Compartilhar via

Uso do Farol do Azure em cenários multilocatários de zonas de aterrissagem do Azure

  • Artigo

O Azure Lighthouse permite o gerenciamento de vários locatários com escalabilidade, maior automação e governança aprimorada entre recursos. O Farol do Azure pode ser adotado em cenários de zona de aterrissagem do Azure em arquiteturas de locatário único ou multilocatário.

As considerações e recomendações a seguir descrevem cenários comuns para o Farol do Azure em implantações de zona de aterrissagem do Azure.

Considerações

  • O Azure Lighthouse não tem suporte em nuvens do Azure, como a nuvem pública do Azure para a nuvem do Azure Government. Para obter mais informações, consulte Considerações sobre entre regiões e nuvem.
  • O Azure Lighthouse dá suporte a delegações de assinaturas ou grupos de recursos, não a grupos de gerenciamento ou locatários. Para obter uma solução para integrar várias assinaturas em um grupo de gerenciamento, consulte Integrar todas as assinaturas em um grupo de gerenciamento. Essa política segue o princípio de design de zonas de aterrissagem do Azure de governança orientada por políticas.
  • Para obter informações sobre as limitações do suporte de função com o Azure Lighthouse, consulte Suporte de função para o Azure Lighthouse.

Recomendações

  • Consulte Farol do Azure em cenários corporativos.
  • Se você for um ISV, consulte Farol do Azure em cenários de ISV.
  • Use o Azure Lighthouse em ambas as direções entre locatários do Microsoft Entra para simplificar as atividades de gerenciamento e reduzir cenários complexos de autenticação e autorização. Essa ação remove a dependência de contas B2B (Convidado) do Microsoft Entra para identidades de usuário e carga de trabalho e elimina a necessidade de ter contas separadas para algumas atividades.
  • Use o Microsoft Entra Privileged Identity Management (PIM) como parte de suas delegações do Azure Lighthouse. Para obter mais informações, confira Criar as autorizações qualificadas.
    • Esse recurso requer o licenciamento do Microsoft Entra ID P2, mas somente da origem ou do locatário do Microsoft Entra.

Cenário de zonas de aterrissagem do Azure - Farol do Azure e DNS Privado em escala

O diagrama a seguir é um cenário de zona de aterrissagem do Azure em que o Farol do Azure é usado em vários locatários do Microsoft Entra para ajudar na integração de Link Privado e DNS.

Quando você usa o Farol do Azure, a Política do Azure para Pontos de Extremidade Privados Zona DNS Privada é automaticamente vinculada em locatários do Microsoft Entra às Zonas DNS Privadas centralizadas no locatário do hub Microsoft Entra. Para obter mais informações, consulte Link privado e integração de DNS em escala.

Diagram of multiple Microsoft Entra tenants with Azure landing zones deployed using Azure Lighthouse in the Private DNS at scale scenario.

Quando você usa essa arquitetura, os proprietários da zona de aterrissagem do aplicativo têm acesso para fazer alterações na Zona DNS Privada por meio de autorizações de delegação do Farol do Azure. Esse acesso será útil se uma abordagem diferente for usada para gerenciar a configuração DNS de Pontos de Extremidade Privados, em vez da Política do Azure. Para obter mais informações, consulte Link privado e integração de DNS em escala.

Próximas etapas

Considerações e recomendações para cenários de zona de aterrissagem do Azure multilocatário