Azure Lighthouse in scenari aziendali

  • Articolo

In uno scenario comune di Azure Lighthouse un provider di servizi gestisce le risorse nei tenant Microsoft Entra dei clienti. Le funzionalità di Azure Lighthouse possono essere usate anche per semplificare la gestione tra tenant all'interno di un'azienda che usa più tenant di Microsoft Entra.

Tenant singolo o più tenant

Per la maggior parte delle organizzazioni, la gestione è più semplice con un singolo tenant di Microsoft Entra. L'inclusione di tutte le risorse in un tenant consente la centralizzazione delle attività di gestione da parte di entità servizio, gruppi di utenti o utenti designati all'interno di tale tenant. Quando possibile, è consigliabile usare un unico tenant per l'organizzazione.

Alcune organizzazioni potrebbero dover usare più tenant di Microsoft Entra. Potrebbe trattarsi di una situazione temporanea, come quando sono state effettuate acquisizioni e non è stata ancora definita una strategia di consolidamento dei tenant a lungo termine. Altre volte È anche possibile che le organizzazioni debbano gestire più tenant in modo continuativo, a causa di affiliate completamente indipendenti, di requisiti geografici o legali o altre considerazioni.

Nei casi in cui è necessaria un'architettura multi-tenant, Azure Lighthouse consente di centralizzare e semplificare le operazioni di gestione. Usando Azure Lighthouse, gli utenti in un tenant di gestione possono eseguire funzioni di gestione tra tenant in modo centralizzato e scalabile.

Architettura di gestione dei tenant

Per usare Azure Lighthouse in un'azienda, è necessario stabilire quale tenant includerà gli utenti che eseguono operazioni di gestione sugli altri tenant. In altre parole, sarà necessario designare un tenant come tenant di gestione per gli altri tenant.

Si supponga, ad esempio, che l'organizzazione abbia un tenant singolo denominato Tenant A. L'organizzazione acquisisce quindi Tenant B e Tenant C, che per motivi aziendali devono essere mantenuti distinti. Tuttavia, è possibile usare le stesse definizioni di criteri, procedure di backup e processi di sicurezza per tutti, con le attività di gestione eseguite dallo stesso set di utenti.

Poiché il tenant A include già gli utenti dell'organizzazione che hanno eseguito tali attività per il tenant A, è possibile eseguire l'onboarding delle sottoscrizioni all'interno del tenant B e del tenant C, il che consente agli stessi utenti nel tenant A di eseguire tali attività in tutti i tenant.

Diagramma che mostra utenti di Tenant A che gestiscono le risorse in Tenant B e Tenant C.

Considerazioni sulla sicurezza e sull'accesso

Nella maggior parte degli scenari aziendali si delega una sottoscrizione completa ad Azure Lighthouse. È anche possibile scegliere di delegare solo gruppi di risorse specifici all'interno di una sottoscrizione.

In entrambi i casi assicurarsi di seguire il principio dei privilegi minimi quando si definiscono gli utenti che avranno accesso alle risorse delegate. Questo garantisce che gli utenti abbiano solo le autorizzazioni necessarie per eseguire le attività richieste e riduce la probabilità di errori accidentali.

Azure Lighthouse fornisce solo collegamenti logici tra un tenant di gestione e i tenant gestiti, anziché spostare fisicamente dati o risorse. L'accesso, inoltre, viene sempre eseguito in una sola direzione, dal tenant di gestione a quelli gestiti. Gli utenti e i gruppi del tenant di gestione dovranno usare l'autenticazione a più fattori per eseguire le operazioni di gestione sulle risorse dei tenant gestiti.

Le aziende con tutele interne o esterne per la governance e la conformità possono usare i log attività di Azure per soddisfarne i requisiti di trasparenza. Quando i tenant aziendali hanno stabilito relazioni di gestione e tenant gestiti, gli utenti in ogni tenant possono visualizzare le attività registrate per visualizzare le azioni eseguite dagli utenti nel tenant di gestione.

Considerazioni sull'onboarding

È possibile eseguire l'onboarding delle sottoscrizioni (o dei gruppi di risorse all'interno di una sottoscrizione) in Azure Lighthouse distribuendo modelli di Azure Resource Manager oppure tramite le offerte di servizi gestiti pubblicate in Azure Marketplace.

Dato che gli utenti aziendali potranno di norma ottenere l'accesso diretto ai tenant dell'azienda e non è necessario commercializzare o promuovere un'offerta di gestione, di solito è più veloce e semplice eseguire la distribuzione con modelli di Azure Resource Manager. Anche se il materiale sussidiario per l'onboarding si riferisce a provider di servizi e clienti, le aziende possono usare gli stessi processi per eseguire l'onboarding dei tenant.

Se si preferisce, è possibile eseguire l'onboarding dei tenant in un'azienda pubblicando un'offerta di servizi gestiti in Azure Marketplace. Affinché l'offerta sia disponibile solo per i tenant appropriati, assicurarsi che i piani siano contrassegnati come privati. Con un piano privato, è possibile fornire gli ID sottoscrizione per ogni tenant di cui si intende eseguire l'onboarding in modo che nessun altro possa sfruttare l'offerta.

Azure AD B2C

Azure Active Directory B2C (Azure AD B2C) fornisce identità Business-to-Customer (B2C) come servizio. Quando si delega un gruppo di risorse tramite Azure Lighthouse, è possibile usare Monitoraggio di Azure per instradare l'accesso e il controllo di Azure Active Directory B2C (Azure AD B2C) a diverse soluzioni di monitoraggio. I log possono essere conservati per l'uso a lungo termine o integrati con strumenti di terze parti per informazioni di sicurezza e gestione degli eventi per ottenere informazioni dettagliate sull'ambiente.

Per altre informazioni, vedere Monitorare Azure AD B2C con Monitoraggio di Azure.

Note sulla terminologia

Per la gestione tra tenant all'interno dell'azienda, i riferimenti ai provider di servizi nella documentazione di Azure Lighthouse possono essere considerati applicabili al tenant di gestione all'interno di un'azienda, ossia al tenant contenente gli utenti che gestiranno le risorse degli altri tenant tramite Azure Lighthouse. Analogamente, i riferimenti ai clienti possono essere considerati applicabili ai tenant che delegano le risorse che dovranno essere gestite tramite gli utenti del tenant di gestione.

Nell'esempio descritto in precedenza, Tenant A può essere considerato come il tenant del provider di servizi (tenant di gestione) e Tenant B e Tenant C possono essere considerati come i tenant dei clienti.

Proseguendo con l'esempio, gli utenti di Tenant A con le autorizzazioni appropriate possono visualizzare e gestire le risorse delegate nella pagina Clienti personali del portale di Azure. Analogamente, gli utenti di Tenant B e Tenant C con le autorizzazioni appropriate possono visualizzare e gestire le risorse che sono state delegate a Tenant A nella pagina Provider di servizi del portale di Azure.

Passaggi successivi