A felügyeleti csoport összes előfizetésének előkészítése
Az Azure Lighthouse lehetővé teszi az előfizetések és/vagy erőforráscsoportok delegálását, felügyeleti csoportokat azonban nem. Az Azure Policy használatával azonban egy felügyeleti csoport összes előfizetését delegálhatja egy felügyeleti bérlőnek.
A szabályzat a deployIfNotExists effektussal ellenőrzi, hogy a felügyeleti csoporton belüli előfizetések delegálva lettek-e a megadott felügyeleti bérlőhöz. Ha egy előfizetés még nincs delegálva, a szabályzat a paraméterekben megadott értékek alapján hozza létre az Azure Lighthouse-hozzárendelést. Ezután hozzáférhet a felügyeleti csoport összes előfizetéséhez, ugyanúgy, mintha manuálisan lettek volna előkészítve.
A szabályzat használatakor tartsa szem előtt a következőket:
- A felügyeleti csoport minden előfizetése azonos engedélykészlettel rendelkezik. A hozzáféréssel rendelkező felhasználók és szerepkörök megváltozásához manuálisan kell előkészítenie az előfizetéseket.
- Bár a felügyeleti csoport minden előfizetését előkészítjük, az Azure Lighthouse-on keresztül nem hajthat végre műveleteket a felügyeleti csoport erőforrásán. Önnek is ki kell választania az előfizetéseket, hogy működjenek, ugyanúgy, mint ha külön-külön kellene őket előkészíteni.
Ha az alábbiakban nincs megadva, ezeket a lépéseket az ügyfél bérlőjében lévő felhasználónak kell végrehajtania a megfelelő engedélyekkel.
Tipp.
Bár ebben a témakörben szolgáltatókra és ügyfelekre hivatkozunk, a több bérlőt kezelő vállalatok ugyanazokat a folyamatokat használhatják .
Az erőforrás-szolgáltató regisztrálása előfizetések között
A Microsoft.ManagedServices erőforrás-szolgáltató általában az előkészítési folyamat részeként regisztrálva van egy előfizetéshez. Ha a szabályzatot használja az előfizetések felügyeleti csoportokban való előkészítéséhez, az erőforrás-szolgáltatót előzetesen regisztrálni kell. Ezt megteheti egy közreműködő vagy tulajdonos felhasználó az ügyfél bérlőjében (vagy bármely olyan felhasználó, aki jogosult a /register/action művelet végrehajtására az erőforrás-szolgáltatónál). További információ: Azure-erőforrás-szolgáltatók és -típusok.
Az Azure Logic App használatával automatikusan regisztrálhatja az erőforrás-szolgáltatót az előfizetések között. Ez a logikai alkalmazás üzembe helyezhető az ügyfél bérlőjében korlátozott engedélyekkel, amelyek lehetővé teszik az erőforrás-szolgáltató regisztrálását egy felügyeleti csoport minden előfizetésében.
Emellett biztosítunk egy Azure Logic Appot is, amely üzembe helyezhető a szolgáltató bérlőjében. Ez a logikai alkalmazás hozzárendelheti az erőforrás-szolgáltatót több bérlő előfizetéseihez úgy , hogy bérlőszintű rendszergazdai jóváhagyást ad a Logikai alkalmazásnak. A bérlőszintű rendszergazdai hozzájárulás megadásához olyan felhasználóként kell bejelentkeznie, aki jogosult a szervezet nevében megadni a hozzájárulást. Vegye figyelembe, hogy ha ezzel a beállítással regisztrálja a szolgáltatót több bérlőn is, akkor is külön kell üzembe helyeznie a szabályzatot minden felügyeleti csoportban.
A paraméterfájl létrehozása
A szabályzat hozzárendeléséhez telepítse a deployLighthouseIfNotExistManagementGroup.json fájlt a mintaadattárból, valamint egy deployLighthouseIfNotExistsManagementGroup.parameters.json paraméterfájlt, amelyet a megadott bérlővel és hozzárendelési adatokkal szerkeszt. Ez a két fájl ugyanazokat a részleteket tartalmazza, amelyeket az egyes előfizetések előkészítéséhez használna.
Az alábbi példa egy paraméterfájlt mutat be, amely delegálja az előfizetéseket a Relecloud Managed Services-bérlőhöz, két egyszerű azonosítóhoz való hozzáféréssel: egy az 1. rétegbeli támogatáshoz, és egy olyan automation-fiókhoz, amely hozzárendelheti a delegáltRoleDefinitionIds azonosítókat az ügyfélbérlő felügyelt identitásaihoz.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"managedByName": {
"value": "Relecloud Managed Services"
},
"managedByDescription": {
"value": "Relecloud provides managed services to its customers"
},
"managedByTenantId": {
"value": "00000000-0000-0000-0000-000000000000"
},
"managedByAuthorizations": {
"value": [
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Tier 1 Support",
"roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
},
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Automation Account - Full access",
"roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"delegatedRoleDefinitionIds": [
"b24988ac-6180-42a0-ab88-20f7382dd24c",
"92aaf0da-9dab-42b6-94a3-d43ce8d16293",
"91c1777a-f3dc-4fae-b103-61d183457e46"
]
}
]
}
}
}
Szabályzat hozzárendelése felügyeleti csoporthoz
Miután szerkesztette a szabályzatot a hozzárendelések létrehozásához, hozzárendelheti azt a felügyeleti csoport szintjén. A szabályzatok hozzárendeléséről és a megfelelőségi állapot eredményeinek megtekintéséről a rövid útmutatóban olvashat : Szabályzat-hozzárendelés létrehozása.
Az alábbi PowerShell-szkript bemutatja, hogyan adhat hozzá szabályzatdefiníciót a megadott felügyeleti csoporthoz a létrehozott sablon és paraméterfájl használatával. Létre kell hoznia a hozzárendelési és szervizelési feladatot a meglévő előfizetésekhez.
New-AzManagementGroupDeployment -Name <DeploymentName> -Location <location> -ManagementGroupId <ManagementGroupName> -TemplateFile <path to file> -TemplateParameterFile <path to parameter file> -verbose
Sikeres előkészítés megerősítése
A felügyeleti csoportban lévő előfizetések előkészítésének több módja is van. További információ: A sikeres előkészítés megerősítése.
Ha a logikai alkalmazás és a szabályzat aktív marad a felügyeleti csoport számára, a felügyeleti csoporthoz hozzáadott új előfizetések is elő lesznek véve.
Következő lépések
- További információ az ügyfelek Azure Lighthouse-ba való előkészítéséről.
- További információ az Azure Policyról.
- További információ az Azure Logic Appsről.