Azure Lighthouse-gebruik in scenario's met meerdere tenants in Azure-landingszones

Azure Lighthouse maakt multitenant-beheer mogelijk met schaalbaarheid, hogere automatisering en verbeterde governance voor resources. Azure Lighthouse kan worden gebruikt in Azure-landingszonescenario's in één of meerdere tenantarchitecturen.

In de volgende overwegingen en aanbevelingen worden veelvoorkomende scenario's beschreven voor Implementaties van Azure Lighthouse in Azure-landingszones.

Overwegingen

• Azure Lighthouse wordt niet ondersteund tussen verschillende Azure-clouds, zoals tussen de openbare Azure-cloud en de Azure Government-cloud. Zie Overwegingen voor meerdere regio's en cloudsvoor meer informatie.
• Azure Lighthouse biedt ondersteuning voor delegaties van abonnementen of resourcegroepen, niet voor beheergroepen of tenants. Zie Alle abonnementen onboarden in een beheergroepvoor een oplossing voor het onboarden van meerdere abonnementen binnen een beheergroep. Dit beleid volgt het ontwerpprincipe voor Azure-landingszones van op beleid gebaseerde governance-.
• Zie Rolondersteuning voor Azure Lighthousevoor meer informatie over de beperkingen van rolondersteuning met Azure Lighthouse.

Aanbevelingen

• Zie Azure Lighthouse in bedrijfsscenario's.
• Als u een ISV bent, raadpleegt u Azure Lighthouse in ISV-scenario's.
• Gebruik Azure Lighthouse in beide richtingen tussen Microsoft Entra-tenants om beheeractiviteiten te vereenvoudigen en complexe verificatie- en autorisatiescenario's te verminderen. Met deze actie wordt de afhankelijkheid van Microsoft Entra B2B-accounts (gastaccounts) voor gebruikers- en workloadidentiteiten verwijderd en wordt de noodzaak om afzonderlijke accounts voor sommige activiteiten te hebben verwijderd.
• Gebruik Microsoft Entra Privileged Identity Management (PIM) als onderdeel van uw Azure Lighthouse-delegaties. Voor meer informatie, zie In aanmerking komende autorisaties maken.
  • Voor deze functie is een Microsoft Entra ID P2-licentie vereist, maar alleen vanaf de bron- of beheer-Microsoft Entra-tenant.

Scenario met Azure-landingszones - Azure Lighthouse en privé-DNS op schaal

Het volgende diagram is een Azure-landingszonescenario waarin Azure Lighthouse wordt gebruikt in meerdere Microsoft Entra-tenants om te helpen bij private link- en DNS-integratie.

Wanneer u Azure Lighthouse gebruikt, wordt Azure Policy voor privé-eindpunt-privé-DNS-zone automatisch in spoke Microsoft Entra-tenants gekoppeld aan de gecentraliseerde privé-DNS-zones in de hub Microsoft Entra-tenant. Zie Private Link en DNS-integratie op schaalvoor meer informatie.

Wanneer u deze architectuur gebruikt, hebben eigenaren van toepassingslandingszones toegang om wijzigingen aan te brengen in de privé-DNS-zone via Azure Lighthouse-delegatieautorisaties. Deze toegang is handig als een andere benadering wordt gebruikt voor het beheren van de DNS-configuratie van privé-eindpunten in plaats van Azure Policy. Zie Private Link en DNS-integratie op schaalvoor meer informatie.

Volgende stappen

Overwegingen en aanbevelingen voor multitenant Azure-landingszonescenario's