Share via

Onboarding všech předplatných ve skupině pro správu

  • Článek

Azure Lighthouse umožňuje delegování předplatných nebo skupin prostředků, ale ne skupin pro správu. Pomocí Azure Policy ale můžete delegovat všechna předplatná v rámci skupiny pro správu na spravovaného tenanta.

Zásada pomocí efektu deployIfNotExists zkontroluje, jestli jsou jednotlivá předplatná ve skupině pro správu delegovaná na zadaného spravovaného tenanta. Pokud předplatné ještě není delegováno, vytvoří zásady přiřazení Služby Azure Lighthouse na základě hodnot, které zadáte v parametrech. Pak budete mít přístup ke všem předplatným ve skupině pro správu, stejně jako kdyby byla všechna ručně nasazená.

Při používání této zásady mějte na paměti:

  • Každé předplatné v rámci skupiny pro správu bude mít stejnou sadu autorizací. Pokud chcete měnit uživatele a role, kterým je udělen přístup, budete muset ručně onboardovat předplatná.
  • I když se připojí každé předplatné ve skupině pro správu, nemůžete provádět akce s prostředkem skupiny pro správu prostřednictvím služby Azure Lighthouse. Budete muset vybrat předplatná, na které chcete pracovat, stejně jako kdybyste je nasadili jednotlivě.

Pokud není uvedeno níže, musí všechny tyto kroky provést uživatel v tenantovi zákazníka s příslušnými oprávněními.

Tip

I když v tomto tématu odkazujeme na poskytovatele služeb a zákazníky, podniky spravující více tenantů můžou používat stejné procesy.

Registrace poskytovatele prostředků napříč předplatnými

Poskytovatel prostředků Microsoft.ManagedServices je obvykle zaregistrovaný pro předplatné jako součást procesu onboardingu. Při použití zásad k onboardingu předplatných ve skupině pro správu musí být poskytovatel prostředků zaregistrovaný předem. To může provést přispěvatel nebo uživatel vlastníka v tenantovi zákazníka (nebo jakýkoli uživatel, který má oprávnění k provedení /register/action operace pro poskytovatele prostředků). Další informace najdete v tématu Poskytovatelé a typy prostředků Azure.

K automatické registraci poskytovatele prostředků napříč předplatnými můžete použít aplikaci logiky Azure. Tuto aplikaci logiky je možné nasadit v tenantovi zákazníka s omezenými oprávněními, která mu umožňují zaregistrovat poskytovatele prostředků v každém předplatném v rámci skupiny pro správu.

Poskytujeme také aplikaci logiky Azure, kterou je možné nasadit v tenantovi poskytovatele služeb. Tato aplikace logiky může přiřadit poskytovatele prostředků napříč předplatnými ve více tenantech udělením souhlasu správce pro celou aplikaci logiky. Pokud chcete udělit souhlas správce v rámci celého tenanta, musíte se přihlásit jako uživatel, který je oprávněný k udělování souhlasu jménem celé organizace. Všimněte si, že i když tuto možnost použijete k registraci poskytovatele ve více tenantech, budete muset zásady nasadit jednotlivě pro každou skupinu pro správu.

Vytvoření souboru parametrů

Pokud chcete přiřadit zásadu, nasaďte soubor deployLighthouseIfNotExistManagementGroup.json z úložiště ukázek spolu se souborem parametrů deployLighthouseIfNotExistsManagementGroup.parameters.json , který upravíte pomocí podrobností o konkrétním tenantovi a přiřazení. Tyto dva soubory obsahují stejné podrobnosti, které by se použily k onboardingu jednotlivých předplatných.

Následující příklad ukazuje soubor parametrů, který deleguje předplatná do tenanta Spravovaných služeb Relecloud s přístupem uděleným dvěma id zabezpečení: jedno pro podporu vrstvy 1 a jeden účet automation, který může přiřadit delegateRoleDefinitionIds spravovaným identitám v tenantovi zákazníka.

{ 
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#", 
    "contentVersion": "1.0.0.0", 
    "parameters": { 
        "managedByName": { 
            "value": "Relecloud Managed Services" 
        }, 
        "managedByDescription": { 
            "value": "Relecloud provides managed services to its customers" 
        }, 
        "managedByTenantId": { 
            "value": "00000000-0000-0000-0000-000000000000" 
        }, 
        "managedByAuthorizations": { 
            "value": [ 
                { 
                    "principalId": "00000000-0000-0000-0000-000000000000", 
                    "principalIdDisplayName": "Tier 1 Support", 
                    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c" 
                }, 
                { 
                    "principalId": "00000000-0000-0000-0000-000000000000", 
                    "principalIdDisplayName": "Automation Account - Full access", 
                    "roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9", 
                    "delegatedRoleDefinitionIds": [ 
                        "b24988ac-6180-42a0-ab88-20f7382dd24c", 
                        "92aaf0da-9dab-42b6-94a3-d43ce8d16293", 
                        "91c1777a-f3dc-4fae-b103-61d183457e46" 
                    ] 
                }                 
            ] 
        } 
    } 
}

Přiřazení zásad ke skupině pro správu

Jakmile upravíte zásadu pro vytváření přiřazení, můžete ji přiřadit na úrovni skupiny pro správu. Informace o tom, jak přiřadit zásadu a zobrazit výsledky stavu dodržování předpisů, najdete v tématu Rychlý start: Vytvoření přiřazení zásad.

Následující skript PowerShellu ukazuje, jak přidat definici zásady do zadané skupiny pro správu pomocí šablony a souboru parametrů, které jste vytvořili. Potřebujete vytvořit úlohu přiřazení a nápravy pro existující předplatná.

New-AzManagementGroupDeployment -Name <DeploymentName> -Location <location> -ManagementGroupId <ManagementGroupName> -TemplateFile <path to file> -TemplateParameterFile <path to parameter file> -verbose

Potvrzení úspěšného onboardingu

Existuje několik způsobů, jak ověřit, že se předplatná ve skupině pro správu úspěšně onboardovala. Další informace najdete v tématu Potvrzení úspěšného onboardingu.

Pokud ponecháte aplikaci logiky a zásady aktivní pro vaši skupinu pro správu, všechna nová předplatná přidaná do skupiny pro správu se také onboardují.

Další kroky