Eseguire l'onboarding di tutte le sottoscrizioni in un gruppo di gestione

  • Articolo

Azure Lighthouse consente la delega di sottoscrizioni e/o gruppi di risorse, ma non di gruppi di gestione. È tuttavia possibile usare un Criteri di Azure per delegare tutte le sottoscrizioni all'interno di un gruppo di gestione a un tenant di gestione.

Il criterio usa l'effetto deployIfNotExists per verificare se ogni sottoscrizione all'interno del gruppo di gestione è stata delegata al tenant di gestione specificato. Se una sottoscrizione non è già delegata, il criterio crea l'assegnazione di Azure Lighthouse in base ai valori specificati nei parametri. Sarà quindi possibile accedere a tutte le sottoscrizioni nel gruppo di gestione, come se fossero state caricate manualmente.

Quando si usa questo criterio, tenere presente quanto segue:

  • Ogni sottoscrizione all'interno del gruppo di gestione avrà lo stesso set di autorizzazioni. Per variare gli utenti e i ruoli a cui è concesso l'accesso, è necessario eseguire manualmente l'onboarding delle sottoscrizioni.
  • Mentre ogni sottoscrizione nel gruppo di gestione verrà eseguita l'onboarding, non è possibile eseguire azioni sulla risorsa del gruppo di gestione tramite Azure Lighthouse. È necessario selezionare le sottoscrizioni da usare, proprio come se fossero state caricate singolarmente.

A meno che non sia specificato di seguito, tutti questi passaggi devono essere eseguiti da un utente nel tenant del cliente con le autorizzazioni appropriate.

Suggerimento

Anche se si fa riferimento a provider di servizi e clienti in questo argomento, le aziende che gestiscono più tenant possono usare gli stessi processi.

Registrare il provider di risorse tra sottoscrizioni

In genere, il provider di risorse Microsoft.ManagedServices viene registrato per una sottoscrizione come parte del processo di onboarding. Quando si usano i criteri per eseguire l'onboarding delle sottoscrizioni in un gruppo di gestione, il provider di risorse deve essere registrato in anticipo. Questa operazione può essere eseguita da un utente collaboratore o proprietario nel tenant del cliente (o da qualsiasi utente che dispone delle autorizzazioni per eseguire l'operazione /register/action per il provider di risorse). Per altre informazioni, vedere Provider e tipi di risorse di Azure.

È possibile usare un'app per la logica di Azure per registrare automaticamente il provider di risorse tra sottoscrizioni. Questa app per la logica può essere distribuita nel tenant di un cliente con autorizzazioni limitate che consentono di registrare il provider di risorse in ogni sottoscrizione all'interno di un gruppo di gestione.

È anche disponibile un'app per la logica di Azure che può essere distribuita nel tenant del provider di servizi. Questa app per la logica può assegnare il provider di risorse tra sottoscrizioni in più tenant concedendole il consenso amministratore a livello di tenant all'app per la logica. Per la concessione del consenso amministratore a livello di tenant è necessario accedere come utente autorizzato a concedere il consenso per conto dell'organizzazione. Si noti che, anche se si usa questa opzione per registrare il provider in più tenant, è comunque necessario distribuire i criteri singolarmente per ogni gruppo di gestione.

Creare il file di parametri

Per assegnare il criterio, distribuire il file deployLighthouseIfNotExistManagementGroup.json dal repository di esempi, insieme a un file di parametri deployLighthouseIfNotExistsManagementGroup.parameters.json modificato con i dettagli specifici del tenant e dell'assegnazione. Questi due file contengono gli stessi dettagli che verranno usati per eseguire l'onboarding di una singola sottoscrizione.

L'esempio seguente mostra un file di parametri che delega le sottoscrizioni al tenant di Servizi gestiti Relecloud, con accesso concesso a due principalID: uno per il supporto di livello 1 e un account di automazione che può assegnare il delegatoRoleDefinitionIds alle identità gestite nel tenant del cliente.

{ 
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#", 
    "contentVersion": "1.0.0.0", 
    "parameters": { 
        "managedByName": { 
            "value": "Relecloud Managed Services" 
        }, 
        "managedByDescription": { 
            "value": "Relecloud provides managed services to its customers" 
        }, 
        "managedByTenantId": { 
            "value": "00000000-0000-0000-0000-000000000000" 
        }, 
        "managedByAuthorizations": { 
            "value": [ 
                { 
                    "principalId": "00000000-0000-0000-0000-000000000000", 
                    "principalIdDisplayName": "Tier 1 Support", 
                    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c" 
                }, 
                { 
                    "principalId": "00000000-0000-0000-0000-000000000000", 
                    "principalIdDisplayName": "Automation Account - Full access", 
                    "roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9", 
                    "delegatedRoleDefinitionIds": [ 
                        "b24988ac-6180-42a0-ab88-20f7382dd24c", 
                        "92aaf0da-9dab-42b6-94a3-d43ce8d16293", 
                        "91c1777a-f3dc-4fae-b103-61d183457e46" 
                    ] 
                }                 
            ] 
        } 
    } 
}

Assegnare i criteri a un gruppo di gestione

Dopo aver modificato i criteri per creare le assegnazioni, è possibile assegnarla a livello di gruppo di gestione. Per informazioni su come assegnare criteri e visualizzare i risultati dello stato di conformità, vedere Guida introduttiva: Creare un'assegnazione di criteri.

Lo script di PowerShell seguente illustra come aggiungere la definizione dei criteri nel gruppo di gestione specificato, usando il modello e il file di parametri creati. È necessario creare l'attività di assegnazione e correzione per le sottoscrizioni esistenti.

New-AzManagementGroupDeployment -Name <DeploymentName> -Location <location> -ManagementGroupId <ManagementGroupName> -TemplateFile <path to file> -TemplateParameterFile <path to parameter file> -verbose

Verificare che l'onboarding sia riuscito

Esistono diversi modi per verificare che le sottoscrizioni nel gruppo di gestione siano state eseguite correttamente. Per altre informazioni, vedere Confermare l'onboarding riuscito.

Se si mantiene attiva l'app per la logica e i criteri per il gruppo di gestione, verranno caricate anche le nuove sottoscrizioni aggiunte al gruppo di gestione.

Passaggi successivi