Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Azure Lighthouse ajuda os prestadores de serviços a simplificar o envolvimento do cliente e as experiências de integração, ao mesmo tempo que gere recursos delegados em escala com agilidade e precisão. Os utilizadores, grupos e principais de serviço autorizados podem trabalhar diretamente no contexto de uma subscrição de cliente sem ter uma conta no tenant do Microsoft Entra desse cliente ou ser co-proprietário do tenant do cliente. O mecanismo usado para dar suporte a esse acesso é chamado de gerenciamento de recursos delegados do Azure.
Gorjeta
O Azure Lighthouse também pode ser usado em uma empresa que tenha vários locatários do Microsoft Entra próprios para simplificar o gerenciamento entre locatários.
Este tópico discute a relação entre locatários no Azure Lighthouse e os recursos criados no locatário do cliente que habilitam essa relação.
Nota
A integração de um cliente ao Azure Lighthouse requer uma implantação por uma conta não convidada no locatário do cliente que tenha uma função com o Microsoft.Authorization/roleAssignments/write, Microsoft.Authorization/roleAssignments/deletee Microsoft.Authorization/roleAssignments/read permissões, como Proprietário, para a assinatura que está sendo integrada (ou que contém os grupos de recursos que estão sendo integrados).
Recursos de gestão delegada criados no tenant do cliente
Quando a assinatura ou o grupo de recursos de um cliente é integrado ao Azure Lighthouse, são criados dois recursos: a definição de registro e a atribuição de registro. Você pode usar APIs e ferramentas de gerenciamento para acessar esses recursos ou trabalhar com eles no portal do Azure.
Definição de registo
A definição de registo contém os detalhes da oferta do Azure Lighthouse (a ID do inquilino de gestão e as autorizações que atribuem funções predefinidas a usuários, grupos e/ou entidades de serviço específicos no inquilino de gestão).
Uma definição de registro é criada no nível de assinatura para cada assinatura delegada ou em cada assinatura que contém um grupo de recursos delegados. Ao usar APIs para criar uma definição de registro, você precisará trabalhar no nível da assinatura. Por exemplo, usando o Azure PowerShell, você precisará usar New-AzureRmDeployment antes de criar uma nova definição de registro (New-AzManagedServicesDefinition), em vez de usar New-AzureRmResourceGroupDeployment.
Atribuição de registo
A atribuição de registro atribui a definição de registro a um escopo específico, ou seja, a(s) assinatura(s) integrada(s) e/ou grupo(s) de recursos.
Atribui-se um registro em cada escopo delegado, de modo que será no nível do conjunto de subscrição ou no nível do conjunto de recursos, dependendo do que foi incorporado.
Cada atribuição de registo deve fazer referência a uma definição de registo válida ao nível da subscrição, vinculando as autorizações desse prestador de serviços ao âmbito delegado e, por conseguinte, concedendo acesso.
Projeção lógica
O Azure Lighthouse cria uma projeção lógica de recursos de um locatário para outro locatário. Isso permite que os usuários autorizados do provedor de serviços entrem em seu próprio locatário com autorização para trabalhar em assinaturas de clientes delegados e grupos de recursos. Os usuários no locatário do provedor de serviços podem executar operações de gerenciamento em nome de seus clientes, sem precisar entrar em cada locatário de cliente individual.
Sempre que um usuário, grupo ou entidade de serviço no locatário do provedor de serviços acessa recursos no locatário de um cliente, o Gerenciador de Recursos do Azure recebe uma solicitação. O Resource Manager autentica essas solicitações, assim como faz para solicitações feitas por usuários dentro do próprio locatário do cliente. Para o Azure Lighthouse, ele faz isso confirmando que dois recursos — a definição de registro e a atribuição de registro — estão presentes no locatário do cliente. Em caso afirmativo, o Resource Manager autoriza o acesso de acordo com as informações definidas por esses recursos.
A atividade dos usuários no locatário do provedor de serviços é rastreada no log de atividades, que é armazenado no locatário do cliente. Isso permite que o cliente veja quais alterações foram feitas e por quem.
Como funciona o Azure Lighthouse
De forma geral, veja como o Azure Lighthouse funciona para o inquilino gestor:
- Identifique as funções que seus grupos, entidades de serviço ou usuários precisarão para gerenciar os recursos do Azure do cliente.
- Especifique esse acesso e integre o cliente ao Azure Lighthouse publicando uma oferta de Serviço Gerenciado no Azure Marketplace ou implantando um modelo do Azure Resource Manager. Esse processo de integração cria os dois recursos descritos acima (definição de registro e atribuição de registro) no locatário do cliente.
- Depois de o cliente ter sido integrado, os usuários autorizados entrarão no seu locatário de gerenciamento e realizarão tarefas no âmbito do cliente especificado (assinatura ou grupo de recursos) de acordo com o acesso que você definiu. Os clientes podem rever todas as ações tomadas e podem remover o acesso a qualquer momento.
Embora na maioria dos casos apenas um provedor de serviços gerencie recursos específicos para um cliente, é possível que o cliente crie várias delegações para a mesma assinatura ou grupo de recursos, permitindo que vários provedores de serviços tenham acesso. Esse cenário também permite cenários de ISV em que os recursos do inquilino do fornecedor de serviços são projetados para vários clientes.
Próximos passos
- Analise os comandos da CLI do Azure e do Azure PowerShell para trabalhar com definições de registro e atribuições de registro.
- Saiba mais sobre serviços e cenários aprimorados para o Azure Lighthouse.
- Saiba mais sobre como locatários, usuários e funções funcionam com o Azure Lighthouse.