Utilização do Azure Lighthouse em cenários multitenant de zonas de aterrissagem do Azure
Azure Lighthouse permite o gerenciamento multilocatário com escalabilidade, maior automação e governança aprimorada entre recursos. O Azure Lighthouse pode ser adotado em cenários de zona de aterrissagem do Azure em arquiteturas de locatário único ou multilocatário.
As considerações e recomendações a seguir descrevem cenários comuns para o Azure Lighthouse em implantações de zona de aterrissagem do Azure.
Considerações
- O Azure Lighthouse não é suportado entre diferentes nuvens do Azure, tal como entre a nuvem pública do Azure e a nuvem do Azure Government. Para obter mais informações, consulte Considerações sobre regiões e nuvem.
- O Azure Lighthouse dá suporte a delegações de assinaturas ou grupos de recursos, não a grupos de gerenciamento ou locatários. Para obter uma solução para integrar várias assinaturas dentro de um grupo de gerenciamento, consulte Integrar todas as assinaturas em um grupo de gerenciamento. Esta política segue o princípio de design das zonas de aterrissagem do Azure de governança orientada por políticas .
- Para obter informações sobre as limitações do suporte de função com o Azure Lighthouse, consulte Suporte de função para o Azure Lighthouse.
Recomendações
- Veja Azure Lighthouse em cenários empresariais.
- Se você for um ISV, consulte Azure Lighthouse em cenários de ISV.
- Use o Azure Lighthouse em ambas as direções entre locatários do Microsoft Entra para simplificar as atividades de gerenciamento e reduzir cenários complexos de autenticação e autorização. Essa ação elimina a dependência de contas B2B (Convidado) do Microsoft Entra para identidades de usuário e carga de trabalho e elimina a necessidade de ter contas separadas para algumas atividades.
- Use o Microsoft Entra Privileged Identity Management (PIM) como parte de suas delegações do Azure Lighthouse. Para obter mais informações, consulte Criar autorizações qualificadas.
- Este recurso requer o licenciamento do Microsoft Entra ID P2, mas apenas do inquilino de origem ou de gestão do Microsoft Entra.
Cenário de zonas de aterrissagem do Azure - Azure Lighthouse e DNS privado em escala
O diagrama a seguir é um cenário de zona de aterrissagem do Azure em que o Azure Lighthouse é usado em vários locatários do Microsoft Entra para ajudar na integração de Link Privado e DNS.
Quando se utiliza o Azure Lighthouse, a Zona DNS Privada da Política do Azure para Pontos de Extremidade Privados é automaticamente vinculada nos locatários Microsoft Entra spoke às Zonas DNS Privadas centralizadas no locatário hub Microsoft Entra . Para obter mais informações, consulte Private Link e a integração de DNS em escala.
Quando você usa essa arquitetura, os proprietários da zona de aterrissagem do aplicativo têm acesso para fazer alterações na Zona DNS Privada por meio das autorizações de delegação do Azure Lighthouse. Este acesso é útil se for usada uma abordagem diferente para gerir a configuração DNS dos Endpoints Privados, em vez da Azure Policy. Para mais informações, consulte Private Link e a integração de DNS em grande escala.