Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Um cenário comum para Azure Lighthouse envolve um provedor de serviços que gerencia recursos nos locatários Microsoft Entra de seus clientes. Você também pode utilizar os recursos do Azure Lighthouse para simplificar o gerenciamento entre locatários em organizações que operam com múltiplos locatários do Microsoft Entra. Nesse cenário, os usuários em um dos locatários da empresa podem executar tarefas de gerenciamento em outros locatários por meio de Azure Lighthouse, sem exigir que nenhum outro provedor de serviços esteja envolvido.
Inquilinos empresariais únicos versus múltiplos
Para a maioria das organizações, a gestão é mais fácil com um único tenant Microsoft Entra. Ter todos os recursos em um locatário permite a centralização de tarefas de gerenciamento por usuários, grupos de usuários ou entidades de serviço designados dentro desse locatário. Use um locatário para sua organização sempre que possível.
Algumas organizações precisam operar com vários locatários do Microsoft Entra. Essa necessidade pode ser temporária, como quando ocorrem aquisições e ainda não se definiu uma estratégia de consolidação de longo prazo para locatários. Outras vezes, as organizações precisam manter vários locatários continuamente devido a subsidiárias totalmente independentes, requisitos geográficos ou legais ou outras considerações.
Nos casos em que uma arquitetura multitenant é necessária, Azure Lighthouse pode ajudar a centralizar e simplificar as operações de gerenciamento. Usando o Azure Lighthouse, usuários de um locatário de gerenciamento podem executar funções de gerenciamento entre locatários de maneira centralizada e escalonável.
Arquitetura de gerenciamento de locatário empresarial
Para usar Azure Lighthouse em uma empresa, determine qual locatário deve incluir usuários que executam operações de gerenciamento para os outros locatários. Em outras palavras, designe um locatário como o responsável pela administração dos outros locatários.
Por exemplo, digamos que sua organização tenha um único locatário chamado Locatário A. Em seguida, sua organização adquire o Locatário B e o Locatário C e você tem motivos comerciais que exigem que você os mantenha como locatários separados. No entanto, você deseja usar as mesmas definições de política, práticas de backup e processos de segurança para todos eles, com tarefas de gerenciamento executadas pelo mesmo conjunto de usuários.
Como o Locatário A já inclui usuários em sua organização que executam essas tarefas para o Locatário A, você pode designar o Locatário A como o locatário de gerenciamento. Em seguida, você pode integrar assinaturas no Locatário B e no Locatário C para que elas sejam delegadas ao Locatário A. Durante o processo de integração, você cria autorizações que concedem permissões aos usuários no Locatário A, permitindo que eles executem tarefas de gerenciamento entre o Locatário B e o Locatário C.
Considerações de segurança e acesso para cenários empresariais
Na maioria dos cenários corporativos, você delega uma assinatura inteira para Azure Lighthouse. Também é possível optar por delegar somente grupos de recursos específicos em uma assinatura.
De qualquer forma, siga o princípio do privilégio mínimo ao definir quais usuários podem acessar recursos delegados. Essa abordagem ajuda a garantir que os usuários tenham apenas as permissões necessárias para executar as tarefas necessárias e reduz a chance de erros inadvertidos.
Azure Lighthouse fornece apenas links lógicos entre um locatário gestor e locatários geridos, em vez de mover fisicamente dados ou recursos. Além disso, o acesso sempre vai em apenas uma direção, do locatário gerenciador para os locatários gerenciados. Os usuários e grupos no locatário de gerenciamento devem usar a autenticação multifator ao executar operações de gerenciamento em recursos de locatário gerenciados.
Empresas com diretrizes internas ou externas de governança e conformidade podem utilizar os logs de atividades do Azure Monitor para atender aos seus requisitos de transparência. Quando os locatários corporativos estabelecem relacionamentos entre um locatário gerenciador e os locatários gerenciados, os usuários de cada locatário podem exibir a atividade registrada para visualizar ações executadas por usuários do locatário gerenciador.
Para saber mais, confira Práticas de segurança recomendadas.
Considerações de integração para locatários corporativos
Você pode integrar assinaturas (ou grupos de recursos em uma assinatura) para Azure Lighthouse implantando modelos de Azure Resource Manager ou por meio de ofertas de Serviços Gerenciados publicadas no Microsoft Marketplace.
Como os usuários corporativos normalmente têm acesso direto aos locatários da empresa e não há necessidade de comercializar ou promover uma oferta de gerenciamento, geralmente é mais rápido e simples implantar modelos de Azure Resource Manager. Embora as diretrizes de integração mencionem os provedores de serviços e os clientes, as empresas podem usar os mesmos processos para integrar locatários.
Se preferir, os locatários de uma empresa podem ser integrados publicando uma oferta de Serviços Gerenciados no Microsoft Marketplace. Para garantir que a oferta só esteja disponível para os locatários apropriados, certifique-se de que seus planos estão definidos como privados. Com um plano privado, você fornece as IDs de assinatura para cada locatário que planeja integrar e ninguém mais pode obter sua oferta.
ID externa do Microsoft Entra
A ID Externa do Microsoft Entra oferece identidade de empresa para cliente como um serviço. Quando você delega um grupo de recursos através do Azure Lighthouse, pode usar o Azure Monitor para rotear os logs de entrada e auditoria do ID externa do Microsoft Entra para diversas soluções de monitoramento. Você pode reter os logs para uso de longo prazo ou integrá-lo com ferramentas de gerenciamento de eventos e informações de segurança (SIEM) de terceiros para obter informações sobre seu ambiente.
Para obter mais informações, consulte Configurar o Azure Monitor em locatários externos.
Observações sobre terminologia
Para o gerenciamento entre locatários na empresa, as referências aos provedores de serviços na documentação Azure Lighthouse podem ser entendidas como relativas ao locatário gerente dentro de uma empresa, ou seja, o locatário que inclui os usuários que, por meio de Azure Lighthouse, gerenciarão recursos em outros locatários. Da mesma forma, qualquer referência a clientes pode ser entendida como aplicável aos locatários que estão delegando recursos para serem gerenciados por usuários do locatário gestor.
Por exemplo, no exemplo descrito acima, o Locatário A pode ser considerado como o locatário do provedor de serviços (o locatário de gerenciamento) e o Locatário B e o Locatário C podem ser considerados como locatários do cliente.
Continuando com esse exemplo, os usuários do Locatário A com as permissões apropriadas podem visualizar e gerenciar recursos delegados na página Meus clientes do portal do Azure. Da mesma forma, os usuários do Locatário B e do Locatário C com as permissões apropriadas podem visualizar e gerenciar detalhes sobre suas delegações na página Provedores de serviço do portal Azure.
Próximas etapas
- Explore as opções para a organização de recursos em arquiteturas multitenant.
- Saiba mais sobre as experiências de gerenciamento entre locatários.
- Saiba mais sobre como o Azure Lighthouse funciona.