Azure Lighthouse 結構

  • 發行項

Azure Lighthouse 可協助服務供應商簡化客戶業務開發和上線體驗,同時靈活精確地管理大規模委派資源。 獲得授權的使用者、群組和服務主體即使在客戶的 Microsoft Entra 租用戶中沒有帳戶,或並非客戶租用戶的共同擁有者,也能直接在客戶訂閱的內容中作業。 用於支援此存取權的機制稱為 Azure 委派資源管理。

Diagram illustrating Azure delegated resource management.

提示

Azure Lighthouse 也可以在擁有多個 Microsoft Entra 租用戶的企業內使用,以簡化跨租用戶管理。

本主題討論 Azure Lighthouse 中租用戶之間的關聯性,以及在客戶租用戶中建立的資源如何使此關聯性成立。

注意

如要讓客戶上線至 Azure Lighthouse,必須由客戶租用戶中的非來賓帳戶進行部署,且該租用戶對於要上線的訂閱 (或包含欲上線資源群組的訂閱) 需有具備 Microsoft.Authorization/roleAssignments/write 權限的角色,例如擁有者

在客戶租用戶中建立的委派資源

客戶的訂閱或資源群組在 Azure Lighthouse 上線後,會建立兩個資源:註冊定義註冊指派。 您可以使用 API 和管理工具 存取這些資源,或在 Azure 入口網站中使用這些資源。

註冊定義

註冊定義包含 Azure Lighthouse 供應項目的詳細資料 (管理租用戶識別碼,以及將內建角色指派給管理租用戶中特定使用者、群組和/或服務主體的授權)。

註冊定義建立於每個指派訂閱的訂閱層級,或每個包含指派資源群組的訂閱中。 使用 API 建立註冊定義時,必須於訂閱層級上作業。 舉例來說,若使用 Azure PowerShell,您必須先使用 New-AzureRmDeployment,而非 New-AzureRmResourceGroupDeployment,才能建立新的註冊定義 (New-AzManagedServicesDefinition)。

註冊指派

註冊指派會將註冊定義指派給特定範圍,也就是已上線的訂閱和/或資源群組。

註冊指派建立於每個委派範圍中,因此視上線的內容而定,會位於訂閱群組層級或資源群組層級。

每個註冊指派都必須參考訂閱層級的有效註冊定義,並將該服務提供者的授權繫結至委派範圍,進而授與存取權。

邏輯投影

Azure Lighthouse 可在租用戶中建立另一個租用戶資源的邏輯投影, 這能讓獲得授權的服務提供者使用者透過授權登入自己的租用戶,以便在委派的客戶訂閱和資源群組中工作。 這樣一來,服務供應者租用戶中的使用者就能代表客戶執行管理作業,而不需登入每個個別客戶租用戶。

每當服務提供者租用戶中的使用者、群組或服務主體存取客戶租用戶內的資源時,Azure Resource Manager 都會收到要求; Resource Manager 會驗證這些要求,如同對客戶租用戶內的使用者所提出的要求一樣。 Azure Lighthouse 的驗證方式是確認客戶租用戶中是否含有註冊定義和註冊指派這兩項資源, 如果有,Resource Manager 便會根據這些資源所定義的資訊授權存取權。

Diagram illustrating the logical projection in Azure Lighthouse.

儲存在客戶租用戶內的活動記錄會追蹤服務提供者租用戶中的使用者活動, 方便客戶查看變更內容和變更者

Azure Lighthouse 的運作方式

以下說明 Azure Lighthouse 在管理租用戶的大致運作方式:

  1. 識別群組、服務主體或使用者管理客戶 Azure 資源所需的角色
  2. 藉由將受控服務供應項目發佈至 Azure Marketplace部署 Azure Resource Manager 範本,以指定此存取權並讓客戶在 Azure Lighthouse 上線; 此上線程序會在客戶的租用戶中建立上述兩項資源 (註冊定義和註冊指派)。
  3. 客戶上線後,授權使用者便會根據您所定義的存取權登入您的管理租用戶,並在指定的客戶範圍 (訂閱或資源群組) 執行工作。 客戶可以檢閱所有採取的行動,且能隨時移除存取權。

雖然在大部分情況下,只會由一個服務提供者為客戶管理特定資源,但客戶可為同一訂閱或資源群組建立多項委派,讓多個服務提供者擁有存取權。 這種使用案例也讓 ISV 案例能將服務提供者租用戶的資源投影至多位客戶

下一步