Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ein häufiges Szenario für Azure Lighthouse involviert einen Dienstanbieter, der Ressourcen in den Microsoft Entra-Mandaten seiner Kunden verwaltet. Die Funktionen von Azure Lighthouse dienen auch zum Vereinfachen der mandantenübergreifenden Verwaltung in einem Unternehmen mit mehreren Microsoft Entra-Mandanten. In diesem Szenario können Benutzer in einem der Mandanten des Unternehmens Verwaltungsaufgaben für die anderen Mandanten über Azure Lighthouse ausführen, ohne dass ein anderer Dienstanbieter einbezogen werden muss.
Einzelner Mandant und mehrere Mandanten
Für die meisten Organisationen ist die Verwaltung mit nur einem Microsoft Entra-Mandanten einfacher. Wenn sich alle Ressourcen unter einem Mandanten befinden, können die Verwaltungsaufgaben nach den jeweiligen Benutzern, Benutzergruppen oder Dienstprinzipalen des Mandanten zentralisiert werden. Wir empfehlen Ihnen, nach Möglichkeit nur einen Mandanten für Ihre Organisation zu verwenden.
Einige Organisationen müssen möglicherweise mit mehreren Microsoft Entra-Mandanten arbeiten. Dies kann eine vorübergehende Situation sein, da bei Übernahmen eine langfristige Mandantenkonsolidierungsstrategie noch nicht definiert ist. Es kann auch sein, dass Organisationen aufgrund von unabhängigen Tochtergesellschaften, geografischen oder rechtlichen Anforderungen oder anderen Aspekten fortlaufend mehrere Mandanten verwalten müssen.
Falls eine Architektur mit mehreren Mandanten benötigt wird, kann Azure Lighthouse zur Zentralisierung und Optimierung von Verwaltungsvorgängen beitragen. Durch den Einsatz von Azure Lighthouse können Benutzer in einem Verwaltungsmandanten mandantenübergreifende Verwaltungsfunktionen auf zentrale, skalierbare Weise durchführen.
Architektur für die Mandantenverwaltung
Um Azure Lighthouse in einem Unternehmen zu verwenden, müssen Sie bestimmen, welcher Mandant die Benutzenden enthält, die Verwaltungsvorgänge für die anderen Mandanten durchführen. Mit anderen Worten: Sie legen einen Mandanten als verwalteten Mandanten für die anderen Mandanten fest.
Angenommen, Ihre Organisation verfügt über einen einzelnen Mandanten mit dem Namen Mandant A. Ihre Organisation schafft dann Mandant B und Mandant C an, die aus geschäftlichen Gründen separat verwaltet werden müssen. Sie möchten jedoch dieselben Richtliniendefinitionen, Sicherungspraktiken und Sicherheitsprozesse für alle verwenden, wobei Verwaltungsaufgaben von derselben Gruppe von Benutzern ausgeführt werden.
Da Mandant A bereits Benutzer in Ihrer Organisation enthält, die diese Aufgaben für Mandanten A ausführen, können Sie Mandanten A als Verwaltungsmandanten festlegen. Anschließend können Sie Abonnements in Mandanten B und Mandant C integrieren , sodass sie an Mandanten A delegiert werden. Während des Onboardingprozesses erstellen Sie Autorisierungen, die Benutzern in Mandant A Berechtigungen erteilen, sodass sie Verwaltungsaufgaben in Mandanten B und Mandanten C ausführen können.
Sicherheits- und Zugriffsaspekte
In den meisten Unternehmensszenarien sollten Sie ein vollständiges Abonnement an Azure Lighthouse delegieren. Sie können auch festlegen, dass nur bestimmte Ressourcengruppen innerhalb eines Abonnements delegiert werden.
Achten Sie auf beide Arten darauf, das Prinzip der geringsten Berechtigungen zu befolgen , wenn Sie definieren, welche Benutzer auf delegierte Ressourcen zugreifen können. So stellen Sie sicher, dass die Benutzer nur über die Berechtigungen verfügen, die sie zum Durchführen der erforderlichen Aufgaben benötigen, und das Risiko unbeabsichtigter Fehler wird reduziert.
Bei Azure Lighthouse werden nur Verknüpfungen zwischen einem verwaltenden Mandanten und den verwalteten Mandanten bereitgestellt, anstatt Daten oder Ressourcen physisch zu verschieben. Außerdem ist der Zugriff immer nur in einer Richtung möglich, und zwar vom verwaltenden Mandanten zu den verwalteten Mandanten. Für Benutzer und Gruppen auf dem verwaltenden Mandanten sollte die mehrstufige Authentifizierung genutzt werden, wenn Verwaltungsvorgänge auf verwalteten Mandantenressourcen durchgeführt werden.
Unternehmen mit Leitlinien für interne oder externe Governance und Compliance können Azure-Aktivitätsprotokolle verwenden, um die jeweiligen Transparenzanforderungen zu erfüllen. Wenn für Unternehmensmandanten Beziehungen zwischen verwaltenden und verwalteten Mandanten eingerichtet wurden, können die Benutzenden in den Mandanten protokollierte Aktivitäten anzeigen und so Aktionen sehen, die von Benutzenden im verwaltenden Mandanten ausgeführt wurden.
Weitere Informationen finden Sie unter Empfohlene Sicherheitsmaßnahmen.
Überlegungen zum Onboarding
Für Abonnements (bzw. Ressourcengruppen unter einem Abonnement) kann das Onboarding in Azure Lighthouse durchgeführt werden. Hierzu werden entweder Azure Resource Manager-Vorlagen bereitgestellt oder im Azure Marketplace veröffentlichte Angebote für verwaltete Dienste genutzt.
Da Unternehmensbenutzer in der Regel direkten Zugriff auf die Mandanten des Unternehmens haben und es nicht erforderlich ist, ein Verwaltungsangebot zu vermarkten oder zu fördern, ist es in der Regel schneller und einfacher, Azure Resource Manager-Vorlagen bereitzustellen. Zwar wird in der Anleitung für das Onboarding auf Dienstanbieter und Kunden verwiesen, doch können Unternehmen die gleichen Prozesse für das Onboarding ihrer Mandanten verwenden.
Falls Sie diese Vorgehensweise bevorzugen, kann das Onboarding für Mandanten eines Unternehmens durchgeführt werden, indem ein Angebot für verwaltete Dienste im Azure Marketplace veröffentlicht wird. Um sicherzustellen, dass das Angebot nur für die entsprechenden Mandanten verfügbar ist, stellen Sie sicher, dass Ihre Pläne auf privat festgelegt sind. Bei einem privaten Plan geben Sie die Abonnement-IDs für jeden Mandanten an, für den das Onboarding durchgeführt werden soll. Es erhalten dann keine anderen Personen Ihr Angebot.
Microsoft Entra External ID
Microsoft Entra External ID bietet Kundenidentität als Dienstleistung für Unternehmen an. Wenn Sie eine Ressourcengruppe über Azure Lighthouse delegieren, können Sie Azure Monitor verwenden, um microsoft Entra External ID-Anmelde- und Überwachungsprotokolle an verschiedene Überwachungslösungen weiterzuleiten. Sie können die Protokolle entweder zur langfristigen Verwendung speichern oder in SIEM-Drittanbietertools (Security Information & Event Management) integrieren, um Einblicke in Ihre Umgebung zu gewinnen.
Weitere Informationen finden Sie unter Einrichten von Azure Monitor in externen Mandanten.
Hinweise zur Terminologie
Für die mandantenübergreifende Verwaltung im Unternehmen können Verweise auf Dienstanbieter in der Azure Lighthouse-Dokumentation so interpretiert werden, dass sie für den verwaltenden Mandanten eines Unternehmens gelten. Dies ist der Mandant mit den Benutzern, die Ressourcen in anderen Mandanten über Azure Lighthouse verwalten. Verweise auf Kunden können entsprechend so interpretiert werden, dass sie für die Mandanten gelten, die Ressourcen für die Verwaltung durch Benutzer des verwaltenden Mandanten delegieren.
Im obigen Beispiel können Sie sich Mandant A als Dienstanbietermandanten (verwaltender Mandant) und Mandant B und Mandant C als Kundenmandanten vorstellen.
Zur Fortführung dieses Beispiels können Benutzer in Mandant A, die über die entsprechenden Berechtigungen verfügen, auf der Seite Meine Kunden im Azure-Portal delegierte Ressourcen anzeigen und verwalten. Ebenso können Mandanten-B- und Mandanten-C-Benutzer mit den entsprechenden Berechtigungen Details zu ihren Delegierungen auf der Seite " Dienstanbieter " des Azure-Portals anzeigen und verwalten.
Nächste Schritte
- Erkunden Sie Optionen für die Ressourcenorganisation in mehrinstanzenfähigen Architekturen.
- Erfahren Sie über Mandantenübergreifende Verwaltungsmöglichkeiten.
- Hier erfahren Sie mehr über die Funktionsweise von Azure Lighthouse.