Utilisation d’Azure Lighthouse dans les scénarios multilocataires des zones d’atterrissage Azure
Azure Lighthouse permet une gestion multilocataire avec une scalabilité, une automatisation plus élevée et une gouvernance améliorée entre les ressources. Azure Lighthouse peut être adopté dans les scénarios de zone d’atterrissage Azure dans des architectures uniques ou mutualisées.
Les considérations et recommandations suivantes décrivent des scénarios courants pour Azure Lighthouse dans les déploiements de zones d’atterrissage Azure.
Considérations
- Azure Lighthouse n'est pas pris en charge entre les différents clouds Azure, comme entre le cloud public Azure et le cloud Azure Government. Pour plus d’informations, consultez Considérations liées au cloud et inter-régions.
- Azure Lighthouse prend en charge les délégations d’abonnements ou de groupes de ressources, et non les groupes d’administration ou les locataires. Pour une solution d’intégration de plusieurs abonnements au sein d’un groupe d’administration, consultez Intégrer tous les abonnements dans un groupe d’administration. Cette stratégie suit le principe de conception des zones d’atterrissage Azure de gouvernance pilotée par les stratégies.
- Pour plus d’informations sur les limitations de la prise en charge des rôles avec Azure Lighthouse, consultez prise en charge des rôles pour Azure Lighthouse.
Recommandations
- Consultez Azure Lighthouse dans les scénarios d’entreprise.
- Si vous êtes un ISV, consultez Azure Lighthouse dans les scénarios ISV.
- Utilisez Azure Lighthouse dans les deux sens entre les locataires Microsoft Entra pour simplifier les activités de gestion et réduire les scénarios d’authentification et d’autorisation complexes. Cette action supprime la dépendance vis-à-vis des comptes Microsoft Entra B2B (invité) pour les identités d’utilisateur et de charge de travail, et supprime la nécessité d’avoir des comptes distincts pour certaines activités.
- Utilisez Microsoft Entra Privileged Identity Management (PIM) dans le cadre de vos délégations Azure Lighthouse. Pour plus d’informations, consultez Créer des autorisations éligibles.
- Cette fonctionnalité nécessite une licence Microsoft Entra ID P2, mais uniquement à partir du locataire Microsoft Entra source ou de gestion.
Scénario de zones d’atterrissage Azure - Azure Lighthouse et DNS privé à grande échelle
Le diagramme suivant est un scénario de zone d’atterrissage Azure dans lequel Azure Lighthouse est utilisé sur plusieurs locataires Microsoft Entra pour faciliter l’intégration de Private Link et DNS.
Lorsque vous utilisez Azure Lighthouse, la zone DNS privée d’Azure Policy pour les points de terminaison privés est automatiquement liée dans les locataires Microsoft Entra spoke aux zones DNS privées centralisées dans le locataire Microsoft Entra hub. Pour plus d’informations, consultez Private Link et intégration DNS à grande échelle.
Lorsque vous utilisez cette architecture, les propriétaires de zone d’atterrissage d’application ont accès à apporter des modifications à la zone DNS privée via des autorisations de délégation Azure Lighthouse. Cet accès est utile si une approche différente est utilisée pour gérer la configuration DNS des points de terminaison privés, plutôt qu’Azure Policy. Pour plus d’informations, consultez Intégration de Private Link et DNS à grande échelle.