Azure ランディング ゾーンのマルチテナント シナリオでの Azure Lighthouse の使用
Azure Lighthouse を使用すると、スケーラビリティ、自動化の向上、リソース全体のガバナンスの強化によるマルチテナント管理が可能になります。 Azure Lighthouse は、単一またはマルチテナント アーキテクチャの Azure ランディング ゾーン シナリオで採用できます。
次の考慮事項と推奨事項では、Azure ランディング ゾーンデプロイでの Azure Lighthouse の一般的なシナリオについて説明します。
考慮 事項
- Azure Lighthouse は、Azure パブリック クラウドから Azure Government クラウドへの Azure クラウドなど、Azure クラウド全体ではサポートされていません。 詳細については、「リージョン間およびクラウドに関する考慮事項
参照してください。 - Azure Lighthouse では、管理グループやテナントではなく、サブスクリプションまたはリソース グループの委任がサポートされています。 管理グループ内の複数のサブスクリプションをオンボードするソリューションについては、「管理グループのすべてのサブスクリプションをオンボードする」を参照してください。 このポリシーは、ポリシー駆動型ガバナンスの Azure ランディング ゾーン設計原則
従います。 - Azure Lighthouse でのロール サポートの制限については、「Azure Lighthouseのロールのサポート
」を参照してください。
推奨 事項
- エンタープライズ シナリオ Azure Lighthouseを参照してください。
- ISV の場合は、ISV シナリオの Azure Lighthouse
を参照してください。 - 管理アクティビティを簡略化し、複雑な認証と承認のシナリオを減らすには、Microsoft Entra テナント間の双方向で Azure Lighthouse を使用します。 このアクションにより、ユーザー ID とワークロード ID に対する Microsoft Entra B2B (ゲスト) アカウントへの依存が削除され、一部のアクティビティに個別のアカウントを持つ必要がなくなります。
- Azure Lighthouse の委任の一部として、Microsoft Entra Privileged Identity Management (PIM) を使用します。 詳細については、「適格な権限の作成」を参照してください。
- この機能を利用するには、Microsoft Entra ID P2 ライセンスが必要ですが、これはソースまたは Microsoft Entra の管理テナントからのみ必要です。
Azure ランディング ゾーン シナリオ - 大規模な Azure Lighthouse とプライベート DNS
次の図は、Azure Lighthouse が複数の Microsoft Entra テナント間で使用され、Private Link と DNS の統合を支援する Azure ランディング ゾーンのシナリオです。
Azure Lighthouse を使用すると、プライベート エンドポイントのプライベート DNS ゾーンに対する Azure Policy は、スポークでの Microsoft Entra テナント を、ハブでの Microsoft Entra テナント 内の一元化されたプライベート DNS ゾーンに自動的にリンクします。 詳細については、「スケールにおける プライベートリンクとDNS統合」を参照してください。
このアーキテクチャを使用すると、アプリケーション ランディング ゾーンの所有者は、Azure Lighthouse 委任承認を介してプライベート DNS ゾーンに変更を加えるアクセス権を持っています。 このアクセスは、Azure Policy ではなく、プライベート エンドポイントの DNS 構成を管理するために別の方法を使用する場合に便利です。 詳細については、「Private Link と DNS の大規模な統合」を参照してください。