Uso de Azure Lighthouse en escenarios multiinquilino de zonas de aterrizaje de Azure
Azure Lighthouse permite la administración multiinquilino con escalabilidad, mayor automatización y gobernanza mejorada de los recursos. Azure Lighthouse se puede adoptar en escenarios de zona de aterrizaje de Azure en arquitecturas de un solo inquilino o multiinquilino.
En las consideraciones y recomendaciones siguientes se describen escenarios comunes para Azure Lighthouse en implementaciones de zona de aterrizaje de Azure.
Consideraciones
- Azure Lighthouse no se admite entre nubes de Azure, como la nube pública de Azure a la nube de Azure Government. Para más información, vea Consideraciones entre regiones y nubes.
- Azure Lighthouse admite delegaciones de suscripciones o grupos de recursos, no de grupos de administración ni inquilinos. Para obtener una solución a fin de incorporar varias suscripciones dentro de un grupo de administración, vea Incorporación de todas las suscripciones en un grupo de administración. Esta directiva sigue el principio de diseño de zonas de aterrizaje de Azure de gobernanza controlada por directivas.
- Para obtener información sobre las limitaciones de la compatibilidad de roles con Azure Lighthouse, vea Compatibilidad de roles con Azure Lighthouse.
Recomendaciones
- Vea Azure Lighthouse en escenarios empresariales.
- Si es un ISV, vea Azure Lighthouse en escenarios de ISV.
- Use Azure Lighthouse en ambas direcciones entre los inquilinos de Microsoft Entra para simplificar las actividades de administración y reducir escenarios complejos de autenticación y autorización. Esta acción quita la dependencia de las cuentas B2B (invitado) de Microsoft Entra para las identidades de usuario y carga de trabajo, y elimina la necesidad de tener cuentas independientes para algunas actividades.
- Use Privileged Identity Management (PIM) de Microsoft Entra como parte de las delegaciones de Azure Lighthouse. Para obtener más información, vea Creación de autorizaciones aptas.
- Esta característica requiere licencias P2 de Microsoft Entra ID, pero solo desde el origen o la administración del inquilino de Microsoft Entra.
Escenario de zonas de aterrizaje de Azure: Azure Lighthouse y DNS privado a gran escala
El diagrama siguiente es un escenario de zona de aterrizaje de Azure donde se usa Azure Lighthouse entre varios inquilinos de Microsoft Entra para facilitar la integración de Private Link y DNS.
Cuando se usa Azure Lighthouse, Zona DNS privada de Azure Policy para puntos de conexión vincula automáticamente en inquilinos de Microsoft Entra de radio a las zonas DNS privadas centralizadas en el inquilino de Microsoft Entra de centro. Para más información, vea Integración de Private Link y DNS a gran escala.
Al usar esta arquitectura, los propietarios de la zona de aterrizaje de aplicaciones tienen acceso para realizar cambios en la zona de DNS privada mediante autorizaciones de delegación de Azure Lighthouse. Este acceso es útil si se usa otro enfoque para administrar la configuración DNS de puntos de conexión privados, en lugar de Azure Policy. Para más información, vea Integración de Private Link y DNS a gran escala.