Azure 登陸區域多租使用者案例中的 Azure Lighthouse 使用量
Azure Lighthouse 可透過跨資源的延展性、更高的自動化和增強的治理,實現多租使用者管理。 在單一或多租戶架構的 Azure 著陸區案例中,可以使用 Azure Lighthouse。
下列考慮和建議說明 Azure 登陸區域部署中 Azure Lighthouse 的常見案例。
考慮事項
- Azure Lighthouse 不支援在不同的 Azure 雲端環境之間使用,例如從 Azure 公有雲到 Azure 政府雲。 如需詳細資訊,請參閱
跨區域和雲端考慮。 - Azure Lighthouse 支援訂用帳戶或資源群組的委派,而不是管理群組或租使用者。 如需在管理群組內上線多個訂用帳戶的解決方案,請參閱 將管理群組中的所有訂用帳戶上線。 此政策遵循 Azure 登陸區域設計原則的 原則驅動治理。
- 如需了解 Azure Lighthouse 角色支援的限制,請參閱 Azure Lighthouse 角色支援。
建議
- 請參閱 企業案例中的 Azure Lighthouse。
- 如果您是 ISV,請參閱 ISV 案例中的 Azure Lighthouse。
- 在 Microsoft Entra 租用戶之間雙向使用 Azure Lighthouse,以簡化管理活動,並減少複雜的驗證和授權案例。 此動作會移除對於使用者和工作負載身分識別所依賴的 Microsoft Entra B2B(Guest)帳戶的依賴,也不再需要為某些活動設立個別帳戶。
- 建議將 Microsoft Entra Privileged Identity Management (PIM)作為 Azure Lighthouse 委派的組成部分來使用。 如需詳細資訊,請參閱 建立合格的授權。
- 這項功能需要 Microsoft Entra ID P2 授權,但僅限於來源或管理 Microsoft Entra 租戶提供。
Azure 著陸區域方案 - Azure Lighthouse 和私人 DNS 服務大規模應用
下圖是 Azure 登陸區域案例,其中 Azure Lighthouse 會跨多個Microsoft Entra 租使用者使用,協助進行 Private Link 和 DNS 整合。
當您使用 Azure Lighthouse 時,Azure Policy for Private Endpoints Private DNS Zone 會自動在 邊緣 Microsoft Entra 租戶中連結到 中心 Microsoft Entra 租戶中的集中式私人 DNS 區域。 如需詳細資訊,請參閱大規模 Private Link 和 DNS 整合。
當您使用此架構時,應用程式登陸區域擁有者可以透過 Azure Lighthouse 委派授權來變更私人 DNS 區域。 如果使用不同的方法來管理私人端點 DNS 設定,而不是 Azure 原則,此存取會很有用。 如需詳細資訊,請參閱大規模的 Private Link 和 DNS 整合。