什么是 Azure 委派資源管理？

Azure委托資源管理是Azure Lighthouse的關(guān)鍵組件之一。借助Azure委托資源管理，服務(wù)提供商可以簡(jiǎn)化客戶參與和載入體驗(yàn)，同時(shí)靈活精確地管理大規(guī)模委托資源?？蛻舯３謱?duì)哪些服務(wù)提供商可以訪問其租戶的控制，客戶保持對(duì)可訪問其租戶的人員、他們可以訪問的資源以及可執(zhí)行的操作進(jìn)行控制。

什么是Azure委派資源管理？

通過Azure委派資源管理，可以將資源從一個(gè)租戶邏輯投影到另一個(gè)租戶。因此某個(gè)Azure Active Directory(Azure AD)租戶中的授權(quán)用戶可以跨屬于其客戶的不同Azure AD租戶執(zhí)行管理操作。服務(wù)提供商可以登錄到自己的Azure AD租戶，并且有權(quán)在委派的客戶訂閱和資源組中工作。這樣，他們就可以代表其客戶執(zhí)行管理操作，而無需登錄每個(gè)單獨(dú)的客戶租戶。

提示

還可在具有多個(gè)其自己的Azure AD租戶的企業(yè)中使用Azure委派資源管理，以簡(jiǎn)化跨租戶管理。

借助Azure委派資源管理，授權(quán)用戶可直接處理客戶訂閱的上下文，而無需具有客戶的租戶帳戶或成為客戶的租戶的共同所有者。

跨租戶管理體驗(yàn)使你可以更高效地使用azure策略、Azure安全中心等azure管理服務(wù)。在活動(dòng)日志中跟蹤所有服務(wù)提供程序活動(dòng)，該活動(dòng)存儲(chǔ)在客戶的租戶(中，并可由管理租戶)中的用戶查看。這表示管理和托管租戶中的用戶都可以輕松地識(shí)別與任何更改關(guān)聯(lián)的用戶。

可以將新的托管服務(wù)產(chǎn)品類型發(fā)布到Azure Marketplace，輕松地將客戶加入azure Lighthouse?；蛘?，可以通過部署Azure資源管理器模板來完成載入過程。

Azure委派資源管理的工作原理

概括而言，Azure委派資源管理的工作原理如下：

首先，確定(角色的訪問權(quán)限，)組、服務(wù)主體或用戶將需要管理客戶的Azure資源。訪問定義包含管理的租戶ID以及從租戶映射到內(nèi)置roleDefinition值(參與者、VM參與者、讀者等)的principalId標(biāo)識(shí)。

可以通過以下兩種方式之一指定此訪問權(quán)限并將客戶加入Azure Lighthouse：

發(fā)布Azure Marketplace托管服務(wù)產(chǎn)品/服務(wù)(客戶將接受的私有或公共)

為一個(gè)或多個(gè)特定訂閱或資源組將Azure資源管理器模板部署到客戶的租戶

一旦客戶載入，授權(quán)用戶便可以登錄到你的管理租戶，并根據(jù)你定義的訪問權(quán)限在給定的客戶范圍內(nèi)執(zhí)行任務(wù)。客戶可以查看服務(wù)提供商的操作，并且可以根據(jù)需要?jiǎng)h除訪問權(quán)限。

備注

可以管理位于不同區(qū)域的委托資源。但是，不支持跨全國(guó)云和Azure公有云或跨兩個(gè)不同的國(guó)家云的訂閱委派。

Azure委派資源管理支持

如果需要關(guān)于Azure委派資源管理方面的幫助，可以在Azure門戶中打開支持請(qǐng)求。對(duì)于“問題類型”，請(qǐng)選擇“技術(shù)”********。選擇"訂閱"，然后選擇"監(jiān)視&管理)下的Lighthouse。