Uso de Azure Lighthouse en escenarios multiinquilino de zonas de aterrizaje de Azure
Azure Lighthouse permite la administración multiinquilino con escalabilidad, mayor automatización y gobernanza mejorada en todos los recursos. Azure Lighthouse se puede adoptar en escenarios de zona de aterrizaje de Azure en arquitecturas únicas o multiinquilino.
Las siguientes consideraciones y recomendaciones describen escenarios comunes para Azure Lighthouse en implementaciones de zona de aterrizaje de Azure.
Consideraciones
- Azure Lighthouse no se admite entre nubes de Azure, como de la nube pública de Azure a la nube de Azure Government. Para más información, vea Consideraciones entre regiones y nubes.
- Azure Lighthouse admite delegaciones de suscripciones o grupos de recursos, no grupos de administración ni inquilinos. Para obtener una solución para incorporar varias suscripciones dentro de un grupo de administración, consulte Incorporación de todas las suscripciones en un grupo de administración. Esta directiva sigue el principio de diseño de zonas de aterrizaje de Azure de gobernanza controlada por directivas.
- Para obtener información sobre las limitaciones de compatibilidad de funciones con Azure Lighthouse, consulte Compatibilidad con funciones para Azure Lighthouse.
Recomendaciones
- Vea Azure Lighthouse en escenarios empresariales.
- Si es un ISV, vea Azure Lighthouse en escenarios de ISV.
- Use Azure Lighthouse en ambas direcciones entre los inquilinos de Microsoft Entra para simplificar las actividades de administración y reducir escenarios complejos de autenticación y autorización. Esta acción elimina la dependencia de las cuentas de Microsoft Entra B2B (invitado) para las identidades de usuario y carga de trabajo, y elimina la necesidad de tener cuentas independientes para algunas actividades.
- Usa Microsoft Entra Privileged Identity Management (PIM) como parte de las delegaciones de Azure Lighthouse. Para obtener más información, consulte Crear autorizaciones aptas.
- Esta característica requiere licencias Microsoft Entra ID P2, pero solo desde el origen o la administración del inquilino de Microsoft Entra.
Escenario de zonas de aterrizaje de Azure: Azure Lighthouse y DNS privado a escala
El diagrama siguiente es un escenario de zona de aterrizaje de Azure en el que Azure Lighthouse se usa en varias entidades de Microsoft Entra para ayudar con la integración de Private Link y DNS.
Cuando se usa Azure Lighthouse, la zona DNS privada de Azure Policy para puntos de conexión privados se vincula automáticamente en los inquilinos de Microsoft Entra de tipo spoke a las zonas DNS privadas centralizadas del inquilino de Microsoft Entra de tipo hub. Para más información, vea Integración de Private Link y DNS a gran escala.
Al usar esta arquitectura, los propietarios de zonas de aterrizaje de aplicaciones tienen acceso para realizar cambios en la zona DNS privada mediante autorizaciones de delegación de Azure Lighthouse. Este acceso es útil si se usa un enfoque diferente para administrar la configuración de DNS de puntos de conexión privados, en lugar de Azure Policy. Para más información, vea Integración de Private Link y DNS a gran escala.