Memperbarui delegasi
Setelah menyetorkan langganan (atau grup sumber daya) ke Azure Lighthouse, Anda mungkin perlu membuat beberapa perubahan. Misalnya, pelanggan Anda mungkin ingin Anda mengambil tugas manajemen tambahan yang memerlukan peran bawaan Azure yang berbeda, atau Anda mungkin perlu mengubah penyewa tempat langganan pelanggan didelegasikan.
Tip
Meskipun kami merujuk pada penyedia layanan dan pelanggan dalam topik ini, perusahaan yang mengelola beberapa penyewa dapat menggunakan proses yang sama untuk menyiapkan Azure Lighthouse dan mengkonsolidasikan pengalaman manajemen mereka.
Jika Anda menyetorkan pelanggan melalui templat Azure Resource Manager (templat ARM), Anda perlu melakukan penyebaran baru untuk pelanggan tersebut. Bergantung pada apa yang Anda ubah, Anda mungkin perlu memperbarui penawaran asli, atau menghapus penawaran asli tersebut dan membuat penawaran baru.
- Jika hanya mengubah otorisasi: Anda dapat memperbarui delegasi dengan mengubah bagian otorisasi dari templat ARM.
- Jika mengubah penyewa pengelola: Anda perlu membuat templat ARM baru menggunakan mspOfferName yang berbeda dari penawaran Anda sebelumnya.
Memperbarui templat ARM Anda
Untuk memperbarui delegasi, Anda perlu menyebarkan templat ARM yang menyertakan perubahan yang ingin Anda buat.
Jika hanya memperbarui otorisasi (seperti menambahkan grup pengguna baru dengan peran yang sebelumnya tidak Anda sertakan, atau mengubah peran untuk pengguna yang sudah ada), Anda dapat menggunakan mspOfferName yang sama seperti dalam templat ARM yang Anda gunakan untuk delegasi sebelumnya. Gunakan templat Anda sebelumnya sebagai titik awal. Kemudian, buat perubahan yang Anda butuhkan, seperti mengganti satu peran bawaan Azure dengan yang lain, atau menambahkan otorisasi yang benar-benar baru ke templat.
Jika Anda mengubah mspOfferName, hal ini akan dianggap sebagai penawaran baru yang terpisah. Perubahan tersebut diperlukan jika Anda mengubah penyewa pengelola.
Anda tidak perlu mengubah mspOfferName jika penyewa pengelola tetap sama. Dalam kebanyakan kasus, disarankan agar hanya satu mspOfferName yang digunakan oleh penyewa pengelola dan pelanggan yang sama. Jika Anda memilih untuk membuat mspOfferName baru untuk templat Anda, pastikan delegasi pelanggan sebelumnya dihapus sebelum menyebarkan yang baru.
Menghapus delegasi sebelumnya
Sebelum melakukan penyebaran baru, Anda mungkin perlu menghapus akses ke delegasi sebelumnya. Tindakan ini memastikan bahwa semua izin sebelumnya dihapus, memungkinkan Anda untuk memulai awal yang baru dengan pengguna/grup dan peran yang tepat yang akan diterapkan dari sekarang.
Penting
Jika Anda menggunakan mspOfferName baru dan menyimpan salah satu nilai principalId yang sama, Anda harus menghapus akses ke delegasi sebelumnya sebelum menerapkan penawaran baru. Jika tidak menghapus penawaran terlebih dahulu, pengguna yang sebelumnya telah diberikan izin dapat kehilangan akses sepenuhnya karena penugasaan yang berkonflik.
Jika Anda mengubah penyewa pengelola, Anda dapat meninggalkan penawaran sebelumnya jika Anda ingin kedua penyewa terus memiliki akses. Jika ingin hanya penyewa pengelola baru yang memiliki akses, penawaran sebelumnya harus dihapus. Tindakan ini dapat dilakukan baik sebelum atau setelah Anda menyetor penawaran baru.
Jika Anda memperbarui penawaran hanya untuk menyesuaikan otorisasi, dan mempertahankan mspOfferName yang sama, Anda tidak perlu menghapus delegasi sebelumnya. Penyebaran baru akan mengganti delegasi sebelumnya, dan hanya otorisasi di templat terbaru yang akan berlaku.
Menghapus akses ke delegasi dapat dilakukan oleh pengguna mana pun di penyewa pengelola yang diberi Peran Penghapusan Penugasan Layanan Terkelola dalam delegasi asli. Jika tidak ada pengguna di penyewa pengelola Anda yang memiliki peran ini, minta pelanggan untuk menghapus akses ke penawaran di portal Azure.
Tip
Jika Anda telah menghapus delegasi sebelumnya tetapi tidak dapat menyebarkan templat ARM baru, Anda mungkin perlu menghapus definisi pendaftaran sepenuhnya. Tindakan ini dapat dilakukan oleh setiap pengguna dengan peran yang memiliki izin Microsoft.Authorization/roleAssignments/write, seperti Pemilik, di penyewa pelanggan.
Menyebarkan templat ARM
Pelanggan Anda dapat menyebarkan templat yang diperbarui dengan cara yang sama seperti sebelumnya: di portal Azure, dengan menggunakan PowerShell, atau dengan menggunakan Azure CLI.
Setelah penyebaran selesai, konfirmasikan bahwa penyebaran berhasil. Otorisasi yang diperbarui kemudian akan berlaku untuk langganan atau grup sumber daya yang telah didelegasikan oleh pelanggan.
Memperbarui penawaran Layanan Terkelola
Jika Anda menyetorkan pelanggan melalui penawaran Layanan Terkelola yang diterbitkan ke Azure Marketplace, dan ingin memperbarui otorisasi, Anda dapat melakukannya dengan menerbitkan versi baru penawaran Anda dengan pembaruan otorisasi dalam paket untuk pelanggan tersebut. Pelanggan kemudian akan dapat meninjau perubahan dalam portal Azure dan menerima versi yang diperbarui.
Jika Anda ingin mengubah penyewa pengelola, Anda harus membuat dan menerbitkan penawaran Layanan Terkelola baru untuk diterima pelanggan.
Penting
Sebaiknya jangan memiliki beberapa penawaran antara pelanggan yang sama dan mengelola penyewa. Jika Anda menerbitkan penawaran baru untuk pelanggan saat ini yang menggunakan penyewa pengelola yang sama, pastikan bahwa penawaran sebelumnya dihapus sebelum pelanggan menerima penawaran yang lebih baru.
Langkah berikutnya
- Menampilkan dan mengelola pelanggan dengan masuk ke Pelanggan aaya di portal Microsoft Azure.
- Pelajari cara menghapus akses ke delegasi yang sebelumnya disetor.
- Pelajari selengkapnya tentang arsitektur Azure Lighthouse.