你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 登陆区域多租户场景中的 Azure Lighthouse 使用情况
Azure Lighthouse 提供跨资源的多租户管理,具备可扩展性、更高的自动化以及增强的治理功能。 Azure Lighthouse 可以在单租户或多租户体系结构的 Azure 登陆区方案中使用。
以下注意事项和建议描述了在 Azure 着陆区部署中 Azure Lighthouse 的常见场景。
考虑事项
- Azure Lighthouse 在跨 Azure 云环境进行操作时不受支持,例如从 Azure 公有云到 Azure 政府云。 了解更多信息,请参阅 跨区域和云注意事项。
- Azure Lighthouse 支持委托订阅或资源组,而不支持管理组或租户。 有关在管理组中加入多个订阅的解决方案,请参阅加入管理组中的所有订阅。 此策略遵循 Azure 登陆区域设计原则,即 策略驱动的治理。
- 有关 Azure Lighthouse 角色支持限制方面的信息,请参阅 Azure Lighthouse 的角色支持。
建议
- 请参阅企业场景中的 Azure Lighthouse。
- 如果你是 ISV,请参阅 ISV 场景中的 Azure Lighthouse。
- 在 Microsoft Entra 租户之间双向使用 Azure Lighthouse,以简化管理活动并减少复杂的身份验证和授权方案。 此操作消除了对用户和工作负荷标识Microsoft Entra B2B(来宾)帐户的依赖,并且无需为某些活动创建单独的帐户。
- 使用 Microsoft Entra Privileged Identity Management (PIM) 作为 Azure Lighthouse 委派的一部分。 有关详细信息,请参阅 创建符合条件的授权。
- 此功能需要 Microsoft Entra ID P2 许可,但仅需要来自源或管理 Microsoft Entra 租户的许可。
Azure 登陆区域场景 - 大规模 Azure Lighthouse 和专用 DNS
下图展示了一个 Azure 登陆区域场景,其中 Azure Lighthouse 在多个 Microsoft Entra 租户之间得到使用,以帮助实现专用链接和 DNS 的集成。
使用 Azure Lighthouse 时,适用于专用终结点专用 DNS 区域的 Azure Policy 会自动在分支 Microsoft Entra 租户中链接到中心 Microsoft Entra 租户中的集中式专用 DNS 区域。 有关详细信息,请参阅大规模专用链接和 DNS 集成。
使用此体系结构时,应用程序登陆区域所有者有权通过 Azure Lighthouse 委派授权更改专用 DNS 区域。 如果使用其他方法来管理专用终结点 DNS 配置,而不是 Azure Policy,则此访问非常有用。 有关详细信息,请参阅大规模专用链接和 DNS 集成。