企业方案中的Azure Lighthouse

Azure Lighthouse 的一个常见场景涉及服务提供商负责管理客户的 Microsoft Entra 租户中的资源。 还可以使用Azure Lighthouse功能简化使用多个Microsoft Entra租户的企业内的跨租户管理。 在此方案中，其中一个企业租户中的用户可以通过Azure Lighthouse对其他租户执行管理任务，而无需涉及任何其他服务提供商。

单租户与多个企业租户

对于大多数组织来说，使用单个Microsoft Entra租户管理更容易。 将所有资源部署在一个租户中可按该租户中的指定用户、用户组或服务主体来集中处理管理任务。 尽可能为组织使用一个租户。

某些组织需要使用多个 Microsoft Entra 租户。 这一需求可能是暂时的，因为收购发生时，尚未定义长期租户合并策略。 在其他情况下，由于完全独立的子公司、地理或法律要求或其他注意事项，组织需要持续维护多个租户。

如果需要 多租户架构，Azure Lighthouse 可帮助集中和简化管理操作。 通过使用 Azure Lighthouse，一个管理租户中的用户可以以集中、可扩展的方式执行跨租户管理功能。

企业租户管理体系结构

若要在企业中使用Azure Lighthouse，请确定哪个租户应包括为其他租户执行管理操作的用户。 换句话说，将一个租户指定为其他租户的管理租户。

例如，假设组织有一个名为 租户 A 的租户。然后，组织获取 租户 B 和 租户 C，并且有业务原因要求将其作为单独的租户进行维护。 但是，你希望对所有策略定义、备份做法和安全过程使用相同的策略定义、备份做法和安全过程，以及同一组用户执行的管理任务。

由于租户 A 已包括组织中为租户 A 执行这些任务的用户，因此可以将租户 A 指定为管理租户。 然后，可以在租户 B 和租户 C 中 加入订阅 ，以便将订阅委派给租户 A。在载入过程中，你将创建授权，向租户 A 中的用户授予权限，从而允许他们在租户 B 和租户 C 之间执行管理任务。

企业场景的安全和访问控制注意事项

在大多数企业方案中，将整个订阅委托给Azure Lighthouse。 你还可以选择仅委托订阅中的特定资源组进行管理。

无论哪种方式，在定义哪些用户可以访问委派资源时 ，遵循最低特权原则 。 此方法有助于确保用户仅具有执行所需任务所需的权限，并减少意外错误的可能性。

Azure Lighthouse仅提供管理租户与托管租户之间的逻辑链接，而不是以物理方式移动数据或资源。 此外，访问始终只朝一个方向进行，即，从管理租户访问被管理租户。 在对被管理租户资源执行管理操作时，管理租户中的用户和组应使用多重身份验证。

具有内部或外部治理和合规性防护措施的企业可以使用 Azure Monitor 活动日志来满足其透明度要求。 当企业建立管理和托管租户关系时，每个租户中的用户可以查看记录的活动，以查看管理租户中的用户采取的行动。

有关详细信息，请参阅建议的安全做法。

企业租户入职注意事项

可以通过部署Azure 资源管理器模板或通过发布到Azure 市场的托管服务解决方案，将订阅或订阅中的资源组集成到Azure Lighthouse。

由于企业用户通常可以直接访问企业租户，因此无需营销或推广管理产品/服务，因此部署Azure 资源管理器模板通常更快、更直接。 尽管加入指南面向的是服务提供商和客户，但企业可以使用相同的过程来加入其租户。

如果愿意，可以通过在Azure 市场发布托管服务优惠来为企业中的租户进行注册。 为确保优惠仅适用于合适的租户，请将你的计划设置为私密。 使用专用计划，可以为计划加入的每个租户提供订阅 ID，并且其他人都无法获取你的产品/服务。

术语注释

对于企业内部的跨租户管理，可以将 Azure Lighthouse 文档中对服务提供商的引用理解为适用于企业中的管理租户，即那些包含通过 Azure Lighthouse 管理其他租户资源的用户的租户。 同理，可将客户的所有参考内容理解为适用于委托要通过管理租户中用户管理的资源的租户。

例如，在上述示例中，可将租户 A 视为服务提供商租户（管理租户），租户 B 和租户 C 可视为客户租户。

继续该示例，租户 A 用户（需具备相应权限）可以查看和管理委派资源在 Azure 门户的我的客户页面。 同样，具有相应权限的租户 B 和租户 C 用户可以在 Azure 门户的 服务提供商 页面中查看和管理有关其委派的详细信息。

后续步骤

• 探索有关多租户体系结构中资源组织的选项。
• 了解跨租户管理体验。
• 详细了解 Azure Lighthouse 如何工作。