Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Uno scenario comune per Azure Lighthouse implica un provider di servizi che gestisce le risorse nei tenant Microsoft Entra dei clienti. È anche possibile usare le funzionalità di Azure Lighthouse per semplificare la gestione tra tenant all'interno di un'azienda che usa più tenant Microsoft Entra. In questo scenario, gli utenti in uno dei tenant dell'organizzazione possono eseguire attività di gestione sugli altri tenant tramite Azure Lighthouse, senza richiedere l'intervento di altri provider di servizi.
Tenant aziendale singolo vs. tenant aziendale multiplo
Per la maggior parte delle organizzazioni, la gestione è più semplice con un singolo tenant Microsoft Entra. L'inclusione di tutte le risorse in un tenant consente la centralizzazione delle attività di gestione da parte di entità servizio, gruppi di utenti o utenti designati all'interno di tale tenant. Utilizzare un unico tenant per la vostra organizzazione ove possibile.
Alcune organizzazioni devono usare più tenant Microsoft Entra. Questa necessità potrebbe essere temporanea, come quando si svolgono le acquisizioni e non è ancora definita una strategia di consolidamento dei tenant a lungo termine. Altre volte, le organizzazioni devono mantenere più tenant in modo continuativo a causa di sussidiarie completamente indipendenti, requisiti geografici o legali o altre considerazioni.
Nei casi in cui è necessaria un'architettura multitenant, Azure Lighthouse può aiutare a centralizzare e semplificare le operazioni di gestione. Usando Azure Lighthouse, gli utenti in un tenant di gestione possono eseguire funzioni di gestione cross-tenant in modo centralizzato e scalabile.
Architettura di gestione dei tenant aziendali
Per usare Azure Lighthouse in un'organizzazione, determinare quale tenant deve includere gli utenti che eseguono operazioni di gestione per gli altri tenant. In altre parole, designare un locatario come gestore per gli altri locatari.
Si supponga, ad esempio, che l'organizzazione abbia un singolo tenant denominato Tenant A. L'organizzazione acquisisce quindi tenant B e Tenant C e si hanno motivi aziendali che richiedono di gestirli come tenant separati. Tuttavia, si vogliono usare le stesse definizioni di criteri, procedure di backup e processi di sicurezza per tutti, con le attività di gestione eseguite dallo stesso set di utenti.
Poiché il tenant A include già gli utenti dell'organizzazione che eseguono tali attività per il tenant A, è possibile designare tenant A come tenant di gestione. È quindi possibile eseguire l'onboarding delle sottoscrizioni all'interno del tenant B e del tenant C in modo che vengano delegate al tenant A. Durante il processo di onboarding, si creano autorizzazioni che concedono autorizzazioni agli utenti nel tenant A, consentendo loro di eseguire attività di gestione nel tenant B e nel tenant C.
Considerazioni sulla sicurezza e sull'accesso per gli scenari aziendali
Nella maggior parte degli scenari aziendali si delega un'intera sottoscrizione a Azure Lighthouse. È anche possibile scegliere di delegare solo gruppi di risorse specifici all'interno di una sottoscrizione.
In entrambi i casi, seguire il principio dei privilegi minimi quando si definiscono gli utenti che possono accedere alle risorse delegate. Questo approccio consente di garantire che gli utenti dispongano solo delle autorizzazioni necessarie per eseguire le attività necessarie e riducono la probabilità di errori accidentali.
Azure Lighthouse fornisce solo collegamenti logici tra un tenant di gestione e i tenant gestiti, anziché spostare fisicamente dati o risorse. L'accesso, inoltre, viene sempre eseguito in una sola direzione, dal tenant di gestione a quelli gestiti. Gli utenti e i gruppi del tenant di gestione dovranno usare l'autenticazione a più fattori per eseguire le operazioni di gestione sulle risorse dei tenant gestiti.
Le aziende con tutele interne o esterne per la governance e la conformità possono usare i log attività di Monitoraggio di Azure per soddisfarne i requisiti di trasparenza. Quando le aziende stabiliscono relazioni tra tenant gestiti e di gestione, gli utenti in ogni tenant possono visualizzare le attività registrate per visualizzare le azioni eseguite dagli utenti nel tenant di gestione.
Per altre informazioni, vedere Procedure di sicurezza consigliate.
Considerazioni sull'integrazione per i tenant aziendali
È possibile eseguire l'onboarding di sottoscrizioni (o gruppi di risorse all'interno di una sottoscrizione) per Azure Lighthouse distribuendo Azure Resource Manager modelli o tramite offerte di Servizi gestiti pubblicate in Microsoft Marketplace.
Poiché gli utenti aziendali hanno in genere accesso diretto ai tenant dell'organizzazione e non è necessario commercializzare o promuovere un'offerta di gestione, in genere è più veloce e più semplice distribuire modelli di Azure Resource Manager. Anche se il materiale sussidiario per l'onboarding si riferisce a provider di servizi e clienti, le aziende possono usare gli stessi processi per eseguire l'onboarding dei tenant.
Se si preferisce, è possibile eseguire l'onboarding dei tenant all'interno di un'azienda pubblicare un'offerta di Servizi gestiti per Microsoft Marketplace. Affinché l'offerta sia disponibile solo per i tenant appropriati, assicurarsi che i piani siano contrassegnati come privati. Con un piano privato, è possibile fornire gli ID sottoscrizione per ogni tenant di cui si intende eseguire l'onboarding in modo che nessun altro possa sfruttare l'offerta.
Microsoft Entra per ID esterno
Microsoft Entra per ID esterno fornisce identità business-to-customer come servizio. Quando si delega un gruppo di risorse tramite Azure Lighthouse, è possibile usare Monitoraggio di Azure per instradare Microsoft Entra per ID esterno log di accesso e controllo a diverse soluzioni di monitoraggio. I log possono essere conservati per l'uso a lungo termine o integrati con strumenti di terze parti per informazioni di sicurezza e gestione degli eventi per ottenere informazioni dettagliate sull'ambiente.
Per ulteriori informazioni, consultare Configura Monitoraggio di Azure nei tenant esterni.
Note sulla terminologia
Per la gestione tra tenant all'interno dell'organizzazione, i riferimenti ai provider di servizi nella documentazione Azure Lighthouse possono essere riconosciuti per l'applicazione al tenant di gestione all'interno di un'organizzazione, ovvero il tenant che include gli utenti che gestiranno le risorse in altri tenant tramite Azure Lighthouse. Analogamente, i riferimenti ai clienti possono essere considerati applicabili ai tenant che delegano le risorse che dovranno essere gestite tramite gli utenti del tenant di gestione.
Nell'esempio descritto in precedenza, ad esempio, il tenant A può essere considerato come il tenant del provider di servizi (il tenant di gestione) e il tenant B e il tenant C possono essere considerati come tenant dei clienti.
Continuando con questo esempio, gli utenti tenant A con le autorizzazioni appropriate possono visualizzare e gestire le risorse delegate nella pagina My customers del portale di Azure. Analogamente, gli utenti del tenant B e del tenant C con le autorizzazioni appropriate possono visualizzare e gestire i dettagli sulle relative deleghe nella pagina dei provider Service del portale di Azure.
Passaggi successivi
- Esplorare le opzioni per l'organizzazione delle risorse nelle architetture multi-tenant.
- Informazioni sulle esperienze di gestione multi-tenant.
- Altre informazioni su come funziona Azure Lighthouse.