Azure ランディング ゾーンのマルチテナント シナリオでの Azure Lighthouse の使用

Azure Lighthouse により、マルチテナントの管理が可能になり、リソース間でのスケーラビリティ、自動化の向上、ガバナンスの強化を実現できます。 Azure Lighthouse は、シングルまたはマルチテナント アーキテクチャの Azure ランディング ゾーン シナリオで採用できます。

次の考慮事項と推奨事項では、Azure ランディング ゾーンデプロイでの Azure Lighthouse の一般的なシナリオについて説明します。

考慮事項

• Azure Lighthouse は、Azure パブリック クラウドから Azure Government クラウドなど、Azure クラウドをまたがる使用はサポートされていません。 詳細については、「リージョン間とクラウド間の考慮事項」を参照してください。
• Azure Lighthouse では、管理グループやテナントではなく、サブスクリプションまたはリソース グループの委任がサポートされています。 管理グループ内の複数のサブスクリプションをオンボードするソリューションについては、「管理グループのすべてのサブスクリプションをオンボードする」を参照してください。 このポリシーは、「ポリシー主導のガバナンス」の Azure ランディング ゾーンの設計原則に従っています。
• Azure Lighthouse でのロール サポートの制限事項については、「Azure Lighthouse 用のロールのサポート」を参照してください。

Recommendations

• 「エンタープライズ シナリオにおける Azure Lighthouse」を参照してください。
• ISV の場合は、「ISV シナリオにおける Azure Lighthouse」を参照してください。
• Microsoft Entra テナント間で双方向に Azure Lighthouse を使うことで、管理アクティビティを簡素化し、複雑な認証と認可のシナリオを減らします。 このアクションにより、ユーザー ID とワークロード ID について Microsoft Entra B2B (ゲスト) アカウントに依存しなくなり、一部のアクティビティのために個別のアカウントを持つ必要がなくなります。
• Azure Lighthouse の委任の一部として、Microsoft Entra Privileged Identity Management (PIM) を使用します。 詳細については、「適格認可を作成する」を参照してください。
  • この機能には、提供元または管理元の Microsoft Entra テナントからのみ、Microsoft Entra ID P2 ライセンスが必要になります。

Azure ランディング ゾーン シナリオ - 大規模な Azure Lighthouse とプライベート DNS

次の図は、Private Link と DNS の統合を支援するために Azure Lighthouse が複数の Microsoft Entra テナント間で使用される Azure ランディング ゾーンのシナリオです。

Azure Lighthouse を使用すると、プライベート エンドポイントのプライベート DNS ゾーンに対する Azure Policy が、スポークの Microsoft Entra テナントで、ハブの Microsoft Entra テナントの一元化されたプライベート DNS ゾーンに自動的にリンクされます。 詳細については、「Private Link と DNS の大規模な統合」を参照してください。

このアーキテクチャを使用すると、アプリケーション ランディング ゾーンの所有者には、Azure Lighthouse 委任認可を介して プライベート DNS ゾーンに変更を加えるためのアクセスが付与されます。 このアクセスは、Azure Policy ではなく、別のアプローチを使用してプライベート エンドポイントの DNS 構成を管理する場合に役立ちます。 詳細については、「Private Link と DNS の大規模な統合」を参照してください。

次のステップ