Användning av Azure Lighthouse i multitenantscenarier för landningszoner i Azure

Azure Lighthouse- möjliggör hantering av flera klientorganisationer med skalbarhet, högre automatisering och förbättrad styrning mellan resurser. Azure Lighthouse kan användas i scenarier med Azure-landningszoner i arkitekturer med en eller flera klientorganisationer.

Följande överväganden och rekommendationer beskriver vanliga scenarier för distributioner av Azure Lighthouse i Azure-landningszonsinstallationer.

Överväganden

• Azure Lighthouse stöds inte mellan olika Azure-moln, som Azure offentligt moln och Azure Government-moln. Mer information finns i överväganden mellan regioner och moln.
• Azure Lighthouse stöder delegeringar av prenumerationer eller resursgrupper, inte hanteringsgrupper eller klientorganisationer. En lösning för att registrera flera prenumerationer i en hanteringsgrupp finns i Registrera alla prenumerationer i en hanteringsgrupp. Den här principen följer designprincipen för Azure-landningszoner för principdriven styrning.
• Information om begränsningarna för rollstöd med Azure Lighthouse finns i Rollstöd för Azure Lighthouse.

Rekommendationer

• Se Azure Lighthouse i företagsscenarier.
• Om du är en ISV, se Azure Lighthouse i ISV-scenarier.
• Använd Azure Lighthouse i båda riktningarna mellan Microsoft Entra-klienter för att förenkla hanteringsaktiviteter och minska komplexa autentiserings- och auktoriseringsscenarier. Den här åtgärden tar bort beroendet av Microsoft Entra B2B-konton (gäst) för användar- och arbetsbelastningsidentiteter och tar bort behovet av att ha separata konton för vissa aktiviteter.
• Använd Microsoft Entra Privileged Identity Management (PIM) som en del av dina Azure Lighthouse-delegeringar. Mer information finns i Skapa berättigade auktoriseringar.
  • Den här funktionen kräver Microsoft Entra ID P2-licensering men endast från den käll- eller hanterande Microsoft Entra-klientorganisationen.

Scenario för Azure-landningszoner – Azure Lighthouse och privat DNS i stor skala

Följande diagram är ett scenario med Azure-landningszoner där Azure Lighthouse används för flera Microsoft Entra-klienter för att hjälpa till med Private Link- och DNS-integrering.

När du använder Azure Lighthouse länkas Azure Policy för privata slutpunkter och privat DNS-zon automatiskt i spoke Microsoft Entra-klientorganisationer till de centraliserade privata DNS-zonerna i hub Microsoft Entra-klientorganisation. Mer information finns i Private Link och DNS-integrering i stor skala.

När du använder den här arkitekturen har ägare av programlandningszoner åtkomst till att göra ändringar i den privata DNS-zonen via auktoriseringar för Azure Lighthouse-delegering. Den här åtkomsten är användbar om en annan metod används för att hantera DNS-konfigurationen för privata slutpunkter i stället för Azure Policy. Mer information finns i Private Link och DNS-integrering i stor skala.

Nästa steg

Överväganden och rekommendationer för scenarier med Azure-landningszoner för flera användare