Aktualizace delegování

Po onboardingu předplatného (nebo skupiny prostředků) do služby Azure Lighthouse možná budete muset provést změny. Zákazník může například chtít, abyste provedli další úlohy správy, které vyžadují jinou předdefinovanou roli Azure, nebo možná budete muset změnit tenanta, na kterého se zákaznické předplatné deleguje.

Tip

I když v tomto tématu odkazujeme na poskytovatele služeb a zákazníky, podniky spravující více tenantů můžou použít stejný proces k nastavení Služby Azure Lighthouse a konsolidaci svých prostředí pro správu.

Pokud jste zákazníka onboardovali prostřednictvím šablon Azure Resource Manager (šablon ARM), musí se pro daného zákazníka provést nové nasazení. V závislosti na tom, co měníte, můžete chtít původní nabídku aktualizovat nebo původní nabídku odebrat a vytvořit novou.

• Pokud měníte pouze autorizaci: Delegování můžete aktualizovat změnou oddílu autorizace v šabloně ARM.
• Pokud měníte spravovaného tenanta: Musíte vytvořit novou šablonu ARM s použitím jiného názvu mspOfferName než vaše předchozí nabídka.

Aktualizace šablony ARM

Pokud chcete delegování aktualizovat, budete muset nasadit šablonu ARM, která obsahuje změny, které chcete provést.

Pokud pouze aktualizujete autorizace (například přidáváte novou skupinu uživatelů s rolí, kterou jste předtím nezahrávali, nebo měníte roli pro existujícího uživatele), můžete použít stejný mspOfferName jako v šabloně ARM , kterou jste použili pro předchozí delegování. Jako výchozí bod použijte předchozí šablonu. Pak proveďte potřebné změny, například nahrazení jedné předdefinované role Azure jinou nebo přidání zcela nové autorizace do šablony.

Pokud změníte mspOfferName, bude tato nabídka považována za novou, samostatnou nabídku. To se vyžaduje, pokud měníte tenanta pro správu.

Pokud tenant pro správu zůstane stejný, nemusíte měnit název mspOfferName . Ve většině případů doporučujeme, aby stejný zákazník používal pouze jeden mspOfferName a spravoval tenanta. Pokud se rozhodnete pro šablonu vytvořit nové mspOfferName , před nasazením nového delegování se ujistěte, že je odebrané předchozí delegování zákazníka.

Odebrání předchozího delegování

Před provedením nového nasazení můžete odebrat přístup k předchozímu delegování. Tím se zajistí, že se odeberou všechna předchozí oprávnění, což vám umožní začít s přesnými uživateli/skupinami a rolemi, které by se měly v budoucnu použít.

Důležité

Pokud použijete nový mspOfferName a zachováte některou ze stejných hodnot principalId , musíte před nasazením nové nabídky odebrat přístup k předchozímu delegování. Pokud nabídku nejprve neodeberete, můžou uživatelé, kteří dříve udělili oprávnění, přijít o přístup kvůli konfliktním přiřazením.

Pokud měníte tenanta pro správu, můžete předchozí nabídku ponechat v platnosti, pokud chcete, aby oba tenanti měli dál přístup. Pokud chcete, aby přístup měl jenom nový spravovaný tenant, je potřeba odebrat předchozí nabídku. Můžete to udělat před nasazením nové nabídky nebo po jejím nasazení.

Pokud aktualizujete nabídku pouze na úpravu autorizace a zachováte stejný mspOfferName, nemusíte předchozí delegování odebírat. Nové nasazení nahradí předchozí delegování a budou platit pouze autorizace v nejnovější šabloně.

Přístup k delegování může odebrat libovolný uživatel ve spravovaném tenantovi, kterému byla v původním delegování udělena role odstranění přiřazení registrace spravovaných služeb . Pokud tuto roli nemá žádný uživatel ve vašem spravovaném tenantovi, můžete zákazníka požádat, aby odebral přístup k nabídce v Azure Portal.

Tip

Pokud jste odebrali předchozí delegování, ale nemůžete nasadit novou šablonu ARM, možná budete muset definici registrace úplně odebrat. To může udělat každý uživatel s rolí, která má Microsoft.Authorization/roleAssignments/write oprávnění, například Vlastník, v tenantovi zákazníka.

Nasazení šablony ARM

Zákazník může aktualizovanou šablonu nasadit stejným způsobem jako dříve: v Azure Portal, pomocí PowerShellu nebo Azure CLI.

Po dokončení nasazení ověřte, že bylo úspěšné. Aktualizované autorizace pak budou platit pro předplatná nebo skupiny prostředků, které zákazník delegoval.

Aktualizace nabídek spravované služby

Pokud jste zákazníka onboardovali prostřednictvím nabídky spravované služby publikované v Azure Marketplace a chcete aktualizovat autorizace, můžete to udělat publikováním nové verze nabídky s aktualizacemi autorizací v plánu pro daného zákazníka. Zákazník pak bude moct zkontrolovat změny v Azure Portal a přijmout aktualizovanou verzi.

Pokud chcete změnit tenanta pro správu, budete muset vytvořit a publikovat novou nabídku spravované služby , kterou zákazník přijme.

Důležité

Doporučujeme, abyste neměli více nabídek mezi stejným zákazníkem a správou tenanta. Pokud publikujete novou nabídku pro aktuálního zákazníka, který používá stejného spravovaného tenanta, nezapomeňte před tím, než zákazník přijme novější nabídku, odebrat dřívější nabídku.

Další kroky

• Zobrazte a spravujte zákazníky tak, že přejdete na moji zákazníci v Azure Portal.
• Zjistěte, jak odebrat přístup k delegování , které bylo dříve nasazené.
• Přečtěte si další informace o architektuře Azure Lighthouse.