Meng-onboard semua langganan dalam satu grup manajemen
Azure Lighthouse mengizinkan delegasi grup langganan dan/atau sumber daya, tapi tidak bisa pada grup manajemen. Namun, Anda dapat menggunakan Azure Policy untuk mendelegasikan semua langganan dalam grup manajemen ke penyewa pengelola.
Kebijakan ini menggunakan efek deployIfNotExists untuk memeriksa apakah setiap langganan dalam grup manajemen telah didelegasikan ke penyewa pengelola yang ditentukan. Jika langganan belum didelegasikan, kebijakan tersebut membuat penugasan Azure Lighthouse berdasarkan nilai yang Anda sediakan dalam parameter itu. Anda kemudian akan memiliki akses ke semua langganan dalam grup manajemen, seolah-olah mereka masing-masing telah dionboard secara manual.
Saat menggunakan kebijakan ini, ingat:
- Setiap langganan dalam grup manajemen akan memiliki kumpulan otorisasi yang sama. Untuk memvariasikan pengguna dan peran yang diberikan akses, Anda harus melakukan onboarding langganan secara manual.
- Sementara setiap langganan dalam grup manajemen akan di-onboard, Anda tidak dapat mengambil tindakan pada sumber daya grup manajemen melalui Azure Lighthouse. Anda akan perlu memilih langganan untuk bekerja, seperti yang Anda akan lakukan jika langganan di-onboard secara individual.
Kecuali ditentukan di bawah ini, semua langkah ini harus dilakukan oleh pengguna dalam penyewa pelanggan dengan izin yang sesuai.
Tip
Meskipun kami mengacu pada penyedia layanan dan pelanggan dalam topik ini, perusahaan yang mengelola banyak penyewa dapat menggunakan proses yang sama.
Mendaftarkan penyedia sumber daya di seluruh langganan
Biasanya, penyedia sumber daya Microsoft.ManagedServices terdaftar untuk berlangganan sebagai bagian dari proses onboarding. Saat menggunakan kebijakan untuk meng-onboard langganan dalam grup manajemen, penyedia sumber daya harus terdaftar terlebih dahulu. Hal ini dapat diselesaikan oleh pengguna Kontributor atau Pemilik dalam penyewa pelanggan (atau pengguna mana pun yang memiliki izin untuk menjalankan operasi /register/actionuntuk penyedia sumber). Untuk informasi selengkapnya, lihat Penyedia dan jenis sumber daya Azure.
Anda dapat menggunakan Aplikasi Azure Logic untuk secara otomatis mendaftarkan penyedia sumber daya di seluruh langganan. Aplikasi Logika ini dapat disebarkan dalam penyewa pelanggan dengan izin terbatas yang mengizinkannya untuk mendaftarkan penyedia sumber daya di setiap langganan dalam grup manajemen.
Kami juga menyediakan Azure Logic App yang dapat disebarkan di penyewa penyedia layanan. Aplikasi Logika ini dapat menetapkan penyedia sumber daya di seluruh langganan di beberapa penyewa dengan memberikan izin admin seluruh penyewa ke Aplikasi Logika. Memberikan persetujuan admin seluruh penyewa mengharuskan Anda untuk masuk sebagai pengguna yang diberi otorisasi untuk memberikan persetujuan atas nama organisasi. Perhatikan bahwa meskipun Anda menggunakan opsi ini untuk mendaftarkan penyedia di beberapa penyewa, Anda masih perlu menyebarkan kebijakan satu per satu untuk setiap grup manajemen.
Membuat file parameter Anda
Untuk menetapkan kebijakan, sebarkan file deployLighthouseIfNotExistManagementGroup.json dari repositori sampel kami, bersama dengan file parameter deployLighthouseIfNotExistsManagementGroup.parameters.json yang Anda edit dengan detail penyewa dan penugasan spesifik Anda. Kedua file ini berisi detail yang sama yang akan digunakan untuk meng-onboard langganan individu.
Contoh di bawah ini menunjukkan file parameter yang akan mendelegasikan langganan ke penyewa Relecloud Managed Services, dengan izin akses yang diberikan kepada dua principalID: satu untuk Dukungan Tingkat 1, dan satu akun automasi yang dapat menetapkan delegateRoleDefinitionIds ke identitas terkelola di penyewa pelanggan.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"managedByName": {
"value": "Relecloud Managed Services"
},
"managedByDescription": {
"value": "Relecloud provides managed services to its customers"
},
"managedByTenantId": {
"value": "00000000-0000-0000-0000-000000000000"
},
"managedByAuthorizations": {
"value": [
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Tier 1 Support",
"roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
},
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Automation Account - Full access",
"roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"delegatedRoleDefinitionIds": [
"b24988ac-6180-42a0-ab88-20f7382dd24c",
"92aaf0da-9dab-42b6-94a3-d43ce8d16293",
"91c1777a-f3dc-4fae-b103-61d183457e46"
]
}
]
}
}
}
Menetapkan kebijakan ke grup manajemen
Setelah Anda telah mengedit kebijakan untuk membuat tugas Anda, Anda dapat menetapkannya di tingkat grup manajemen. Untuk mempelajari cara menetapkan kebijakan dan melihat hasil status kepatuhan, lihat Mulai Cepat: Membuat penetapan kebijakan.
Skrip PowerShell di bawah ini menunjukkan cara menambahkan definisi kebijakan di bawah grup manajemen yang ditentukan, menggunakan file templat dan parameter yang Anda buat. Anda perlu membuat tugas penugasan dan pemulihan untuk langganan yang ada.
New-AzManagementGroupDeployment -Name <DeploymentName> -Location <location> -ManagementGroupId <ManagementGroupName> -TemplateFile <path to file> -TemplateParameterFile <path to parameter file> -verbose
Konfirmasikan keberhasilan orientasi
Ada beberapa cara untuk memverifikasi bahwa langganan dalam grup manajemen berhasil di-onboarding. Untuk informasi selengkapnya, lihat Mengonfirmasi onboarding yang sukses.
Jika Anda menjaga Aplikasi Logika dan kebijakan tetap aktif untuk grup manajemen Anda, setiap langganan baru yang ditambahkan ke grup manajemen juga akan di-onboard.
Langkah berikutnya
- Pelajari selengkapnya tentang meng-onboard pelanggan ke Azure Lighthouse.
- Pelajari tentang Azure Policy.
- Pelajari tentang Azure Logic Apps.