Wat Is Azure Lighthouse

Maakt Microsoft Azure Lighthouse Multi Tenant beheer mogelijk?

Daniël Heynen
·
17/08/2021

Voor een Managed Service Provider (MSP) en Enterprise organisaties die meerdere tenants beheren in Azure, is het een uitdaging om deze allemaal (tegelijk) te beheren. Azure Lighthouse is dan mogelijk een goede oplossing! Maar wat is Azure Lighthouse nu eigenlijk? Azure Lighthouse is een gratis dienst van Microsoft bij de Azure cloud dienst. Hiermee kun je de Azure resources van meerdere tenants beheren vanuit het control plane van de Azure Portal van de MSP / Enterprise organisatie. Het is niet meer nodig om per tenant meerdere (beheer) accounts te verkrijgen, scripts te maken in meerdere tenants of toegang te vragen tot elke Azure AD tenant. Dit zijn enkele voorbeelden, maar er zijn vast nog meer voorbeelden te benoemen.

Ik kan me voorstellen dat je al wat vragen hebt met betrekking tot Azure Lighthouse zoals:

  • Welke multi-tenant uitdagingen vergemakkelijkt Azure Lighthouse?
  • Welke mogelijkheden biedt Azure Lighthouse?
  • Hoe kan een MSP een tenant onboarden?

Maak je dan niet druk, want op deze vragen krijg jij een antwoord met dit blogartikel! Lees dus zeker verder wat Azure Lighthouse kan betekenen voor jouw organisatie.

Microsoft Azure Lighthouse Multi Tenant Beheer

Multi-tenant uitdagingen

Zoals aangegeven maakt Azure Lighthouse multi-tenant beheer mogelijk op een schaalbare manier met hogere automatisering en verbeterde governance voor alle te beheren resources. Klanten blijven in control. Dat wil zeggen dat ze zelf blijven bepalen wie toegang heeft tot hun tenant, tot welke resources er toegang verkregen kan worden en welke acties toegestaan zijn op deze resources. Het beheren van meerdere tenants via Azure Lighthouse kan voor de uitvoerende IT organisatie leiden tot efficiënter werken, gebruikmakend van Azure services zoals Azure Policy, Azure Sentinel en Azure Arc en nog veel meer.

Governance

Zonder gebruik van Azure Lighthouse vereist het beheren van meerdere klanten (lees meerdere tenants) in de meeste gevallen een uitgebreid aantal autorisaties of medewerking van de klant. Dit is nodig om de beheertaken uit te (kunnen) voeren. Ook is het zo dat veel klanten vanuit compliance oogpunt op elk moment inzicht moeten en willen hebben in de activiteiten die een MSP uitvoert. Zeker als aan de eisen, die ISO certificeringen zoals ISO27001 stellen, voldaan moet worden door de klant. Dan zal de klant eisen dat ze inzicht verkrijgen in de uitgevoerde wijzigingen en autorisaties van de MSP. In het kader van governance is bij het gebruik van Azure Lighthouse in de tenant van de klant geborgd dat van alle (autorisatie)wijzigingen in het activiteitenlogboek zichtbaar is wie welke wijziging heeft uitgevoerd. Deze zijn ook zichtbaar voor beheerders van de beherende tenant (MSP / Enterprise organisatie).

Wat is Azure Delegated Resource Management?

Azure Delegated Resource Management is een belangrijk onderdeel van de werking van Azure Lighthouse. Het draagt zorg voor een logische projectie van resources van de ene naar de andere tenant. Dit maakt het niet alleen mogelijk, maar ook makkelijker voor de MSP om klanten te ondersteunen en onboarden. In die zin kan gesteld worden dat Azure Delegated Resource Management geautoriseerde (MSP) gebruikers taken kan laten doen in de context van die klant zijn subscription. Hiervoor heb je het tenant account van de klant of mede eigenaar van de klant tenant niet nodig.

Azure monitor

Met de introductie van Azure Monitor is de mogelijkheid gecreëerd voor MSP’s om per klant (lees per subscription) te monitoren. Deze single tenant oplossing voor het monitoren biedt de mogelijkheid om de huidige gebruikte third party monitoring tools te vervangen. Azure Lighthouse geeft op het vlak van monitoring winst voor de MSP, daar er nu met Azure Monitor eenvoudige toegang is tot alle klantomgevingen. In plaats van het per klant instellen van monitoring, policies en alerts is het mogelijk om met een simpele configuratiestap policies in te stellen voor meerdere tenants (lees klanten). Na het instellen kan de MSP dan de resources van de verschillende tenants monitoren van het eigen Azure control plane.

Azure Automation, Logic Apps en Functions

Vanuit een MSP standpunt wordt automation steeds meer toegepast bij het beheer van meerdere klanten. Hierbij wordt in principe gebruik gemaakt van dezelfde opzet. Hierbij kun je denken aan de Azure tools zoals Azure Automation, Logic Apps en Functions. Als binnen Azure Lighthouse rechten op service principles zijn toegekend op een subscription door de tenant eigenaar, dan kan de MSP de gebouwde automation opzet (bijvoorbeeld een script om de backup te controleren) na eenmalig deployment aan meerdere tenants koppelen.

Azure Lighthouse

Capabilities Azure Lighthouse

Het is voor managed service providers dus efficiënt om Azure Lighthouse te gebruiken. Hieronder nog enkele mogelijkheden die Azure Lighthouse biedt:

  • Control: de klant heeft eindcontrole over de scope van resources met betrekking tot waar het beheer ligt en met welke permissies. De klant kan onderzoeken welke acties de MSP heeft uitgevoerd en waar nodig zelfs toegang tot resources verwijderen zonder dat het invloed heeft op bestaande permissies van resources;
  • Schaalbaar beheer: beheer van resources van klanten gebruikmakend van bestaande API’s, beheersoftware en workflows van klantresources;
  • Scenario’s: Azure Lighthouse wordt aangeboden als een unified platform toepassing om alle belangrijke service provider scenario’s te ondersteunen. Hieronder vallen meerdere licentiemodellen zoals EA (Enterprise Agreement), CSP (Cloud Service Provider Program) en pay-as-you-go;

Nog meer mogelijkheden zijn:

  • Role based access: toegang tot resources met op rollen gebaseerd toegangsbeheer in Azure om de MSP autonoom te laten werken terwijl de resources (bv. systemen) van de klanten veilig blijven;
  • Just-in-Time Access: ondersteuning voor op tijdsduur gebaseerde, en op basis van goedkeuring, rol activering met de Azure Active Directory service PIM (Priviliged Identity Management). Hierbij worden risico’s verlaagd door de juiste toegang per resource te verlenen aan de MSP en daaraan net genoeg tijd te geven om de taak af te handelen;
  • Multi-factor authenticatie: ondersteuning MFA binnen Azure Lighthouse (voor een CSP is het gebruik van MFA al een tijd een requirement)
  • Azure Portal Experience: binnen de Azure portal is de “Service Providers” pagina toegevoegd die het voor de klant (tenant) mogelijk maakt om toegang van de service provider te beheren. Voor de MSP is binnen de Azure portal de “My Customers” pagina ter beschikking gesteld waarin een overzicht van alle klant tenants vermeldt staat;
  • Azure Marketplace: een MSP kan een Managed Service offer (beheeraanbod) plaatsen voor klanten via een publieke of privé aanbod in de Azure Marketplace voor het onboarden van de klant tenant in Azure Lighthouse van de MSP;
  • ARM Templates: Azure Resource Manager templates kunnen helpen bij het onboarden van klant resources en voor multi-tenant beheer taken.

Nu de multi-tenant uitdagingen en mogelijkheden van Azure Lighthouse uitgelegd zijn is de volgende stap het onboarden van een klant zijn tenant bij een MSP.

Azure Lighthouse Setup

Voor het uitvoeren van een Azure Lighthouse setup, oftewel onboarden, zijn er twee opties. Het onboarden kan worden uitgevoerd gebruikmakend van
1. Azure Resource Manager templates
2. Of via het publiceren van een Managed Services offering (aanbod) in de Azure Marketplace.

Wanneer je Azure Resource Templates gebruikt, heb je alleen een gebruiker en de groep met principal id’s van de MSP tenant nodig. Deze dienen toegevoegd te worden aan het template en daarnaast moeten gedefinieerde rol definities toegekend worden aan de juiste autorisaties. Het onboarden met templates brengt meerdere business voordelen met zich mee zoals efficiency en er is een mindere kans op fouten.

Naast het runnen van een template in de omgeving van de klant kan er ook voor gekozen worden door de MSP om een managed service offering in de Azure Marketplace te publiceren. Potentiële klanten en bestaande klanten kunnen via hun subscription binnen de Azure Marketplace het managed service offer zoeken en het onboarden initiëren.

Heb ik nu je interesse gewekt in Azure Lighthouse? Kijk dan hier voor een Azure Lighthouse demo: https://azure.microsoft.com/nl-nl/resources/videos/azure-lighthouse-demo-recording/

Azure Lighthouse training bij Master IT

Wil je meer weten over Azure Lighthouse? Zodra er meer duidelijkheid is over de beschikbaarheid van een training zal hier informatie op onze website over komen te staan.

De 4-daagse AZ-104 Microsoft Azure Administrator is wellicht interessant tot het moment dat er een training is waar het onderwerp behandeld wordt.

Bij Master IT leer je alleen wat je echt nodig hebt.
Certificeringen Trainingen
Beste lesmethode
Kleine klassen
Flexibel inplannen
Leer wat jij nodig hebt
Gerelateerde trainingen
MS55371
Windows Server Administration (55371)
Intermediate
AZ-720
Troubleshooting Microsoft Azure Connectivity (AZ-720)
Advanced
DP-500
Designing and Implementing Enterprise-Scale Analytics Solutions Using Microsoft Azure and Microsoft Power BI (DP-500)
Advanced
Bekijk alle trainingen