跳过导航

Azure Lighthouse

为合作伙伴和客户提供安全的托管服务和访问控制

掌控 Azure 环境

在不影响安全性的情况下,让服务提供商的操作完全透明并管理访问。确定可以访问你的租户的人员、他们可以访问的内容以及访问时间。与服务合作伙伴讨论使用 Azure Lighthouse 免费实施这些安全和访问控制协议。

请求获取 Azure Lighthouse

了解客户如何使用 Azure Lighthouse 通过增强的安全性、精细控制和完全透明性来控制其 IT 资产。通过 Azure Lighthouse 建立更好的合作伙伴联系。

自信从容地合作

管理所有云上的服务提供商。

掌控全局

使用基于角色的访问控制 (RBAC) 为每个提供商分配精确的权限。

确保始终安全

通过 Privileged Identity Management 和 Microsoft Azure 多重身份验证为提供商启用适度访问和即时访问。

明智决策

访问所有服务提供商操作的按需审核和报告。

通过允许适度的访问予以控制

通过基于角色的访问控制(RBAC)(一种精细的访问管理系统)来限制对资源的访问。控制权限,包括谁有权访问、他们可以执行什么操作,以及他们有权访问哪些区域。借助 Azure 中的 RBAC,服务提供商可在保证系统安全的同时自主工作。

使用实时访问降低风险

通过 Privileged Identity Management* (PIM),即 Azure Active Directory [Azure AD] 的一项服务,向服务提供商提供基于时间和审批的角色激活。对于超出 Azure 内置的 RBAC 角色参数范围的作业,PIM 通过向提供商分配在完成任务所需的准确时间内每个资源所需的准确访问级别,进一步降低了风险。客户还可以通过在提升提供商的访问权限之前要求进行 Azure 多重身份验证来增强安全性。

*以公共预览版提供

通过活动报表随时获取最新信息

通过按需审核和活动日志确保所有服务提供商操作的透明性。通过实时了解哪些人何时访问了哪些资源以及他们采取了哪些操作(包括所有 PIM 相关活动),可以消除来宾访问的不确定性,这些信息可直接从所有基于 Azure 资源管理器的日志中获得。

构建和缩放安全托管服务

在单个统一门户中为托管服务提供商提供具有跨租户管理和部署自动化功能的结构良好的托管服务。

在与服务提供商合作时增强身份验证并降低风险

  • 使用 Azure 中基于角色的访问控制授予适当的访问权限,并使用 Azure AD PIM 实现实时访问
  • 针对用户和组的 Azure 多重身份验证
  • 按需审核和活动日志
  • 使用内置策略限制用户,仅允许其开始使用经许可的服务提供商,从而进一步保护你的环境

客户和合作伙伴可免费使用 Azure Lighthouse

服务提供商无需额外付费即可使用 Azure Lighthouse。在不影响预算的情况下启用安全最佳做法。

文档和资源

开始使用学习资源

详细了解 Azure 中的基于角色的访问控制Azure AD PIM

了解如何查看和管理服务提供商查看提供商活动

观看演示,了解如何使用 Azure Lighthouse 实现服务提供商的产品入门。

深入了解适用于客户的 Azure Lighthouse 演示。

探索常用合作伙伴资源

阅读 Azure Lighthouse 概述,了解 Azure 委派资源管理这项基础技术。

了解合作伙伴资源并通过 MS Learn 实验室获得实践经验。

访问演示在各种 Azure 服务(例如 Azure 安全中心和 Azure Monitor)中使用 Azure Lighthouse 的 GitHub 模板

有关 Azure Lighthouse 的常见问题解答

  • Azure Lighthouse 既适用于托管服务提供商(MSP),也适用于客户。MSP 可以使用 Azure Lighthouse 帮助构建和缩放安全的托管服务实践,而客户则可以从最佳实践安全功能中受益。企业客户还可以在内部部署 Azure Lighthouse 来帮助管理多个内部租户(通常是在合并或收购之后)。
  • 通过 Azure 委派资源管理,MSP 不再需要在公司的租户中创建管理员帐户。这样,MSP 就可以在自己的 Azure AD 租户中管理委派的管理员的生命周期。MSP 还可以将用户帐户添加到其 Azure AD 租户的用户组中,而作为客户,你应确保这些组具有管理其资源所需的访问权限。若要撤消访问权限,请从委派的特定组访问权限中删除该用户。
  • Azure Lighthouse 的功能在所有许可和销售渠道中始终如一。你可以继续使用 CSP 并使用有价值的新管理工具。例如,跨客户和多客户托管服务提供商访问框架为 CSP 提供精细的访问控制和范围定义,这对客户和合作伙伴来说都非常重要。
  • Azure 是唯一一家提供一致、集中的管理和监视功能的云提供商,让合作伙伴通过一个控制平面即可代表客户大规模进行管理。我们是唯一一家支持合作伙伴通过多种可实现管理自动化的途径拓展业务的提供商。与其他云提供商不同,Azure 允许 ISV 和 MSP 将 Azure Lighthouse 纳入联合服务和解决方案包。
  • Azure 委派资源管理是支持 Azure Lighthouse 的基础管理技术。这项核心技术使客户能够针对特定角色的已定义资源范围(包括订阅和资源组)为单个或多个服务提供商委派或显式预配访问权限。它通过 Azure 资源管理器模板和 Azure 市场托管服务产品灵活载入客户,使用 Azure Policy 和 Azure Resource Graph 简化管理,并且可以访问 Azure 安全中心和 Azure 服务运行状况等服务,从而实现跨租户管理。
  • 只有具有管理功能的租户需要 EMS E5 或 Azure AD Premium P2 许可证。这适用于在管理租户中激活角色的所有用户。没有针对客户的许可证要求。

请求获取 Azure Lighthouse

联系我们
可以给你提供什么帮助?