这篇博文由azurelighthouse高级项目经理Nikhil Jethava共同撰写。azurelighthouse于今年7月正式上市，我们看到了来自Azure托管服务提供商社区的巨大反响，他们对Azure平台现在支持跨租户管理的规模和精确性感到兴奋。类似地，客户可以为他们的Azure环境设计精确且刚好足够的访问级别。客户和合作伙伴都可以决定预测的精确范围。azurelighthouse使合作伙伴能够从单个控制平面（即他们的环境）中管理多个客户租户。这使得管理和自动化在数百个客户中得到一致的应用，并在某种程度上实现了以前无法实现的监控和分析。该功能适用于Azure服务（启用了Azure资源管理器）和许可申请。语境转换现在已经成为过去。在本文中，我们将回答一些最常见的问题：MSP如何从一个控制平面跨其Azure租户中的不同客户执行日常管理任务？MSP如何以代码的形式保护他们的知识产权？让我们从托管服务提供商的角度深入研究几个场景。Azure自动化你的知识产权只属于你。使用Azure委派资源管理的服务提供商不再需要在客户的订阅下创建Microsoft Azure Automation Runbook，或者在其他人的订阅中以Runbook的形式保留其IP。使用此功能，自动化Runbook现在可以存储在服务提供商的订阅中，而Runbook的效果将反映在客户的订阅中。您只需确保自动化帐户的服务主体具有执行自动化任务所需的委派内置基于角色的访问控制（RBAC）角色。服务提供商可以在客户的订阅中创建Azure监控器操作组，这些操作组将触发驻留在服务提供商订阅中的Azure Automation Runbook。   Azure监视器警报Azure灯塔允许你监控同一屋檐下不同租户的警报。为什么要在集中的日志分析工作区中存储由不同客户资源接收的日志？这有助于您的客户保持法规遵从性，允许他们将应用程序日志保存在自己的订阅下，同时使您能够以直升机的方式查看所有客户。Azure资源图资源管理器使用Azure委派资源管理，您可以跨租户从Azure资源图浏览器查询Azure资源。设想这样一个场景，你的老板要求你提供一个CSV文件，列出所有客户租户的现有Azure虚拟机。Azure资源图资源管理器查询的结果现在包括租户ID，这使您更容易确定哪个虚拟机属于哪个客户。   Azure安全中心Azure Lighthouse为您提供当前安全状态的跨租户可见性。现在，您可以跨租户监视对安全策略的遵从性、对安全建议采取措施、监视安全分数、检测威胁、执行文件完整性监视（FIM）等。   Azure虚拟机服务提供商可以在来自不同客户租户的不同Azure虚拟机上使用Azure虚拟机扩展、Azure虚拟机串行控制台、使用运行命令选项运行PowerShell命令等在Azure门户中执行部署后任务。由于对远程桌面协议（RDP）访问虚拟机的依赖性降低，跨租户的Azure虚拟机上的大多数管理任务现在可以快速执行。这也解决了一个很大的挑战，因为管理员现在不需要在多个浏览器选项卡中登录到不同的Azure订阅来访问虚拟机的资源菜单。管理用户访问使用Azure委派资源管理，msp不再需要在其客户租户中创建管理员帐户（包括contributor、security administrator、backup administrator等）。这允许他们在自己的Microsoft Azure Active Directory（AD）租户内管理委派管理员的生命周期。此外，msp可以将用户帐户添加到其azureactivedirectory（AD）租户中的用户组，而客户确保这些组具有管理其资源所需的访问权限。要在员工离开MSP的组织时撤消访问权限，只需将其从已委派访问权限的特定组中删除即可。云解决方案提供商的附加优势云解决方案提供商（csp）现在可以节省管理时间。一旦您为您的用户设置了Azure委派资源管理，他们就完全不需要登录到Partner Center（通过访问Customers、Contoso，最后是所有资源）来管理客户的Azure资源。此外，Azure委派资源管理发生在合作伙伴中心门户之外。相反，委派的用户访问权限直接在azureactivedirectory下管理。这意味着云解决方案提供商中的订阅和资源管理员不再需要在合作伙伴中心中具有"管理代理"角色。因此，云解决方案提供商现在可以决定他们的azureactivedirectory租户中的哪些用户可以访问哪个客户以及访问的范围。更多信息这不是全部。在azurelighthouse文档中有一个支持的服务和场景的完整功能列表。查看Azure首席技术官马克鲁西诺维奇（markrussinovich）的博客，深入了解幕后消息。你还在等什么？今天就开始使用Azure灯塔吧。