Využití Služby Azure Lighthouse ve scénářích s více tenanty v cílových zónách Azure

Azure Lighthouse umožňuje správu s více tenanty se škálovatelností, vyšší automatizací a rozšířenými zásadami správného řízení napříč prostředky. Azure Lighthouse je možné využít ve scénářích cílových zón Azure v architektuře s jedním nebo více tenanty.

Následující aspekty a doporučení popisují běžné scénáře nasazení azure Lighthouse v cílových zónách Azure.

Požadavky

• Azure Lighthouse se nepodporuje napříč cloudy Azure, jako je veřejný cloud Azure do cloudu Azure Government. Další informace najdete v tématu Aspekty napříč oblastmi a cloudy.
• Azure Lighthouse podporuje delegování předplatných nebo skupin prostředků, nikoli skupin pro správu nebo tenantů. Řešení pro onboarding více předplatných v rámci skupiny pro správu najdete v tématu Onboarding všech předplatných ve skupině pro správu. Tato zásada se řídí principem návrhu cílových zón Azure zásad správného řízení řízeného zásadami.
• Informace o omezeních podpory rolí ve službě Azure Lighthouse najdete v tématu Podpora rolí pro Azure Lighthouse.

Doporučení

• Viz Azure Lighthouse v podnikových scénářích.
• Pokud jste výrobce softwaru, prohlédni si Azure Lighthouse ve scénářích nezávislých výrobců softwaru.
• Azure Lighthouse používejte v obou směrech mezi tenanty Microsoft Entra, abyste zjednodušili aktivity správy a snížili složité scénáře ověřování a autorizace. Tato akce odebere závislost na účtech Microsoft Entra B2B (Guest) pro identity uživatelů a úloh a odebere nutnost mít pro některé aktivity samostatné účty.
• Jako součást delegování Azure Lighthouse použijte Microsoft Entra Privileged Identity Management (PIM). Další informace najdete v tématu Vytváření oprávněných autorizací.
  • Tato funkce vyžaduje licencování Microsoft Entra ID P2, ale pouze ze zdroje nebo správy tenanta Microsoft Entra.

Scénář cílových zón Azure – Azure Lighthouse a Privátní DNS ve velkém měřítku

Následující diagram je scénář cílové zóny Azure, ve kterém se Azure Lighthouse používá napříč několika tenanty Microsoft Entra, aby pomohl s integrací Služby Private Link a DNS.

Když používáte Azure Lighthouse, služba Azure Policy pro privátní koncové body Privátní DNS zóna se automaticky propojila v paprskových tenantech Microsoft Entra s centralizovanými zónami Privátní DNS v centrálním tenantovi Microsoft Entra. Další informace najdete v tématu Integrace služby Private Link a DNS ve velkém měřítku.

Při použití této architektury mají vlastníci cílových zón aplikace přístup k provádění změn Privátní DNS zóny prostřednictvím autorizací delegování služby Azure Lighthouse. Tento přístup je užitečný, pokud se k správě konfigurace DNS privátních koncových bodů používá jiný přístup než Azure Policy. Další informace najdete v tématu Integrace služby Private Link a DNS ve velkém měřítku.

Další kroky

Důležité informace a doporučení pro scénáře cílových zón Azure s více tenanty