Поделиться через

Использование Azure Lighthouse в целевых зонах Azure с несколькими клиентами

  • Статья

Azure Lighthouse позволяет управлять несколькими клиентами с масштабируемостью, более высокой автоматизацией и расширенным управлением между ресурсами. Azure Lighthouse можно использовать в сценариях целевой зоны Azure в архитектурах с одним или несколькими клиентами.

Следующие рекомендации и рекомендации описывают распространенные сценарии для Azure Lighthouse в развертываниях целевой зоны Azure.

Рекомендации

  • Azure Lighthouse не поддерживается в облаках Azure, таких как общедоступное облако Azure для Azure для государственных организаций облака. Дополнительные сведения см . в рекомендациях по межрегионному и облачному использованию.
  • Azure Lighthouse поддерживает делегирование подписок или групп ресурсов, а не групп управления или клиентов. Решение для подключения нескольких подписок в группе управления см. в разделе "Подключение всех подписок в группе управления". Эта политика следует принципу проектирования целевых зон Azure для управления на основе политик.
  • Сведения об ограничениях поддержки ролей в Azure Lighthouse см. в статье "Поддержка ролей для Azure Lighthouse".

Рекомендации

  • См . Azure Lighthouse в корпоративных сценариях.
  • Если вы являетесь isV, ознакомьтесь с Azure Lighthouse в сценариях isV.
  • Используйте Azure Lighthouse в обоих направлениях между клиентами Microsoft Entra, чтобы упростить действия управления и уменьшить сложные сценарии проверки подлинности и авторизации. Это действие удаляет зависимость от учетных записей Microsoft Entra B2B (гостевой) для удостоверений пользователей и рабочих нагрузок, и удаляет необходимость иметь отдельные учетные записи для некоторых действий.
  • Используйте Microsoft Entra управление привилегированными пользователями (PIM) в составе делегирований Azure Lighthouse. Дополнительные сведения см. в статье Создание соответствующих авторизаций.
    • Эта функция требует лицензирования Microsoft Entra ID P2, но только из источника или управления клиентом Microsoft Entra.

Сценарий целевых зон Azure — Azure Lighthouse и Частная зона DNS в масштабе

На следующей схеме представлен сценарий целевой зоны Azure, в котором Azure Lighthouse используется в нескольких клиентах Microsoft Entra для поддержки интеграции Приватный канал и DNS.

При использовании Azure Lighthouse Политика Azure для частных конечных точек Частная зона DNS зона автоматически связывается в периферийных клиентах Microsoft Entra с централизованными зонами Частная зона DNS в центре клиента Microsoft Entra. Дополнительные сведения см. в статье Приватный канал и интеграция DNS в масштабе.

Diagram of multiple Microsoft Entra tenants with Azure landing zones deployed using Azure Lighthouse in the Private DNS at scale scenario.

При использовании этой архитектуры владельцы целевой зоны приложений имеют доступ к внесению изменений в зону Частная зона DNS через авторизацию делегирования Azure Lighthouse. Этот доступ полезен, если для управления конфигурацией DNS частных конечных точек используется другой подход, а не Политика Azure. Дополнительные сведения см. в статье Приватный канал и интеграция DNS в масштабе.

Следующие шаги

Рекомендации и рекомендации по сценариям целевой зоны Azure с несколькими клиентами