Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Um cenário comum para Azure Lighthouse envolve um prestador de serviços que gere recursos nos inquilinos do Microsoft Entra dos seus clientes. Também pode usar as capacidades do Azure Lighthouse para simplificar a gestão de inquilinos numa empresa que utiliza múltiplos clientes Microsoft Entra. Neste cenário, os utilizadores de um dos inquilinos da empresa podem realizar tarefas de gestão nos outros inquilinos através do Azure Lighthouse, sem necessidade de envolvimento de qualquer outro prestador de serviços.
Inquilinos empresariais individuais vs. múltiplos
Para a maioria das organizações, a gestão é mais fácil com um único tenant Microsoft Entra. Ter todos os recursos em um locatário permite a centralização de tarefas de gerenciamento por usuários designados, grupos de usuários ou entidades de serviço dentro desse locatário. Use um único inquilino para a sua organização sempre que possível.
Algumas organizações precisam de usar múltiplos locatários Microsoft Entra. Esta necessidade pode ser temporária, como quando ocorrem aquisições e ainda não está definida uma estratégia de consolidação de inquilinos a longo prazo. Outras vezes, as organizações precisam de manter múltiplos inquilinos de forma contínua devido a subsidiárias totalmente independentes, requisitos geográficos ou legais, ou outras considerações.
Nos casos em que é necessária uma arquitetura multiinquilino, Azure Lighthouse pode ajudar a centralizar e otimizar as operações de gestão. Ao utilizar Azure Lighthouse, os utilizadores de um único tenant gestor podem desempenhar funções de gestão entre inquilinos de forma centralizada e escalável.
Arquitetura de gestão de clientes empresariais
Para usar o Azure Lighthouse numa empresa, determine qual o inquilino que deve incluir utilizadores que realizam operações de gestão para os outros inquilinos. Por outras palavras, designar um inquilino como gestor dos outros inquilinos.
Por exemplo, suponha que a sua organização tem um único inquilino chamado Inquilino A. A sua organização adquire então o Inquilino B e o Inquilino C, e tem razões comerciais que o obrigam a mantê-los como inquilinos separados. No entanto, você deseja usar as mesmas definições de política, práticas de backup e processos de segurança para todos eles, com tarefas de gerenciamento executadas pelo mesmo conjunto de usuários.
Como o Inquilino A já inclui utilizadores na sua organização que desempenham essas tarefas para o Inquilino A, pode designar o Inquilino A como inquilino de gestão. Em seguida, você pode integrar assinaturas no Locatário B e no Locatário C para que elas sejam delegadas ao Locatário A. Durante o processo de integração, você cria autorizações que concedem permissões aos usuários no Locatário A, permitindo que eles executem tarefas de gerenciamento no Locatário B e no Locatário C.
Considerações de segurança e acesso para cenários empresariais
Na maioria dos cenários empresariais, delega uma subscrição inteira ao Azure Lighthouse. Você também pode optar por delegar apenas grupos de recursos específicos dentro de uma assinatura.
De qualquer forma, siga o princípio do menor privilégio ao definir quais os utilizadores que podem aceder aos recursos delegados. Esta abordagem ajuda a garantir que os utilizadores só têm as permissões necessárias para realizar as tarefas necessárias e reduz a probabilidade de erros inadvertidos.
O Azure Lighthouse apenas fornece ligações lógicas entre um inquilino gestor e inquilinos geridos, em vez de mover fisicamente dados ou recursos. Além disso, o acesso sempre vai em apenas uma direção, desde o locatário gerente até os locatários gerenciados. Os usuários e grupos no locatário de gerenciamento devem usar a autenticação multifator ao executar operações de gerenciamento em recursos de locatário gerenciados.
As empresas com limites internos ou externos de governação e conformidade podem usar registos de atividade Azure Monitor para cumprir os seus requisitos de transparência. Quando as empresas estabelecem relações de locatários gestores e geridos, os utilizadores em cada locatário podem visualizar a atividade registada para ver as ações realizadas pelos utilizadores no locatário gestor.
Para obter mais informações, consulte Práticas de segurança recomendadas.
Considerações de integração para arrendatários empresariais
Pode integrar subscrições (ou grupos de recursos dentro de uma subscrição) no Azure Lighthouse, seja implementando templates do Azure Resource Manager ou através de ofertas de Serviços Geridos publicadas no Microsoft Marketplace.
Como os utilizadores empresariais normalmente têm acesso direto aos inquilinos da empresa, e não há necessidade de promover ou promover uma oferta de gestão, normalmente é mais rápido e direto implementar templates do Azure Resource Manager. Embora a orientação de integração se refira a prestadores de serviços e clientes, as empresas podem usar os mesmos processos para integrar seus locatários.
Se preferir, os clientes dentro de uma empresa podem ser integrados publicando uma oferta de Serviços Geridos no Microsoft Marketplace. Para garantir que a oferta esteja disponível apenas para os locatários apropriados, certifique-se de que seus planos estejam definidos como privados. Com um plano privado, forneces os IDs de subscrição de cada inquilino que planeias integrar, e ninguém mais pode receber a tua oferta.
ID externo Microsoft Entra (ID Externo do Microsoft Entra)
ID externo Microsoft Entra fornece identidade empresa-para-cliente como um serviço. Quando delega um grupo de recursos através do Azure Lighthouse, pode usar o Azure Monitor para encaminhar logs de login e auditoria do ID externo Microsoft Entra para diferentes soluções de monitorização. Você pode reter os logs para uso de longo prazo ou integrar-se a ferramentas de gerenciamento de eventos e informações de segurança (SIEM) de terceiros para obter informações sobre seu ambiente.
Para mais informações, consulte Configurar Azure Monitor em inquilinos externos.
Notas terminológicas
Para a gestão entre inquilinos dentro da empresa, as referências a prestadores de serviços na documentação do Azure Lighthouse podem ser entendidas como aplicando-se ao inquilino gestor dentro de uma empresa — ou seja, o inquilino que inclui os utilizadores que irão gerir recursos noutros inquilinos através do Azure Lighthouse. Da mesma forma, quaisquer referências a clientes podem ser entendidas como aplicáveis aos locatários que estão delegando recursos a serem gerenciados por meio de usuários no locatário de gerenciamento.
Por exemplo, no exemplo descrito acima, o Inquilino A pode ser visto como o inquilino prestador de serviços (o inquilino gestor) e o Inquilino B e o Inquilino C podem ser considerados os inquilinos clientes.
Continuando com esse exemplo, os utilizadores do Tenant A com as permissões apropriadas podem visualizar e gerir recursos delegados na página Meus clientes do portal Azure. Da mesma forma, os utilizadores dos Inquilinos B e C com as permissões apropriadas podem visualizar e gerir detalhes sobre as suas delegações na página Prestadores de serviços do portal Azure.
Próximos passos
- Explore opções para organização de recursos em arquiteturas multilocatário.
- Saiba mais sobre experiências de gestão interlocatária.
- Saiba mais sobre como Azure Lighthouse funciona.