Mandantenübergreifende Verwaltungsmöglichkeiten

Verwenden Sie als Dienstanbieter Azure Lighthouse , um die Azure-Ressourcen Ihrer Kunden in Ihrem eigenen Microsoft Entra-Mandanten zu verwalten. Sie können viele allgemeine Aufgaben und Dienste für diese verwalteten Mandanten ausführen.

Grundlegendes zu Mandanten und Delegierung

Ein Microsoft Entra-Mandant stellt eine Organisation dar. Es handelt sich um eine dedizierte Instanz von Microsoft Entra-ID, die eine Organisation empfängt, wenn sie eine Beziehung mit Microsoft erstellt, indem sie sich für Azure, Microsoft 365 oder andere Dienste registrieren. Jeder Microsoft Entra-Mandant unterscheidet sich von anderen Microsoft Entra-Mandanten und verfügt über eine eigene Mandanten-ID (eine GUID). Weitere Informationen finden Sie unter Was ist Microsoft Entra?

In der Regel müssen sich Dienstanbieter mithilfe eines Kontos, das dem Mandanten des Kunden zugeordnet ist, beim Verwalten von Azure-Ressourcen für einen Kunden beim Azure-Portal anmelden. In diesem Szenario muss ein Administrator im Mandanten des Kunden Benutzerkonten für den Dienstanbieter erstellen und verwalten.

Durch die Verwendung von Azure Lighthouse wird im Onboarding-Prozess festgelegt, welche Benutzer im Mandanten des Dienstanbieters Rollen für delegierte Abonnements und Ressourcengruppen im Mandanten des Kunden erhalten. Diese Benutzer können sich dann mit ihren eigenen Anmeldeinformationen beim Azure-Portal anmelden und an Ressourcen arbeiten, die zu allen Kunden gehören, auf die sie Zugriff haben. Benutzer im Verwaltungsmandanten können alle diese Kunden auf der Seite Meine Kunden im Azure-Portal anzeigen. Sie können auch direkt im Kontext dieses Kundenabonnements an Ressourcen arbeiten – entweder im Azure-Portal oder über APIs.

Azure Lighthouse ermöglicht Flexibilität bei der Verwaltung von Ressourcen für mehrere Kunden, ohne sich bei verschiedenen Konten in unterschiedlichen Mandanten anmelden zu müssen. Beispielsweise kann ein Dienstanbieter zwei Kunden mit unterschiedlichen Zuständigkeiten und Zugriffsebenen haben. Mithilfe von Azure Lighthouse melden sich autorisierte Benutzer beim Mandanten des Dienstanbieters an und greifen auf alle delegierten Ressourcen für diese Kunden zu, entsprechend den Rollen, denen sie für jede Delegierung zugewiesen wurden .

Unterstützung für APIs und Verwaltungstools

Sie können Verwaltungsaufgaben für delegierte Ressourcen im Azure-Portal oder mithilfe von APIs und Verwaltungstools (z. B. Azure-Befehlszeilenschnittstelle und Azure PowerShell) durchführen. Sie können alle vorhandenen APIs für delegierte Ressourcen verwenden, sofern die Funktionalität die mandantenübergreifende Verwaltung unterstützt und Sie über die entsprechenden Berechtigungen verfügen.

Das Azure PowerShell-Cmdlet Get-AzSubscription zeigt standardmäßig die TenantId des verwaltenden Mandanten. Die Attribute HomeTenantId und ManagedByTenantIds für jedes Abonnement helfen Ihnen zu ermitteln, ob ein zurückgegebenes Abonnement zu einem verwalteten Mandanten oder zu Ihrem verwaltenden Mandanten gehört.

Ebenso zeigen Azure CLI-Befehle wie az account list die Attribute homeTenantId und managedByTenants an. Wenn diese Werte bei Verwendung der Azure-Befehlszeilenschnittstelle nicht angezeigt werden, löschen Sie den Cache, indem Sie az account clear gefolgt von az login --identity ausführen.

In der Azure-REST-API enthalten die Befehle Subscriptions – Get und Subscriptions – List das Element ManagedByTenant.

Sie können APIs verwenden, um bestimmte Aufgaben im Zusammenhang mit azure Lighthouse Onboarding und Management auszuführen. Weitere Informationen finden Sie im Abschnitt Referenz.

Verbesserte Dienste und Szenarien

Die meisten Azure-Aufgaben und -Dienste arbeiten mit delegierten Ressourcen über verwaltete Mandanten hinweg, solange der Onboardingprozess die richtigen Rollen gewährt hat. Die folgenden Szenarien zeigen einige wichtige Szenarien, in denen die mandantenübergreifende Verwaltung besonders effektiv sein kann.

Azure Arc:

• Verwalten von Hybridservern im großen Maßstab mit Azure Arc-fähigen Servern:
  • Onboarding von Servern in delegierte Kundenabonnements und Ressourcengruppen in Azure
  • Verwalten von verbundenen Windows Server- oder Linux-Computern außerhalb von Azure mit delegierten Abonnements
  • Verwalten von verbundenen Computern mithilfe von Azure-Konstrukten, z. B. Azure-Richtlinie und Tagging
  • Sicherstellen der Anwendung derselben Richtlinien für die Hybridumgebungen von Kunden
  • Verwenden von Microsoft Defender für Cloud zum Überwachen der Konformität in den Hybridumgebungen von Kunden
• Verwalten Sie hybride Kubernetes-Cluster im großen Maßstab mit Azure Arc-fähigen Kubernetes:
  • Verbinden von Kubernetes-Clustern mit delegierten Abonnements und Ressourcengruppen
  • Verwenden von GitOps zum Bereitstellen von Konfigurationen in verbundenen Clustern
  • Ausführen von Verwaltungsaufgaben, z. B Erzwingen von Richtlinien für verbundene Cluster

Azure-Automatisierung:

• Verwenden von Automation-Konten für den Zugriff auf und die Arbeit mit delegierten Ressourcen

Azure Backup:

• Sichern und Wiederherstellen von Kundendaten mithilfe von Azure Backup. Derzeit werden die folgenden Azure-Workloads unterstützt: Azure Virtual Machines (Azure VM), Azure Files, SQL Server auf Azure VMs, SAP HANA auf Azure VMs. Workloads, die Sicherungstresoren (z. B. Azure-Datenbank für PostgreSQL, Azure Blob, Azure Managed Disk und Azure Kubernetes Services) verwenden, werden derzeit nicht vollständig unterstützt.
• Anzeigen von Daten für alle delegierten Kundenressourcen in Backup Center
• Verwenden Sie den Sicherungs-Explorer , um betriebstechnische Informationen von Sicherungselementen (einschließlich azure-Ressourcen, die noch nicht für die Sicherung konfiguriert sind) und Überwachungsinformationen für delegierte Abonnements anzuzeigen. Der Sicherungs-Explorer ist derzeit nur für Azure-VM-Daten verfügbar.
• Verwenden von übergreifenden Sicherungsberichten für delegierte Abonnements, um historische Trends nachzuverfolgen, den Sicherungsspeicherverbrauch zu analysieren und Sicherungen und Wiederherstellungen zu überwachen.

Azure-Kostenverwaltung und -Abrechnung:

• Über den verwaltenden Mandanten können CSP-Partner für Kunden, die dem Azure-Plan unterliegen, Verbrauchskosten vor Steuern anzeigen, verwalten und analysieren. (Käufe werden hierbei nicht berücksichtigt.) Die Kosten basieren auf Einzelhandelspreisen und dem Azure RBAC (Role-Based Access Control)-Zugriffs des Partners für das Abonnement des Kunden. Derzeit können Sie die Verbrauchskosten zu Einzelhandelspreisen für jedes einzelne Kundenabonnement anzeigen, basierend auf dem Azure RBAC-Zugriff.

Azure Key Vault:

• Erstellen von Schlüsseltresoren in Kundenmandanten
• Verwenden einer verwalteten Identität zum Erstellen von Schlüsseltresoren in Kundenmandanten

Azure Kubernetes Service (AKS):

• Verwalten gehosteter Kubernetes-Umgebungen und Bereitstellen und Verwalten von Containeranwendungen innerhalb von Kundenmandanten
• Bereitstellen und Verwalten von Clustern in Kundenmandanten
• Überwachen der Clusterleistung über Kundenmandanten hinweg

Azure Migrate:

• Erstellen von Migrationsprojekten im Kundenmandanten und Migrieren von VMs

Azure Monitor:

• Anzeigen von Warnungen für delegierte Abonnements mit der Möglichkeit, Warnungen in allen Abonnements anzuzeigen und zu aktualisieren
• Anzeigen von Aktivitätsprotokolldetails für delegierte Abonnements
• Protokollanalyse: Abfragen von Daten aus Remotearbeitsbereichen in mehreren Mandanten. (Beachten Sie, dass Automation-Konten, die für den Zugriff auf Daten aus Arbeitsbereichen in Kundenmandanten verwendet werden, im selben Mandanten erstellt werden müssen.)
• Erstellen, Anzeigen und Verwalten von Warnungen in Kundenmandanten
• Erstellen von Warnungen in Kundenmandanten, die eine Automatisierung auslösen, wie z. B. Azure Automation-Runbooks oder Azure Functions im verwaltenden Mandanten über Webhooks
• Erstellen von Diagnoseeinstellungen in Arbeitsbereichen in Kundenmandanten zum Senden von Ressourcenprotokollen an Arbeitsbereiche im verwaltenden Mandanten
• Für die externe Microsoft Entra-ID leiten Sie Anmelde- und Überwachungsprotokolle an verschiedene Überwachungslösungen weiter.
• Für SAP-Workloads sollten Sie die Metriken von SAP-Lösungen mit einer aggregierten Sicht über Kundenmandanten hinweg überwachen.

Azure-Netzwerkoptionen:

• Bereitstellen und Verwalten einer Azure Virtual Network-Instanz und virtueller Netzwerkschnittstellenkarten (vNICs) innerhalb verwalteter Mandanten
• Bereitstellen und Konfigurieren von Azure Firewall, um die Virtual Network-Ressourcen der Kunden zu schützen
• Verwalten von Konnektivitätsdiensten wie Azure Virtual WAN, Azure ExpressRoute und Azure VPN-Gateway
• Verwenden von Azure Lighthouse zur Unterstützung wichtiger Szenarien für das Azure Networking MSP-Programm

Azure-Richtlinie:

• Erstellen und Bearbeiten von Richtliniendefinitionen innerhalb delegierter Abonnements
• Bereitstellen von Richtliniendefinitionen und -zuweisungen für mehrere Mandanten
• Zuweisen der von Kunden definierten Richtliniendefinitionen innerhalb delegierter Abonnements
• Kunden sehen Richtlinien, die vom Dienstanbieter erstellt wurden, zusammen mit allen Richtlinien, die sie selbst erstellen
• Beheben von „deployIfNotExists“ oder Ändern von Zuweisungen innerhalb des verwalteten Mandanten
• Beachten Sie, dass das Anzeigen von Compliancedetails für nicht kompatible Ressourcen in Kundenmandanten derzeit nicht unterstützt wird.

Azure Resource Graph:

• Anzeigen der Mandanten-ID in zurückgegebenen Abfrageergebnissen, sodass ermittelt werden kann, ob ein Abonnement zu einem verwalteten Mandanten gehört

Azure Service Health:

• Überwachen der Integrität von Kundenressourcen mittels Azure Resource Health
• Verfolgen der Integrität der Azure-Dienste, die von ihren Kunden verwendet werden

Azure Site Recovery:

• Verwalten von Notfallwiederherstellungsoptionen für Azure-VMs in Kundenmandanten (beachten Sie, dass Sie keine RunAs-Konten zum Kopieren von VM-Erweiterungen verwenden können)

Azure-VMs

• Verwenden von VM-Erweiterungen, um nach der Bereitstellung Konfigurations- und Automatisierungsaufgaben auf Azure-VMs auszuführen
• Verwenden der Startdiagnose zur Problembehandlung von Azure-VMs
• Zugreifen auf VMs mit der seriellen Konsole
• Integrieren von virtuellen Computern in Azure Key Vault für Kennwörter, geheime Schlüssel oder kryptografische Schlüssel für die Datenträgerverschlüsselung mithilfe der verwalteten Identität über eine Richtlinie, um sicherzustellen, dass geheime Schlüssel in einem Key Vault im verwalteten Mandanten gespeichert werden
• Beachten Sie, dass Sie die Microsoft Entra-ID nicht für die Remoteauthentifizierung für virtuelle Computer verwenden können.

Microsoft Defender für Cloud

• Mandantenübergreifende Sichtbarkeit
  • Überwachen der Konformität mit Sicherheitsrichtlinien und Sicherstellen der Sicherheitsabdeckung für alle Ressourcen der Mandanten
  • Kontinuierliche Überwachung der Einhaltung gesetzlicher Bestimmungen für mehrere Mandanten in einer einzigen Ansicht
  • Überwachen, Selektieren und Priorisieren von umsetzbaren Sicherheitsempfehlungen mit Sicherheitsbewertungsberechnung
• Mandantenübergreifende Sicherheitsstatusverwaltung
  • Verwalten von Sicherheitsrichtlinien
  • Ergreifen von Maßnahmen für Ressourcen, die nicht mit umsetzbaren Sicherheitsempfehlungen konform sind
  • Erfassen und Speichern von sicherheitsbezogenen Daten
• Mandantenübergreifend Bedrohungserkennung und entsprechender Schutz davor
  • Erkennen von Bedrohungen über Ressourcen von Mandanten hinweg
  • Anwenden von Advanced Threat Protection-Kontrollen, wie z. B. JIT-VM-Zugriff (Just-in-Time)
  • Verstärkung des Schutzes der Konfiguration von Netzwerksicherheitsgruppen mit adaptiver Netzwerkhärtung
  • Sicherstellung mittels adaptiver Anwendungssteuerung, dass auf Servern nur die Anwendungen und Prozesse ausgeführt werden, die ausgeführt werden sollten
  • Überwachen von Änderungen an wichtigen Dateien und Registrierungseinträgen mittels Überwachung der Dateiintegrität (FIM)
• Beachten Sie, dass das gesamte Abonnement an den verwalteten Mandanten delegiert werden muss; Microsoft Defender für Cloud-Szenarien werden bei delegierten Ressourcengruppen nicht unterstützt.

Microsoft Sentinel:

• Verwalten von Microsoft Sentinel-Ressourcen in Kundenmandanten
• Verfolgen von Angriffen und Anzeigen von Sicherheitswarnungen für mehrere Mandanten
• Anzeigen von Vorfällen in mehreren Microsoft Sentinel-Arbeitsbereichen mandantenübergreifend

Supportanfragen:

• Öffnen Sie Supportanfragen von Hilfe + Support im Azure-Portal für delegierte Ressourcen. Wählen Sie den Supportplan aus, der für den delegierten Bereich verfügbar ist.
• Verwenden Sie die Azure-Kontingent-API , um Azure-Dienstkontingente für delegierte Kundenressourcen anzuzeigen und zu verwalten.

Aktuelle Einschränkungen

Beachten Sie bei allen Szenarios die folgenden aktuellen Einschränkungen:

• Azure Lighthouse unterstützt Anforderungen, die von Azure Resource Manager verarbeitet werden. Die Vorgangs-URIs für diese Anforderungen beginnen mit https://management.azure.com. Azure Lighthouse unterstützt jedoch keine Anforderungen, die von einer Instanz eines Ressourcentyps verarbeitet werden, wie z. B. der Zugriff auf Key Vault-Geheimnisse oder Speicherdaten. Die Vorgangs-URIs für diese Anforderungen beginnen in der Regel mit einer für Ihre Instanz eindeutigen Adresse, wie https://myaccount.blob.core.windows.net oder https://mykeyvault.vault.azure.net/. Diese Anforderungen sind in der Regel Datenvorgänge und nicht Verwaltungsvorgänge.
• Rollenzuweisungen müssen integrierte Azure-Rollen verwenden. Azure Lighthouse unterstützt derzeit alle integrierten Rollen mit Ausnahme von Besitzer oder irgendeiner integrierten Rolle mit DataActions-Berechtigungen. Die Rolle „Benutzerzugriffsadministrator“ wird nur für die eingeschränkte Verwendung beim Zuweisen von Rollen zu verwalteten Identitäten unterstützt. Benutzerdefinierte Rollen und klassische Abonnementadministratorrollen werden nicht unterstützt. Weitere Informationen finden Sie unter Rollenunterstützung für Azure Lighthouse.
• Für Benutzer im verwalteten Mandanten zeigen Access Control (IAM) und CLI-Tools wie az role assignment list z. B. keine Rollenzuweisungen an, die über Azure Lighthouse vorgenommen wurden. Diese Zuweisungen sind nur im Azure-Portal im Abschnitt Delegierungen von Azure Lighthouse oder über die Azure Lighthouse-API sichtbar.
• Sie können Abonnements, die Azure Databricks verwenden, zwar integrieren, Benutzer im Verwaltungsmandanten können jedoch keine Azure Databricks-Arbeitsbereiche für ein delegiertes Abonnement starten.
• Sie können Zwar Abonnements und Ressourcengruppen mit Ressourcensperren integrieren, diese Sperren verhindern jedoch nicht, dass Aktionen von Benutzern im verwalteten Mandanten ausgeführt werden. Zuweisungen ablehnen, die systemverwaltete Ressourcen schützen (systemzugewiesene Verweigerungszuweisungen), wie beispielsweise solche, die von Azure verwalteten Anwendungen erstellt werden, verhindern, dass Benutzer des verwaltenden Mandanten auf diese Ressourcen zugreifen können. Benutzer im Kundenmandanten können gegenwärtig allerdings keine eigenen Ablehnungszuweisungen erstellen.
• Die Delegierung von Abonnements über eine nationale Cloud und die öffentliche Azure-Cloud oder über zwei separate nationale Clouds wird nicht unterstützt.

Nächste Schritte

• Integrieren Sie Ihre Kunden in Azure Lighthouse, entweder mithilfe von Azure Resource Manager-Vorlagen oder durch Veröffentlichen eines privaten oder öffentlichen verwalteten Dienstangebots auf Microsoft Marketplace.
• Anzeigen und Verwalten von Kunden, indem sie im Azure-Portal zu Meine Kunden navigieren.
• Weitere Informationen zur Azure Lighthouse-Architektur.