Verwendung von Azure Lighthouse in Szenarien mit mehreren Mandanten in Azure-Zielzonen

Azure Lighthouse ermöglicht die mehrinstanzenfähige Verwaltung mit hoher Skalierbarkeit, stärkerer Automatisierung und verbesserter Governance für alle Ressourcen. Azure Lighthouse kann in Azure-Zielzonenszenarien in Einzel- oder mehrinstanzenfähigen Architekturen übernommen werden.

Die folgenden Überlegungen und Empfehlungen beschreiben allgemeine Szenarien für Azure Lighthouse in Azure-Zielzonenbereitstellungen.

Überlegungen

• Azure Lighthouse wird in Azure-Clouds nicht unterstützt, z. B. die öffentliche Azure-Cloud Azure Government Cloud. Weitere Informationen finden Sie unter Regions- und Cloudüberlegungen.
• Azure Lighthouse unterstützt Delegierungen von Abonnements oder Ressourcengruppen, nicht von Verwaltungsgruppen oder Mandanten. Eine Lösung zum Onboarding mehrerer Abonnements innerhalb einer Verwaltungsgruppe finden Sie unter Onboarding aller Abonnements in einer Verwaltungsgruppe. Diese Richtlinie folgt dem Entwurfsprinzip von Azure-Zielzonen der richtliniengesteuerten Governance.
• Informationen zu den Einschränkungen der Rollenunterstützung mit Azure Lighthouse finden Sie unter Rollenunterstützung für Azure Lighthouse.

Empfehlungen

• Siehe Azure Lighthouse in Unternehmensszenarien.
• Wenn Sie ein ISV sind, lesen Sie Azure Lighthouse in ISV-Szenarien.
• Verwenden Sie Azure Lighthouse in beide Richtungen zwischen Microsoft Entra-Mandanten, um Verwaltungsaktivitäten zu vereinfachen und komplexe Authentifizierungs- und Autorisierungsszenarios zu reduzieren. Durch diese Aktion wird die Abhängigkeit von Microsoft Entra B2B-Konten (Gastkonten) für Benutzer- und Workloadidentitäten entfernt, und es ist nicht mehr erforderlich, für einige Aktivitäten separate Konten zu verwenden.
• Verwenden Sie Microsoft Entra Privileged Identity Management (PIM) als Teil Ihrer Azure Lighthouse-Delegierungen. Weitere Informationen finden Sie unter Erstellen von berechtigten Autorisierungen.
  • Dieses Feature erfordert die Microsoft Entra ID P2-Lizenzierung, aber nur aus der Quelle oder Verwaltung des Microsoft Entra-Mandanten.

Szenario für Azure-Zielzonen: Azure Lighthouse und Privates DNS im großen Stil

Das folgende Diagramm zeigt ein Azure-Zielzonenszenario, in dem Azure Lighthouse für mehrere Microsoft Entra-Mandanten verwendet wird, um die Integration von Private Link und DNS zu unterstützen.

Wenn Sie Azure Lighthouse verwenden, wird die Zone des privaten DNS von Azure Policy für private Endpunkte in Spoke-Mandanten von Microsoft Entra automatisch mit den zentralisierten Zonen des privaten DNS im Hub des Microsoft Entra-Mandanten verknüpft. Weitere Informationen finden Sie unter Private Link und DNS-Integration im großen Stil.

Wenn Sie diese Architektur verwenden, können Besitzer von Anwendungszielzonen über Azure Lighthouse-Delegierungsautorisierungen Änderungen an Privates DNS Zone vornehmen. Dieser Zugriff ist nützlich, wenn ein anderer Ansatz zum Verwalten der DNS-Konfiguration privater Endpunkte anstelle von Azure Policy verwendet wird. Weitere Informationen finden Sie unter Private Link und DNS-Integration im großen Stil.

Nächste Schritte

Überlegungen und Empfehlungen für Szenarien mit mehrinstanzenfähigen Azure-Zielzonen