Incorporación de todas las suscripciones de un grupo de administración

  • Artículo

Azure Lighthouse permite delegar suscripciones o grupos de recursos, pero no grupos de administración. Sin embargo, puede usar una Azure Policy para delegar todas las suscripciones de un grupo de administración en un inquilino de administración.

La directiva usa el efecto deployIfNotExists para comprobar si cada suscripción del grupo de administración se ha delegado en el inquilino de administración especificado. Si alguna suscripción aún no está delegada, la directiva crea la asignación de Azure Lighthouse en función de los valores que proporcione en los parámetros. A continuación, tendrá acceso a todas las suscripciones del grupo de administración, exactamente igual que si cada una de ellas se hubiera incorporado manualmente.

Al usar esta directiva, tenga presente lo siguiente:

  • Cada suscripción del grupo de administración tendrá el mismo conjunto de autorizaciones. Para variar los usuarios y roles con acceso, tendrá que incorporar una suscripción manualmente.
  • Aunque se incorporarán todas las suscripciones del grupo de administración, no puede realizar acciones con el recurso del grupo de administración a través de Azure Lighthouse. Tendrá que seleccionar las suscripciones en las que trabajar, tal y como lo haría si se incorporaran por separado.

A menos que se especifique a continuación, todos estos pasos debe realizarlos un usuario en el inquilino del cliente con los permisos correspondientes.

Sugerencia

Aunque en este tema hacemos referencia a los proveedores de servicios y clientes, las empresas que administran varios inquilinos pueden usar los mismos procesos.

Registro del proveedor de recursos en varias suscripciones

Normalmente, el proveedor de recursos Microsoft.ManagedServices se registra para una suscripción como parte del proceso de incorporación. Si se usa la directiva para incorporar las suscripciones de un grupo de administración, el proveedor de recursos debe registrarse de antemano. Esta operación la puede hacer un usuario con los roles "Colaborador" o "Propietario" en el inquilino del cliente (o cualquier otro usuario que tenga permisos para hacer la operación /register/action para el proveedor de recursos). Para más información, vea Tipos y proveedores de recursos de Azure.

Puede usar una aplicación lógica de Azure para registrar automáticamente el proveedor de recursos en varias suscripciones. Esta aplicación lógica se puede implementar en el inquilino de un cliente con permisos limitados que le permitan registrar el proveedor de recursos en cada suscripción de un grupo de administración.

También proporcionamos una aplicación lógica de Azure que se puede implementar en el inquilino del proveedor de servicios. Esta aplicación lógica puede asignar el proveedor de recursos en las distintas suscripciones en varios inquilinos si se concede un consentimiento de administrador para todo el inquilino a la aplicación lógica. La concesión del consentimiento del administrador para todo el inquilino requiere que inicie sesión como un usuario que esté autorizado para dar su consentimiento en nombre de la organización. Tenga presente que, aunque use esta opción para registrar el proveedor en varios inquilinos, la directiva aún debe implementarse por separado en cada grupo de administración.

Creación de un archivo de parámetros

Para asignar la directriz, implemente el archivo deployLighthouseIfNotExistManagementGroup.json desde nuestro repositorio de ejemplos, junto con un archivo de parámetros deployLighthouseIfNotExistsManagementGroup.parameters.json que edite con sus detalles específicos del inquilino y de la asignación. Estos dos archivos contienen los mismos detalles que se usarían para incorporar una suscripción individual.

En el siguiente ejemplo se muestra un archivo de parámetros que delegará las suscripciones al inquilino de Servicios administrados de Relecloud, con acceso concedido a dos identificadores principales: uno para asistencia de nivel 1 y otro para una cuenta de automatización, que puede asignar la propiedad delegateRoleDefinitionIds a identidades administradas en el inquilino del cliente.

{ 
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#", 
    "contentVersion": "1.0.0.0", 
    "parameters": { 
        "managedByName": { 
            "value": "Relecloud Managed Services" 
        }, 
        "managedByDescription": { 
            "value": "Relecloud provides managed services to its customers" 
        }, 
        "managedByTenantId": { 
            "value": "00000000-0000-0000-0000-000000000000" 
        }, 
        "managedByAuthorizations": { 
            "value": [ 
                { 
                    "principalId": "00000000-0000-0000-0000-000000000000", 
                    "principalIdDisplayName": "Tier 1 Support", 
                    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c" 
                }, 
                { 
                    "principalId": "00000000-0000-0000-0000-000000000000", 
                    "principalIdDisplayName": "Automation Account - Full access", 
                    "roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9", 
                    "delegatedRoleDefinitionIds": [ 
                        "b24988ac-6180-42a0-ab88-20f7382dd24c", 
                        "92aaf0da-9dab-42b6-94a3-d43ce8d16293", 
                        "91c1777a-f3dc-4fae-b103-61d183457e46" 
                    ] 
                }                 
            ] 
        } 
    } 
}

Asignación de la directiva a un grupo de administración

Una vez que haya editado la directiva para crear las asignaciones, puede asignarla en el nivel de grupo de administración. Para obtener más información sobre cómo asignar una directiva y ver los resultados del estado de cumplimiento, consulte Inicio rápido: crear una asignación de directiva.

En el siguiente script de PowerShell se muestra cómo agregar la definición de directiva en el grupo de administración especificado, usando el archivo de plantilla y parámetros que ha creado. Debe crear la tarea de asignación y corrección para las suscripciones existentes.

New-AzManagementGroupDeployment -Name <DeploymentName> -Location <location> -ManagementGroupId <ManagementGroupName> -TemplateFile <path to file> -TemplateParameterFile <path to parameter file> -verbose

Confirmar la incorporación correcta

Hay varias maneras de comprobar que las suscripciones del grupo de administración se han incorporado correctamente. Para obtener más información, consulte Confirmación de la incorporación correcta.

Si mantiene la aplicación lógica y la directiva activas para el grupo de administración, también se incorporarán las nuevas suscripciones que se agreguen al grupo.

Pasos siguientes