Utilisation d’Azure Lighthouse dans les scénarios multi-locataires de zones d’atterrissage Azure
Azure Lighthouse permet une gestion multi-locataire avec de la scalabilité, une automatisation plus poussée et une gouvernance renforcée des ressources. Azure Lighthouse peut être adopté dans les scénarios de zone d’atterrissage Azure dans des architectures mono-locataires ou multi-locataires.
Les considérations et recommandations suivantes décrivent des scénarios courants pour Azure Lighthouse dans les déploiements de zones d’atterrissage Azure.
Considérations
- Azure Lighthouse n’est pas pris en charge sur les clouds Azure, comme le cloud public Azure pour Azure Government Cloud. Pour plus d’informations, consultez Considérations liées au cloud et inter-régions.
- Azure Lighthouse prend en charge les délégations d’abonnements ou de groupes de ressources, et non de groupes d’administration ou de locataires. Pour une solution d’intégration de plusieurs abonnements au sein d’un groupe d’administration, consultez Intégrer tous les abonnements dans un groupe d’administration. Cette stratégie suit le principe de conception des zones d’atterrissage Azure de gouvernance pilotée par les stratégies.
- Pour plus d’informations sur les limitations de la prise en charge des rôles avec Azure Lighthouse, consultez Prise en charge des rôles pour Azure Lighthouse.
Recommandations
- Consultez Azure Lighthouse dans les scénarios d’entreprise.
- Si vous êtes un éditeur de logiciels indépendants, consultez Azure Lighthouse dans les scénarios ISV.
- Utilisez Azure Lighthouse dans les deux sens entre les locataires Microsoft Entra pour simplifier les activités de gestion et réduire les scénarios d’authentification et d’autorisation complexes. Cette action supprime la dépendance à l’égard des comptes Microsoft Entra B2B (invité) pour les identités d’utilisateur et de charge de travail, et supprime la nécessité d’avoir des comptes distincts pour certaines activités.
- Utilisez PIM (Privileged Identity Management) Microsoft Entra dans le cadre de vos délégations Azure Lighthouse. Pour plus d’informations, consultez Créer des autorisations éligibles.
- Cette fonctionnalité nécessite une licence Microsoft Entra ID P2, mais uniquement à partir du locataire Microsoft Entra source ou de gestion.
Scénario de zones d’atterrissage Azure - Azure Lighthouse et DNS privé à grande échelle
Le diagramme suivant est un scénario de zone d’atterrissage Azure où Azure Lighthouse est utilisé sur plusieurs locataires Microsoft Entra pour faciliter l’intégration à Private Link et DNS.
Lorsque vous utilisez Azure Lighthouse, la zone DNS privée d’Azure Policy pour les points de terminaison privés est automatiquement liée dans les locataires Microsoft Entra spoke aux zones DNS privées centralisées dans le locataire Microsoft Entra hub. Pour plus d’informations, consultez Intégration de Private Link et DNS à grande échelle.
Lorsque vous utilisez cette architecture, les propriétaires de zone d’atterrissage d’application ont accès pour apporter des modifications à la zone DNS privée via des autorisations de délégation Azure Lighthouse. Cet accès est utile si une approche différente est utilisée pour gérer la configuration DNS des points de terminaison privés, plutôt qu’Azure Policy. Pour plus d’informations, consultez Intégration de Private Link et DNS à grande échelle.