Azure Lighthouse 的常见应用场景涉及:服务提供商使用 Azure Lighthouse 来管理其客户的 Microsoft Entra 租户中的资源。 Azure Lighthouse 的功能还可以简化使用多个 Microsoft Entra 租户的企业中的跨租户管理。 在此方案中,其中一个企业租户中的用户可以通过 Azure Lighthouse 在其他租户上执行管理任务,而无需涉及任何其他服务提供商。
对于大多数组织而言,单个 Microsoft Entra 租户的管理比较轻松。 将所有资源部署在一个租户中可按该租户中的指定用户、用户组或服务主体来集中处理管理任务。 我们建议组织尽可能使用一个租户。
某些组织可能需要使用多个 Microsoft Entra 租户。 这可能是一种临时情况,例如在收购完成后,长期租户合并策略尚未确定。 其他情况下,由于子公司完全独立、地理位置、法律要求或其他注意事项,组织可能需要持续维护多个租户。
如果需要多租户体系结构,Azure Lighthouse 可帮助集中处理和简化管理操作。 通过使用 Azure Lighthouse,一个管理租户中的用户可以采用集中、可缩放的方式执行跨租户管理功能。
若要在企业中使用 Azure Lighthouse,需要确定哪个租户将包括在其他租户上执行管理操作的用户。 换句话说,将一个租户指定为其他租户的管理租户。
例如,假设你的组织有一个名为“租户 A”的租户。然后,你的组织获得了租户 B 和租户 C,而你的业务理由要求将这两个租户作为单独的租户进行维护。 但是,你希望对所有策略定义、备份做法和安全过程使用相同的策略定义、备份做法和安全过程,以及同一组用户执行的管理任务。
由于租户 A 已包括组织中为租户 A 执行这些任务的用户,因此可以将租户 A 指定为管理租户。 然后,可以在租户 B 和租户 C 中 加入订阅 ,以便将订阅委派给租户 A。在载入过程中,你将创建授权,向租户 A 中的用户授予权限,从而允许他们在租户 B 和租户 C 之间执行管理任务。
在大多数企业场景中,需要将整个订阅委托到 Azure Lighthouse。 你还可以选择仅委托订阅中的特定资源组进行管理。
无论哪种方式,在定义哪些用户可以访问委派资源时,请务必 遵循最低特权原则 。 这有助于确保用户只拥有执行所需任务而需要的权限,并可以减少意外出错的可能性。
Azure Lighthouse 只在管理租户和被管理租户之间提供逻辑链接,而不会以物理方式移动数据或资源。 此外,访问始终只朝一个方向进行,即,从管理租户访问被管理租户。 在对被管理租户资源执行管理操作时,管理租户中的用户和组应使用多重身份验证。
实施内部或外部监管与合规性准则的企业可以使用 Azure 活动日志来满足其透明性要求。 当企业建立管理和托管租户关系时,每个租户中的用户可以查看记录的活动,以查看管理租户中的用户执行的操作。
有关详细信息,请参阅建议的安全做法。
可部署 Azure 资源管理器模板,或者通过发布到 Azure 市场的托管服务套餐,将订阅(或订阅中的资源组)加入到 Azure Lighthouse。
由于企业用户通常可以直接访问企业租户,因此无需营销或推广管理产品/服务,因此部署 Azure 资源管理器模板通常更快、更直接。 尽管加入指南面向的是服务提供商和客户,但企业可以使用相同的过程来加入其租户。
如果需要,可以通过将托管服务套餐发布到 Azure 市场来登记企业中的租户。 为确保优惠仅适用于合适的租户,请将你的计划设置为私密。 使用专用计划时,可为你打算加入的每个租户提供订阅 ID,而其他任何人都无法获取你的套餐。
Azure Active Directory B2C (Azure AD B2C) 以服务的形式提供企业到客户的标识。 在通过 Azure Lighthouse 委派资源组时,可使用 Azure Monitor 将 Azure Active Directory B2C (Azure AD B2C) 登录和审核日志路由到不同的监视解决方案。 然后,可以保留日志以供长期使用,或者将其与第三方安全信息和事件管理 (SIEM) 工具集成,以获取有关环境的见解。
有关详细信息,请参阅使用 Azure Monitor 监视 Azure AD B2C。
对于企业中的跨租户管理,可将 Azure Lighthouse 文档中的服务提供商参考内容理解为适用于企业中的管理租户 - 即,包含要通过 Azure Lighthouse 来管理其他租户中资源的用户的租户。 同理,可将客户的所有参考内容理解为适用于委托要通过管理租户中用户管理的资源的租户。
例如,在上述示例中,可将租户 A 视为服务提供商租户(管理租户),将租户 B 和租户 C 视为客户租户。
继续使用此示例,具有相应权限的租户 A 用户可以在 Azure 门户的“我的客户”页中查看和管理委托的资源。 同样,具有相应权限的租户 B 和租户 C 用户可以在 Azure 门户的“服务提供商”页中查看和管理有关其委派的详细信息。
- 探索有关多租户体系结构中资源组织的选项。
- 了解跨租户管理体验。
- 详细了解 Azure Lighthouse 的工作原理。