Uso di Azure Lighthouse in scenari multi-tenant delle Azure landing zones.
Azure Lighthouse consente la gestione multi-tenant con scalabilità, automazione più elevata e governance avanzata tra le risorse. Azure Lighthouse può essere adottato in scenari di zona di destinazione di Azure in architetture singole o multi-tenant.
Le considerazioni e le raccomandazioni seguenti descrivono scenari comuni per Azure Lighthouse nelle distribuzioni delle zone di atterraggio di Azure.
Considerazioni
- Azure Lighthouse non è supportato nei cloud di Azure, ad esempio nel cloud pubblico di Azure per enti pubblici. Per ulteriori informazioni, vedere considerazioni su aree geografiche e cloud.
- Azure Lighthouse supporta le deleghe di sottoscrizioni o gruppi di risorse, non di gruppi di gestione o tenant. Per una soluzione per eseguire l'onboarding di più sottoscrizioni all'interno di un gruppo di gestione, vedere Eseguire l'onboarding di tutte le sottoscrizioni in un gruppo di gestione. Questo criterio segue il principio di progettazione delle zone di destinazione di Azure di governance basata su criteri.
- Per informazioni sulle limitazioni del supporto dei ruoli con Azure Lighthouse, vedere Supporto dei ruoli per Azure Lighthouse.
Consigli
- Consulta Azure Lighthouse nelle situazioni aziendali.
- Se sei un ISV, vedere Azure Lighthouse negli scenari ISV.
- Usare Azure Lighthouse in entrambe le direzioni tra i tenant di Microsoft Entra per semplificare le attività di gestione e ridurre scenari di autenticazione e autorizzazione complessi. Questa azione rimuove la dipendenza dagli account Microsoft Entra B2B (Guest) per le identità utente e carico di lavoro e rimuove la necessità di avere account separati per alcune attività.
- Usare Microsoft Entra Privileged Identity Management (PIM) nell'ambito delle deleghe di Azure Lighthouse. Per ulteriori informazioni, vedere Creare autorizzazioni idonee.
- Questa funzionalità richiede licenze Microsoft Entra ID P2, ma solo dal tenant di origine o di gestione di Microsoft Entra.
Scenario di zone di destinazione di Azure - Azure Lighthouse e DNS privato su larga scala
Il diagramma seguente è uno scenario di landing zone di Azure in cui Azure Lighthouse viene utilizzato attraverso più tenant di Microsoft Entra per supportare l'integrazione di Private Link e DNS.
Quando si utilizza Azure Lighthouse, il criterio di Azure per la zona DNS privata degli endpoint privati è automaticamente collegato ai tenant spoke di Microsoft Entra alle zone DNS private centralizzate nel tenant hub di Microsoft Entra. Per ulteriori informazioni, vedere Private Link e integrazione DNS su larga scala.
Quando si usa questa architettura, i proprietari della zona di destinazione dell'applicazione hanno accesso per apportare modifiche alla zona DNS privata tramite le autorizzazioni di delega di Azure Lighthouse. Questo accesso è utile se viene utilizzato un approccio differente per gestire la configurazione DNS degli endpoint privati, invece di usare Azure Policy. Per ulteriori informazioni, vedere Private Link e integrazione DNS a livello di grande scala.