Поделиться через

Azure Lighthouse и программа поставщиков облачных решений

  • Статья

Если вы являетесь партнером CSP (поставщик облачных решений), вы уже можете получить доступ к подпискам Azure, созданным для клиентов через программу CSP, с помощью функции Администрирования от имени (AOBO). Это позволяет непосредственно обслуживать и настраивать подписки клиентов, а также управлять ими.

С помощью Azure Lighthouse вы можете использовать делегированное управление ресурсами в Azure вместе с AOBO. Это помогает улучшить безопасность и не допускать излишние попытки доступа с помощью более детализированных разрешений для пользователей. Кроме того, повышается эффективность и масштабируемость, так как пользователи могут работать с несколькими клиентскими подписками, используя одно имя входа в клиенте.

Совет

Чтобы защитить ресурсы клиентов, обязательно ознакомьтесь с рекомендациями по обеспечению безопасности и требованиями к безопасности партнеров.

Администрирование от имени (AOBO)

С помощью AOBO любой пользователь с ролью агента администрирования в клиенте имеет доступ AOBO к подпискам Azure, создаваемым с помощью программы CSP. Пользователи, которым нужен доступ к подпискам клиентов, должны быть членами этой группы. AOBO не позволяет гибко создавать отдельные группы, которые работают с разными клиентами, или разрешать разные роли для групп или пользователей.

Схема, показывающая управление клиентами с помощью АОBO.

Azure Lighthouse

Используя Azure Lighthouse, можно назначать разные группы разным клиентам или ролям, как продемонстрировано на схеме ниже. Так как пользователи могут предоставлять необходимый уровень доступа через делегированное управление ресурсами Azure, можно уменьшить количество пользователей, имеющих роль агента администрирования (и, следовательно, полный доступ к AOBO).

Схема, показывающая управление клиентами с помощью АОBO и Azure Lighthouse.

Azure Lighthouse помогает улучшить безопасность путем ограничения ненужного доступа к ресурсам клиентов. Кроме того, это дает большую гибкость в управлении несколькими клиентами в масштабе благодаря встроенной роли Azure, оптимальным образом отвечающей обязанностям каждого пользователя, без необходимости предоставлять пользователю больше прав доступа, чем требуется.

Чтобы свести к минимуму количество постоянных назначений, можно создать соответствующие разрешения для предоставления дополнительных разрешений пользователям на основе JIT-запросов.

Подключение подписки, созданной с помощью программы CSP, выполняет действия, описанные в разделе "Подключение клиента к Azure Lighthouse". Любой пользователь, имеющий роль агента администратора в арендаторе клиента, может выполнить это подключение.

Совет

Предложения управляемых служб с частными планами не поддерживаются подписками, установленными через торгового посредника по программе поставщика облачных решений (CSP). Вместо этого, вы можете подключить эти подписки к Azure Lighthouse с использованием шаблонов Azure Resource Manager.

Примечание.

Страница Мои клиенты на портале Azure теперь включает в себя раздел Поставщик облачных решений (предварительная версия), где можно просмотреть сведения о выставлении счетов и ресурсы для клиентов CSP, которые заключили Клиентское соглашение Майкрософт (MCA) и на которых распространяется план Azure. Чтобы узнать больше, ознакомьтесь с разделом Начало работы с учетной записью выставления счетов Соглашения с партнером Майкрософт.

Клиенты CSP могут появиться в этом разделе независимо от того, подключены ли они к Azure Lighthouse. В этом случае они также отображаются в разделе "Клиенты", как описано в разделе "Просмотр клиентов" и управление ими и делегированные ресурсы. Аналогичным образом, клиент CSP не должен отображаться в разделе Поставщик облачных решений (предварительная версия) на странице Мои клиенты, чтобы вы могли подключить их к Azure Lighthouse.

Участники программы Microsoft AI Cloud Partner могут связать идентификатор партнера с учетными данными, используемыми для управления делегированными ресурсами клиентов. Эта ссылка позволяет корпорации Майкрософт выявлять и идентифицировать партнеров, которые обеспечивают успех клиентов Azure. Он также позволяет партнерам CSP (поставщик облачных решений) получать партнерские кредиты (PEC) для клиентов, подписавших Клиентское соглашение Майкрософт (MCA) и находящихся в рамках плана Azure.

Чтобы получить признание для действий Azure Lighthouse, необходимо связать идентификатор партнера по крайней мере с одной учетной записью пользователя в вашем управляемом клиенте и убедиться, что связанная учетная запись имеет доступ к каждой из подключенных подписок. Для простоты мы рекомендуем создать учетную запись субъекта-службы в клиенте, связав ее с идентификатором партнера, а затем предоставить ему доступ ко всем клиентам, которые вы подключены со встроенной ролью Azure, которая имеет право на получение кредита партнера.

Дополнительные сведения см. в разделе "Связывание идентификатора партнера".

Следующие шаги