Azure Lighthouse existe déjà depuis longtemps. Mais je souhaitais malgré tout en faire un article car il est très utile dans bien des cas car il facilite grandement la gestion de ressources réparties sur plusieurs tenants Microsoft. Cela s’adapte donc parfaitement aux prestataires ou fournisseurs de services Cloud.
Qu’est-ce qu’Azure Lighthouse ?
Azure Lighthouse permet une gestion multi-locataire avec de la scalabilité, une automatisation plus poussée et une gouvernance renforcée des ressources.
Microsoft Learn
En d’autres termes, Azure Lighthouse vous permet d’accéder à plusieurs tenants en simultané. Cela permet de visualiser un ensemble de ressources Azure réparties sur plusieurs tenants dans une seule et unique vue.
Grâce à Azure Lighthouse, vous allez pouvoir :
- Créer une relation sécurisée entre vous et vos clients gérés.
- Fournir une transparence et à la demande sur l’accès et les actions.
- Permettre une gestion granulaire de l’accès à l’ensemble du parc Azure.
Vous pouvez gérer plusieurs clients dans un seul Azure Lighthouse. Vous devez simplement définir comment vos équipes accéderont aux ressources des clients :
Pourquoi utiliser Azure Lighthouse pour un client ?
- Gardez le contrôle : Ajoutez, modifiez ou retirez les droits des intervenants externes à tout moment grâce à la relation fournisseur de services / client établie via Azure Lighthouse.
- Conservez la sécurité : Fournissez un accès granulaires aux fournisseurs de services, à des niveaux spécifiques (souscription ou groupe de ressources), et à des groupes d’utilisateurs définis, pour un accès permanent ou temporaire.
- Restez informé : Veillez à ce que vos données soient toujours sécurisées et ne quittent pas votre environnement, tout en ayant une visibilité sur les actions et les changements effectués par vos fournisseurs de services.
Comment Azure Lighthouse fonctionne ?
Pour qu’Azure Lighthouse puisse fonctionner, il est nécessaire de disposer de :
- Utilisateurs, groupes ou principaux de service provenant du tenant du fournisseur.
- Rôles RBAC à appliquer sur les ressources du client.
Ces 2 éléments (Rôles + identités) sont alors combinés dans un template généré au format JSON depuis le tenant du fournisseur, puis exécuté sur le tenant du client.
C’est aussi simple que cela !
Note : A la place de la génération d’un template JSON, il est aussi possible de passer par la publication d’une offre fournisseur sur la Marketplace Azure.
Combien cela coûte ?
L’utilisation d’Azure Lighthouse est gratuite pour les clients et pour les fournisseurs.
Azure Lighthouse, qui s’appuie sur la technologie de gestion des ressources déléguées d’Azure, est donc disponible sans frais supplémentaires :
Quelles sont les étapes pour mettre en place Azure Lighthouse ?
Azure Lighthouse est donc configurable de plusieurs manières :
- En publiant une offre de service managé sur la Place de marché Azure
- En déployant un modèle Azure Resource Manager
Afin de faire au plus simple dans cet article, je vous propose, au travers d’un petit exercice, de tester la seconde méthode :
- Etape 0 – Rappel des prérequis
- Etape I – Configuration du tenant fournisseur
- Etape II – Configuration du tenant client
- Etape III – Contrôle de la configuration
- Etape IV – Création d’une machine virtuelle Azure
- Etape V – Modification des ressources gérées par Azure Lighthouse
Etape 0 – Rappel des prérequis :
Pour réaliser cet exercice sur Azure Lighthouse, il vous faudra disposer de :
- Deux tenants Microsoft (fournisseur / client)
- Tenant fournisseur :
- Un utilisateur avec des droits d’administrateur
- Tenant client :
- Une souscription Azure valide
- Un utilisateur avec rôle de Propriétaire sur la souscription Azure
Afin d’identifier plus facilement les deux tenants Azure, je vous propose de configurer les couleurs du portail Azure comme ceci :
- Portail Azure clair : tenant fournisseur
- Portail Azure sombre : tenant client
Commençons par la configuration du tenant du fournisseur.
Etape I – Configuration du tenant fournisseur :
Connectez-vous au tenant du fournisseur afin de créer un nouveau groupe Entra ID dédié à Azure Lighthouse :
Ajoutez dans ce nouveau groupe les membres nécessaires pour tester par la suite le bon fonctionnement de l’accès aux ressources Azure situées sur le tenant du client :
Toujours sur le tenant du fournisseur, utilisez la barre de recherche comme ceci :
Cliquez sur Créer un modèle ARM (Azure Resource Manager) :
Nommez le nom de votre template ARM, puis cliquez-ici pour ajouter des autorisations RBAC :
Recherchez le groupe créé précédemment , ajoutez une autorisation que vous accorderez à vos utilisateurs d’Azure Lighthouse, puis définissez si les droits sont permanents ou éligibles :
Cliquez sur le bouton Voir le modèle :
Cliquez sur le bouton Télécharger :
La configuration du tenant fournisseur est maintenant terminée
Ce template au format JSON est utilisable autant de fois que nécessaire, tant que les accès aux ressources Azure des clients sont identiques.
La suite se passe maintenant sur le tenant du client.
Etape II – Configuration du tenant client :
Connectez-vous au tenant du client où se trouve la souscription ou le groupe de ressources que vous souhaitez gérer.
Avant de mettre en place Azure Lighthouse, prenez le temps de vérifier sur la souscription Azure le bon enregistrement du fournisseur de ressources suivant :
Utilisez la barre de recherche comme ceci :
Cliquez ici pour voir les offres des prestataires de services :
Dans le menu Offres des prestataires de services, cliquez sur Ajouter une offre, puis sélectionnez Ajouter par le biais d’un modèle :
Téléchargez le modèle que vous avez créé précédemment :
Sélectionnez la souscription Azure, puis lancez la validation Azure :
Une fois la validation Azure réussie, lancez la création du lien Azure Lighthouse :
Attendez environ deux minutes :
La configuration est maintenant en place. Avant de créer une nouvelle ressource Azure, nous allons contrôler le lien établi.
Etape III – Contrôle de la configuration :
Toujours sur le tenant du client, rendez-vous dans le menu suivant afin de constater l’apparition de la délégation créée précédemment :
Retournez sur le tenant du fournisseur afin de constater l’apparition du client dans le menu suivant :
Cliquez sur le bouton de paramétrage du portail Azure afin de voir dans la liste des tenants et des souscriptions provenant du tenant du client :
Toujours sur le tenant fournisseur, vérifiez la présence de la souscription client dans la liste des souscriptions Azure, puis cliquez dessus :
Contrôlez la désactivation des fonctions d’assignation car le rôle de propriétaire n’est pas disponible via Azure Lighthouse :
L’environnement client est maintenant correctement configuré.
Afin de vérifier le bon fonctionnement, je vous propose créer une nouvelle machine virtuelle sur la souscription Azure du client, depuis le tenant du fournisseur.
Etape IV – Création d’une machine virtuelle Azure :
Encore sur le tenant fournisseur, cliquez-ici pour créer une machine virtuelle Azure :
Renseignez les informations de base relatives à votre VM en choisissant bien la souscription Azure du tenant du client, puis lancez la validation Azure :
Une fois la validation Azure réussie, lancez la création des ressources :
Attendez environ 2 minutes que le déploiement se termine :
Retournez sur le portail Azure du tenant du client afin de vérifier la bonne apparition de la machine virtuelle créée depuis le tenant du fournisseur :
Contrôlez les droits RBAC présents sur cette machine virtuelle :
La création des ressources est bien possible grâce à la mise en place d’un rôle RBAC de contributeur au travers d’Azure Lighthouse.
La suppression des ressources Azure depuis le tenant du fournisseur fonctionne elle aussi sans souci :
Etape V – Modification des ressources gérées par Azure Lighthouse :
La modification ou l’ajout des ressources gérées par Azure Lighthouse est possible depuis le tenant client, sans besoin de réutiliser le template JSON du fournisseur :
Là encore, la suppression de droits sur une souscription Azure est possible à tout moment depuis le tenant du client :
Conclusion :
En quelques clics, nous avons mis en place une délégation de ressources Azure en place. Bravo ! Bien évidemment, cette liaison d’Azure Lighthouse est aussi compatible avec Microsoft Entra Privileged Identity Management.
Enfin, voici comme toujours une vidéo de John Savill qui en parle très bien :
Amazing Content, again and again 🙂
Thank you! Greetings from Zug
Happy to help !