B ve kiracı Calır ve bunları ayrı kiracılar olarak tutmanızı gerektiren iş nedenleriniz vardır.For example, say your organization has a single tenant that we’ll call Tenant A. Your organization then acquires two additional tenants, Tenant B and Tenant C, and you have business reasons that require you to maintain them as separate tenants.

Kuruluşunuz, tüm kiracıların tamamında aynı ilke tanımlarını, yedekleme uygulamalarını ve güvenlik süreçlerini kullanmak istiyor.Your organization wants to use the same policy definitions, backup practices, and security processes across all tenants. Kiracı A içinde bu görevleri gerçekleştirmekten sorumlu olan kullanıcılarınız (Kullanıcı grupları ve hizmet sorumluları dahil) zaten mevcut olduğundan, Kiracıdaki aynı kullanıcıların bu işlemleri gerçekleştirmesini sağlamak için kiracı B ve kiracı C içindeki tüm abonelikleri ekleyebilirsiniz. görevlerinize.Since you already have users (including user groups and service principals) that are responsible for performing these tasks within Tenant A, you can onboard all of the subscriptions within Tenant B and Tenant C so that those same users in Tenant A can perform those tasks.

Kiracıdaki kullanıcılar kiracı B ve kiracı C 'de kaynakları yönetme

Güvenlik ve erişim konularıSecurity and access considerations

Çoğu kurumsal senaryoda, bir abonelik içinde yalnızca belirli kaynak gruplarını temsil edebilir, ancak Azure tarafından atanan kaynak yönetimi için tam bir abonelik atamak isteyeceksiniz.In most enterprise scenarios, you’ll want to delegate a full subscription for Azure delegated resource management, although you can also delegate only specific resource groups within a subscription.

Her iki durumda da, kaynaklara hangi kullanıcıların erişebileceğini tanımlarken en az ayrıcalık ilkesini izlediğinizdenemin olun.Either way, be sure to follow the principle of least privilege when defining which users will have access to resources. Bunun yapılması, kullanıcıların yalnızca gerekli görevleri gerçekleştirmek için gerekli izinlere sahip olmasını sağlamaya yardımcı olur ve yanlışlıkla hata olasılığını azaltır.Doing so helps to ensure that users only have the permissions needed to perform the required tasks and reduces the chance of inadvertent errors.

Azure Mathouse ve Azure Temsilcili kaynak yönetimi, verileri veya kaynakları fiziksel olarak taşımak yerine yalnızca bir kiracı ve yönetilen kiracılar arasında mantıksal bağlantılar sağlar.Azure Lighthouse and Azure delegated resource management only provide logical links between a managing tenant and managed tenants, rather than physically moving data or resources. Ayrıca erişim, yönetim kiracısından yönetilen kiracılar 'a her zaman tek bir yönde gider.Furthermore, the access always goes in only one direction, from the managing tenant to the managed tenants. Yönetim kiracısındaki kullanıcılar ve gruplar, yönetilen kiracı kaynaklarında yönetim işlemlerini gerçekleştirirken Multi-Factor Authentication kullanmaya devam etmelidir.Users and groups in the managing tenant should continue to use multi-factor authentication when performing management operations on managed tenant resources.

İç veya dış idare ve uyumluluk guardları olan kuruluşlar, saydamlık gereksinimlerini karşılamak için Azure etkinlik günlüklerini kullanabilir.Enterprises with internal or external governance and compliance guardrails can use Azure Activity logs to meet their transparency requirements. Kurumsal kiracılar yönetim ve yönetilen kiracı ilişkileri oluştururken, her Kiracıdaki kullanıcılar günlüğe kaydedilen etkinliği görüntüleyerek diğer Kiracıdaki kullanıcılar tarafından gerçekleştirilen eylemleri izleyebilir ve görünürlük elde edebilir.When enterprise tenants have established managing and managed tenant relationships, users in each tenant can monitor and gain visibility to actions taken by the users in the other tenant by viewing logged activity.

Ekleme süreci konularıOnboarding process considerations

Abonelikler (veya bir abonelik içindeki kaynak grupları), Azure Resource Manager şablonları dağıtarak veya Azure Marketi 'nde yayınlanan yönetilen hizmet teklifleri aracılığıyla veya özel olarak ya da Hazırlayan.Subscriptions (or resource groups within a subscription) can be onboarded to Azure delegated resource management either by deploying Azure Resource Manager templates or through Managed Services offers published to Azure Marketplace, either privately or publicly.

Kurumsal kullanıcılar normalde kuruluşun kiracılarına doğrudan erişim elde edebilecekler ve bir yönetim teklifini pazarlamaya veya yükseltmeye gerek duymadığından, genellikle Azure Resource Manager şablonlarıyla doğrudan daha hızlı ve daha basit hale gelir.Since enterprise users will normally be able to gain direct access to the enterprise’s tenants, and there’s no need to market or promote a management offering, it’s generally faster and more straightforward to deploy directly with Azure Resource Manager templates. Eklemekılavuzundaki hizmet sağlayıcılarına ve müşterilere başvurduğumuz sürece kuruluşlar aynı işlemlerin aynısını kullanabilir.While we refer to service providers and customers in the onboarding guidance, enterprises can use the same processes.

İsterseniz, bir kuruluştaki kiracılar Azure Market 'e yönetilen bir hizmet teklifi yayımlayarakeklendi olabilir.If you prefer, tenants within an enterprise can be onboarded by publishing a Managed Services offer to Azure Marketplace. Teklifin yalnızca uygun kiracılar için kullanılabilir olduğundan emin olmak için, planlarınızın özel olarak işaretlendiğinden emin olun.To ensure that the offer is only available to the appropriate tenants, be sure that your plans are marked as private. Özel bir plan sayesinde, sunmayı planladığınız her kiracı için abonelik kimliklerini sağlayabilir ve teklifinizi başka hiç kimse sağlayamayacak.With a private plan, you can provide the subscription IDs for each tenant that you plan to onboard, and no one else will be able to get your offer.

Terminoloji notlarıTerminology notes

Kuruluştaki çapraz Kiracı Yönetimi için, Azure açık belgeleri belgelerindeki hizmet sağlayıcılarına yapılan başvurular, bir kuruluşta yönetim kiracısına (yani, kaynakları yönetecek kullanıcıları içeren kiracı) uygulanabilir. Azure tarafından atanan kaynak yönetimi aracılığıyla diğer kiracılarda.For cross-tenant management within the enterprise, references to service providers in the Azure Lighthouse documentation can be understood to apply to the managing tenant within an enterprise—that is, the tenant that includes the users who will manage resources in other tenants through Azure delegated resource management. Benzer şekilde, müşterilere yapılan başvurular, yönetim kiracısındaki kullanıcılar aracılığıyla yönetilecek kaynak temsilcisi olan kiracılar için de kullanılabilir.Similarly, references to customers can be understood to apply to the tenants that are delegating resources to be managed through users in the managing tenant.

Örneğin, yukarıda açıklanan örnekte, kiracı A, hizmet sağlayıcı kiracısı (yöneten kiracı) ve B kiracısı ile kiracı C 'nin müşteri kiracıları olarak düşünülebilir.For instance, in the example described above, Tenant A can be thought of as the service provider tenant (the managing tenant) and Tenant B and Tenant C can be thought of as the customer tenants.

Bu örnekte, uygun izinlere sahip bir Kullanıcı kiracıya, Azure portal müşteriler sayfasında, temsilci kaynakları görüntüleyebilir ve yönetebilir .In that example, Tenant A users with the appropriate permissions can view and manage delegated resources in the My customers page of the Azure portal. Benzer şekilde, B ve uygun izinlere sahip kiracı C kullanıcıları, Azure portal hizmet sağlayıcıları sayfasında kiracıya atanmış kaynakları görüntüleyebilir ve yönetebilir .Likewise, Tenant B and Tenant C users with the appropriate permissions can view and manage the resources that have been delegated to Tenant A in the Service providers page of the Azure portal.

Sonraki adımlarNext steps