Felügyeleti csoport összes előfizetésének előkészítése
Az Azure Lighthouse lehetővé teszi az előfizetések és/vagy erőforráscsoportok delegálását, felügyeleti csoportokat azonban nem. Egy Azure Policy azonban egy felügyeleti csoport összes előfizetését delegálhatja egy felügyeleti bérlőnek.
A szabályzat a deployIfNotExists effektust használja annak ellenőrzésére, hogy a felügyeleti csoporton belüli előfizetések delegálva lettek-e a megadott felügyeleti bérlőre. Ha egy előfizetés még nincs delegálva, a szabályzat a paraméterekben megadott értékek alapján hozza létre az Azure Lighthouse-hozzárendelést. Ezután hozzáférhet a felügyeleti csoport összes előfizetéséhez, mintha manuálisan lettek volna előkészítve.
A szabályzat használatakor tartsa szem előtt a következőket:
- A felügyeleti csoport minden előfizetése ugyanazokkal az engedélyekkel rendelkezik. A hozzáféréssel rendelkező felhasználók és szerepkörök módosítása érdekében manuálisan kell előkészítenie az előfizetéseket.
- Bár a felügyeleti csoport minden előfizetését előkészítjük, nem végezhet műveleteket a felügyeleti csoport erőforrásán az Azure Lighthouse-on keresztül. Ki kell választania az előfizetéseket, hogy működjenek, ugyanúgy, mintha külön-külön lettek volna előkészítve.
Ha az alábbiakban nincs megadva, az összes lépést az ügyfél bérlőjében lévő felhasználónak kell végrehajtania a megfelelő engedélyekkel.
Tipp
Bár ebben a témakörben a szolgáltatókra és az ügyfelekre hivatkozunk, a több bérlőt kezelő vállalatok ugyanazokat a folyamatokat használhatják.
Az erőforrás-szolgáltató regisztrálása előfizetések között
A Microsoft.ManagedServices erőforrás-szolgáltató általában az előkészítési folyamat részeként regisztrálva van egy előfizetéshez. Ha a szabályzatot használja az előfizetések felügyeleti csoportban való előkészítéséhez, az erőforrás-szolgáltatót előzetesen regisztrálni kell. Ezt megteheti egy közreműködő vagy tulajdonos felhasználó az ügyfél bérlőjében (vagy bármely olyan felhasználó, aki rendelkezik engedéllyel a /register/action művelet végrehajtásához az erőforrás-szolgáltatónál). További információ: Azure-erőforrás-szolgáltatók és -típusok.
Az Azure Logic App használatával automatikusan regisztrálhatja az erőforrás-szolgáltatót az előfizetések között. Ez a logikai alkalmazás korlátozott engedélyekkel helyezhető üzembe egy ügyfél bérlőjében, amely lehetővé teszi az erőforrás-szolgáltató regisztrálását egy felügyeleti csoport minden előfizetésében.
Emellett biztosítunk egy Azure Logic Appot is, amely üzembe helyezhető a szolgáltató bérlőjében. Ez a logikai alkalmazás hozzárendelheti az erőforrás-szolgáltatót több bérlő előfizetéseihez úgy, hogy bérlőszintű rendszergazdai hozzájárulást ad a logikai alkalmazásnak. A bérlőszintű rendszergazdai hozzájárulás megadásához olyan felhasználóként kell bejelentkeznie, aki jogosult a szervezet nevében megadni a hozzájárulást. Vegye figyelembe, hogy még ha ezzel a beállítással is regisztrálja a szolgáltatót több bérlőn, akkor is egyenként kell üzembe helyeznie a szabályzatot az egyes felügyeleti csoportokhoz.
A paraméterfájl létrehozása
A szabályzat hozzárendeléséhez telepítse a deployLighthouseIfNotExistManagementGroup.json fájlt a mintaadattárból, valamint egy deployLighthouseIfNotExistsManagementGroup.parameters.json paraméterfájlt, amelyet az adott bérlővel és hozzárendelési adatokkal szerkeszt. Ez a két fájl ugyanazokat a részleteket tartalmazza, amelyeket az egyes előfizetések előkészítéséhez használnának.
Az alábbi példa egy paraméterfájlt mutat be, amely delegálja az előfizetéseket a Relecloud Managed Services-bérlőre, két egyszerű azonosítóhoz való hozzáféréssel: egy az 1. rétegbeli támogatáshoz, és egy olyan automation-fiókhoz, amely hozzárendelheti a delegáltRoleDefinitionId-eket az ügyfélbérlő felügyelt identitásaihoz.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"managedByName": {
"value": "Relecloud Managed Services"
},
"managedByDescription": {
"value": "Relecloud provides managed services to its customers"
},
"managedByTenantId": {
"value": "00000000-0000-0000-0000-000000000000"
},
"managedByAuthorizations": {
"value": [
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Tier 1 Support",
"roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
},
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Automation Account - Full access",
"roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"delegatedRoleDefinitionIds": [
"b24988ac-6180-42a0-ab88-20f7382dd24c",
"92aaf0da-9dab-42b6-94a3-d43ce8d16293",
"91c1777a-f3dc-4fae-b103-61d183457e46"
]
}
]
}
}
}
Szabályzat hozzárendelése felügyeleti csoporthoz
Miután szerkesztette a szabályzatot a hozzárendelések létrehozásához, hozzárendelheti azt a felügyeleti csoport szintjén. A szabályzatok hozzárendeléséről és a megfelelőségi állapot eredményeinek megtekintéséről a Rövid útmutató: Szabályzat-hozzárendelés létrehozása című témakörben olvashat.
Az alábbi PowerShell-szkript bemutatja, hogyan adhatja hozzá a szabályzatdefiníciót a megadott felügyeleti csoporthoz a létrehozott sablon és paraméterfájl használatával. Létre kell hoznia a hozzárendelési és szervizelési feladatot a meglévő előfizetésekhez.
New-AzManagementGroupDeployment -Name <DeploymentName> -Location <location> -ManagementGroupId <ManagementGroupName> -TemplateFile <path to file> -TemplateParameterFile <path to parameter file> -verbose
Sikeres előkészítés megerősítése
A felügyeleti csoport előfizetéseinek előkészítését többféleképpen is ellenőrizheti. További információ: A sikeres előkészítés megerősítése.
Ha a logikai alkalmazás és a szabályzat aktív marad a felügyeleti csoport számára, a felügyeleti csoporthoz hozzáadott új előfizetések is bevezetésre kerülnek.
Következő lépések
- További információ az ügyfelek Azure Lighthouse-ba történő előkészítéséről.
- További információ a Azure Policy.
- Az Azure Logic Apps ismertetése.