Experiências de gestão entre inquilinos
Como um provedor de serviços, você pode usar o Azure Lighthouse para gerenciar os recursos do Azure de seus clientes de dentro de seu próprio locatário do Microsoft Entra. Muitas tarefas e serviços comuns podem ser executados nesses locatários gerenciados.
Gorjeta
O Azure Lighthouse também pode ser usado em uma empresa que tenha vários locatários do Microsoft Entra próprios para simplificar a administração entre locatários.
Noções básicas sobre locatários e delegação
Um locatário do Microsoft Entra é uma representação de uma organização. É uma instância dedicada do Microsoft Entra ID que uma organização recebe quando cria um relacionamento com a Microsoft inscrevendo-se no Azure, Microsoft 365 ou outros serviços. Cada locatário do Microsoft Entra é distinto e separado de outros locatários do Microsoft Entra e tem sua própria ID de locatário (um GUID). Para obter mais informações, consulte O que é o Microsoft Entra ID?
Normalmente, para gerenciar recursos do Azure para um cliente, os provedores de serviços devem entrar no portal do Azure usando uma conta associada ao locatário desse cliente. Nesse cenário, um administrador no locatário do cliente deve criar e gerenciar contas de usuário para o provedor de serviços.
Com o Azure Lighthouse, o processo de integração especifica os usuários no locatário do provedor de serviços aos quais são atribuídas funções a assinaturas delegadas e grupos de recursos no locatário do cliente. Esses usuários podem entrar no portal do Azure, usando suas próprias credenciais, e trabalhar em recursos pertencentes a todos os clientes aos quais eles têm acesso. Os usuários no locatário de gerenciamento podem ver todos esses clientes visitando a página Meus clientes no portal do Azure. Eles também podem trabalhar em recursos diretamente no contexto da assinatura desse cliente, no portal do Azure ou por meio de APIs.
O Azure Lighthouse oferece flexibilidade para gerenciar recursos para vários clientes sem precisar entrar em contas diferentes em locatários diferentes. Por exemplo, um prestador de serviços pode ter dois clientes com responsabilidades e níveis de acesso diferentes. Usando o Azure Lighthouse, os usuários autorizados podem entrar no locatário do provedor de serviços e acessar todos os recursos delegados nesses clientes, de acordo com as funções que lhes foram atribuídas para cada delegação.
Suporte a APIs e ferramentas de gerenciamento
Você pode executar tarefas de gerenciamento em recursos delegados no portal do Azure ou pode usar APIs e ferramentas de gerenciamento, como a CLI do Azure e o Azure PowerShell. Todas as APIs existentes podem ser usadas em recursos delegados, desde que a funcionalidade seja suportada para gerenciamento entre locatários e o usuário tenha as permissões apropriadas.
O cmdlet Get-AzSubscription do Azure PowerShell mostra o TenantId
para o locatário de gerenciamento por padrão. Os HomeTenantId
atributos e ManagedByTenantIds
para cada assinatura permitem que você identifique se uma assinatura retornada pertence a um locatário gerenciado ou ao seu locatário gerenciador.
Da mesma forma, os comandos da CLI do Azure, como az account list , mostram os homeTenantId
atributos e managedByTenants
. Se você não vir esses valores ao usar a CLI do Azure, tente limpar o cache executando az account clear
seguido de az login --identity
.
Na API REST do Azure, os comandos Subscriptions - Get e Subscriptions - List incluem ManagedByTenant
.
Nota
Além das informações de locatário relacionadas ao Azure Lighthouse, os locatários mostrados por essas APIs também podem refletir locatários parceiros para o Azure Databricks ou aplicativos gerenciados do Azure.
Também fornecemos APIs específicas para executar tarefas do Azure Lighthouse. Para obter mais informações, consulte a seção Referência .
Serviços e cenários aprimorados
A maioria das tarefas e serviços do Azure pode ser usada com recursos delegados entre locatários gerenciados, supondo que as funções apropriadas sejam concedidas. Abaixo estão alguns dos principais cenários em que o gerenciamento entre locatários pode ser especialmente eficaz.
- Gerenciar servidores híbridos em escala - servidores habilitados para Azure Arc:
- Servidores integrados a subscrições de clientes delegados e/ou grupos de recursos no Azure
- Gerenciar máquinas Windows Server ou Linux fora do Azure conectadas a assinaturas delegadas
- Gerenciar máquinas conectadas usando construções do Azure, como a Política do Azure e a marcação
- Garantir que o mesmo conjunto de políticas seja aplicado em todos os ambientes híbridos dos clientes
- Use o Microsoft Defender for Cloud para monitorar a conformidade nos ambientes híbridos dos clientes
- Gerenciar clusters Kubernetes híbridos em escala - Kubernetes habilitado para Azure Arc:
- Conectar clusters Kubernetes a assinaturas delegadas e/ou grupos de recursos
- Use o GitOps para implantar configurações em clusters conectados
- Executar tarefas de gerenciamento, como a imposição de políticas em clusters conectados
Automação do Azure:
- Usar contas de automação para acessar e trabalhar com recursos delegados
- Faça backup e restaure os dados do cliente usando o Backup do Azure. Atualmente, as seguintes cargas de trabalho do Azure são suportadas: Máquinas Virtuais do Azure (VM do Azure), Arquivos do Azure, SQL Server em VMs do Azure, SAP HANA em VMs do Azure. As cargas de trabalho que aproveitam o cofre de Backup (como o Banco de Dados do Azure para PostgreSQL, o Blob do Azure, o Disco Gerenciado do Azure e os Serviços Kubernetes do Azure) atualmente não são totalmente suportadas.
- Exibir dados de todos os recursos delegados do cliente no Centro de backup
- Use o Gerenciador de Backup para ajudar a exibir informações operacionais de itens de backup (incluindo recursos do Azure ainda não configurados para backup) e informações de monitoramento (trabalhos e alertas) para assinaturas delegadas. Atualmente, o Gerenciador de Backup está disponível apenas para dados de VM do Azure.
- Use relatórios de backup em assinaturas delegadas para acompanhar tendências históricas, analisar o consumo de armazenamento de backup e auditar backups e restaurações.
- Usar Azure Blueprints para orquestrar a implantação de modelos de recursos e outros artefatos (requer acesso adicional para preparar a assinatura do cliente)
Azure Cost Management + Faturação:
- A partir do locatário de gerenciamento, os parceiros CSP podem exibir, gerenciar e analisar os custos de consumo antes de impostos (não incluindo compras) para clientes que estão sob o plano do Azure. O custo é baseado nas taxas de varejo e no acesso de controle de acesso baseado em função do Azure (Azure RBAC) que o parceiro tem para a assinatura do cliente. Atualmente, você pode exibir os custos de consumo com taxas de varejo para cada assinatura de cliente individual com base no acesso ao Azure RBAC.
- Criar Cofres de Chaves em locatários de clientes
- Usar uma identidade gerenciada para criar Cofres de Chaves em locatários de clientes
Azure Kubernetes Service (AKS):
- Gerencie ambientes Kubernetes hospedados e implante e gerencie aplicativos em contêineres em locatários de clientes
- Implantar e gerenciar clusters em locatários de clientes
- Usar o Azure Monitor para contêineres para monitorar o desempenho entre locatários de clientes
- Criar projetos de migração no locatário do cliente e migrar VMs
- Exibir alertas para assinaturas delegadas, com a capacidade de exibir e atualizar alertas em todas as assinaturas
- Exibir detalhes do registro de atividades para assinaturas delegadas
- Análise de log: consulte dados de espaços de trabalho remotos em vários locatários (observe que as contas de automação usadas para acessar dados de espaços de trabalho em locatários de clientes devem ser criadas no mesmo locatário)
- Criar, exibir e gerenciar alertas em locatários de clientes
- Crie alertas em locatários de clientes que acionam a automação, como runbooks de Automação do Azure ou Azure Functions, no locatário de gerenciamento por meio de webhooks
- Criar configurações de diagnóstico em espaços de trabalho criados em locatários de clientes, para enviar logs de recursos para espaços de trabalho no locatário de gerenciamento
- Para cargas de trabalho SAP, monitore as métricas do SAP Solutions com uma visão agregada entre os locatários do cliente
- Para o Azure AD B2C, encaminhe logs de entrada e auditoria para diferentes soluções de monitoramento
Rede do Azure:
- Implantar e gerenciar a Rede Virtual do Azure e placas de interface de rede virtual (vNICs) em locatários gerenciados
- Implantar e configurar o Firewall do Azure para proteger os recursos da Rede Virtual dos clientes
- Gerenciar serviços de conectividade, como a WAN Virtual do Azure, a Rota Expressa do Azure e o Gateway de VPN
- Usar o Azure Lighthouse para dar suporte aos principais cenários do Programa MSP de Rede do Azure
Política do Azure:
- Criar e editar definições de política em assinaturas delegadas
- Implantar definições de política e atribuições de política em vários locatários
- Atribuir definições de política definidas pelo cliente em assinaturas delegadas
- Os clientes veem as políticas criadas pelo provedor de serviços juntamente com as políticas criadas por eles mesmos
- Pode corrigir deployIfNotExists ou modificar atribuições dentro do locatário gerenciado
- Observe que a exibição de detalhes de conformidade para recursos não compatíveis em locatários clientes não é suportada atualmente
- Consulte o ID do locatário nos resultados da consulta retornada, permitindo identificar se uma assinatura pertence a um locatário gerenciado
- Monitorar a integridade dos recursos do cliente com a Integridade dos Recursos do Azure
- Acompanhe a integridade dos serviços do Azure usados por seus clientes
- Gerenciar opções de recuperação de desastres para máquinas virtuais do Azure em locatários de clientes (observe que você não pode usar
RunAs
contas para copiar extensões de VM)
Máquinas Virtuais do Azure:
- Usar extensões de máquina virtual para fornecer tarefas de configuração e automação pós-implantação em VMs do Azure
- Usar o diagnóstico de inicialização para solucionar problemas de VMs do Azure
- Acessar VMs com console serial
- Integre VMs com o Cofre de Chaves do Azure para senhas, segredos ou chaves criptográficas para criptografia de disco usando identidade gerenciada por meio de política, garantindo que os segredos sejam armazenados em um Cofre de Chaves nos locatários gerenciados
- Observe que você não pode usar o Microsoft Entra ID para logon remoto em VMs
Microsoft Defender para nuvem:
- Visibilidade entre locatários
- Monitore a conformidade com as políticas de segurança e garanta a cobertura de segurança em todos os recursos dos locatários
- Monitoramento contínuo de conformidade regulatória em vários locatários em uma única visualização
- Monitore, faça a triagem e priorize recomendações de segurança acionáveis com cálculo seguro de pontuação
- Gerenciamento de postura de segurança entre locatários
- Manage security policies (Gerir políticas de segurança)
- Tome medidas em relação aos recursos que não estão em conformidade com as recomendações de segurança acionáveis
- Coletar e armazenar dados relacionados à segurança
- Proteção e deteção de ameaças entre locatários
- Detetar ameaças nos recursos dos locatários
- Aplique controles avançados de proteção contra ameaças, como acesso a VM just-in-time (JIT)
- Proteja a configuração do grupo de segurança de rede com o Adaptive Network Hardening
- Garantir que os servidores estejam executando apenas os aplicativos e processos que devem estar com controles de aplicativos adaptáveis
- Monitore alterações em arquivos importantes e entradas do Registro com o Monitoramento de Integridade de Arquivos (FIM)
- Observe que toda a assinatura deve ser delegada ao locatário administrador; Os cenários do Microsoft Defender for Cloud não são suportados com grupos de recursos delegados
- Gerenciar recursos do Microsoft Sentinel em locatários de clientes
- Rastreie ataques e visualize alertas de segurança em vários locatários
- Exibir incidentes em vários espaços de trabalho do Microsoft Sentinel espalhados entre locatários
Pedidos de suporte:
- Abrir solicitações de suporte da Ajuda + suporte no portal do Azure para recursos delegados (selecionando o plano de suporte disponível para o escopo delegado)
- Usar a API de Cota do Azure para exibir e gerenciar cotas de serviço do Azure para recursos delegados do cliente
Limitações atuais
Em todos os cenários, esteja ciente das seguintes limitações atuais:
- As solicitações tratadas pelo Azure Resource Manager podem ser executadas usando o Azure Lighthouse. Os URIs de operação para essas solicitações começam com
https://management.azure.com
. No entanto, as solicitações que são tratadas por uma instância de um tipo de recurso (como acesso a segredos do Cofre da Chave ou acesso a dados de armazenamento) não são suportadas com o Azure Lighthouse. Os URIs de operação para essas solicitações normalmente começam com um endereço exclusivo para sua instância, comohttps://myaccount.blob.core.windows.net
ouhttps://mykeyvault.vault.azure.net/
. Estas últimas são também tipicamente operações de dados em vez de operações de gestão. - As atribuições de função devem usar funções internas do Azure. Todas as funções internas são atualmente suportadas com o Azure Lighthouse, exceto Proprietário ou quaisquer funções internas com
DataActions
permissão. A função de Administrador de Acesso de Usuário é suportada apenas para uso limitado na atribuição de funções a identidades gerenciadas. Não há suporte para funções personalizadas e funções clássicas de administrador de assinatura. Para obter mais informações, consulte Suporte de função para o Azure Lighthouse. - Para usuários no locatário gerenciado, as atribuições de função feitas por meio do Azure Lighthouse não são mostradas em Controle de Acesso (IAM) ou com ferramentas da CLI, como
az role assignment list
. Essas atribuições só são visíveis no portal do Azure na seção Delegações do Azure Lighthouse ou por meio da API do Azure Lighthouse. - Embora você possa integrar assinaturas que usam o Azure Databricks, os usuários no locatário de gerenciamento não podem iniciar espaços de trabalho do Azure Databricks em uma assinatura delegada.
- Embora você possa integrar assinaturas e grupos de recursos com bloqueios de recursos, esses bloqueios não impedirão que ações sejam executadas por usuários no locatário de gerenciamento. Negar atribuições que protegem recursos gerenciados pelo sistema (atribuições de negação atribuídas pelo sistema), como aquelas criadas por aplicativos gerenciados do Azure ou Azure Blueprints, impedem que os usuários no locatário de gerenciamento atuem nesses recursos. No entanto, os usuários no locatário do cliente não podem criar suas próprias atribuições de negação.
- Não há suporte para a delegação de assinaturas em uma nuvem nacional e na nuvem pública do Azure ou em duas nuvens nacionais separadas.
Próximos passos
- Integre seus clientes ao Azure Lighthouse, usando modelos do Azure Resource Manager ou publicando uma oferta de serviços gerenciados públicos ou privados no Azure Marketplace.
- Exiba e gerencie clientes acessando Meus clientes no portal do Azure.
- Saiba mais sobre a arquitetura do Azure Lighthouse.