你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 登陆区域多租户方案中的 Azure Lighthouse 使用情况
Azure Lighthouse 通过跨资源的可伸缩性、更高的自动化和增强的治理功能实现多租户管理。 可以在单租户或多租户体系结构的 Azure 登陆区域方案中采用 Azure Lighthouse。
以下注意事项和建议介绍了 Azure 登陆区域部署中 Azure Lighthouse 的常见方案。
注意事项
- Azure Lighthouse 在 Azure 云中不受支持,例如 Azure 公有云到Azure 政府云。 有关详细信息,请参阅 跨区域和云注意事项。
- Azure Lighthouse 支持订阅或资源组的委派,不支持管理组或租户。 有关在管理组中加入多个订阅的解决方案,请参阅 加入管理组中的所有订阅。 此策略遵循由策略驱动的治理的 Azure 登陆区域设计原则。
- 有关 Azure Lighthouse 的角色支持限制的信息,请参阅 Azure Lighthouse 的角色支持。
建议
- 请参阅 企业方案中的 Azure Lighthouse。
- 如果你是 ISV,请参阅 ISV 方案中的 Azure Lighthouse。
- 在 Microsoft Entra 租户之间双向使用 Azure Lighthouse 来简化管理活动并减少复杂的身份验证和授权方案。 此操作消除了对用户和工作负荷标识的 Microsoft Entra B2B(来宾)帐户的依赖,并且无需为某些活动创建单独的帐户。
- 使用 Microsoft Entra Privileged Identity Management (PIM)作为 Azure Lighthouse 委派的一部分。 有关详细信息,请参阅创建合格授权。
- 此功能需要 Microsoft Entra ID P2 许可,但仅来自源或管理 Microsoft Entra 租户。
Azure 登陆区域方案 - Azure Lighthouse 和大规模私人 DNS
下图是一种 Azure 登陆区域方案,其中 Azure Lighthouse 用于多个 Microsoft Entra 租户,以帮助专用链接和 DNS 集成。
使用 Azure Lighthouse 时,专用终结点的 Azure Policy 私人 DNS 区域会自动在分支 Microsoft Entra 租户中链接到中心 Microsoft Entra 租户中的集中式私人 DNS区域。 有关详细信息,请参阅大规模专用链接和 DNS 集成。
使用此体系结构时,应用程序登陆区域所有者有权通过 Azure Lighthouse 委派授权对私人 DNS区域进行更改。 如果使用其他方法来管理专用终结点 DNS 配置,而不是 Azure Policy,则此访问非常有用。 有关详细信息,请参阅大规模专用链接和 DNS 集成。