Aggiornare una delega

Dopo aver eseguito l'onboarding di una sottoscrizione (o un gruppo di risorse) in Azure Lighthouse, potrebbe essere necessario apportare modifiche. Ad esempio, il cliente potrebbe voler eseguire attività di gestione aggiuntive che richiedono un ruolo predefinito di Azure diverso oppure potrebbe essere necessario modificare il tenant in cui viene delegata una sottoscrizione del cliente.

Suggerimento

Anche se si fa riferimento a provider di servizi e clienti in questo argomento, le aziende che gestiscono più tenant possono usare lo stesso processo per configurare Azure Lighthouse e consolidare l'esperienza di gestione.

Se il cliente è stato eseguito l'onboarding tramite modelli di Azure Resource Manager (modelli arm), è necessario eseguire una nuova distribuzione per tale cliente. A seconda di ciò che si sta modificando, è possibile aggiornare l'offerta originale o rimuovere l'offerta originale e crearne uno nuovo.

• Se si modificano solole autorizzazioni : è possibile aggiornare la delega modificando la sezione autorizzazioni del modello di Resource Manager.
• Se si modifica il tenant di gestione: è necessario creare un nuovo modello di Resource Manager usando un valore mspOfferName diverso rispetto all'offerta precedente.

Aggiornare il modello di Resource Manager

Per aggiornare la delega, sarà necessario distribuire un modello di Resource Manager che include le modifiche da apportare.

Se si aggiornano solo le autorizzazioni (ad esempio l'aggiunta di un nuovo gruppo di utenti con un ruolo non incluso in precedenza o la modifica del ruolo per un utente esistente), è possibile usare lo stesso mspOfferName usato nel modello arm usato per la delega precedente. Usare il modello precedente come punto di partenza. Apportare quindi le modifiche necessarie, ad esempio sostituendo un ruolo predefinito di Azure con un altro o aggiungendo un'autorizzazione completamente nuova al modello.

Se si modifica mspOfferName, verrà considerata una nuova offerta separata. Questa operazione è necessaria se si modifica il tenant di gestione.

Non è necessario modificare mspOfferName se il tenant di gestione rimane invariato. Nella maggior parte dei casi, è consigliabile avere un solo mspOfferName in uso dallo stesso cliente e gestire il tenant. Se si sceglie di creare un nuovo mspOfferName per il modello, assicurarsi che la delega precedente del cliente venga rimossa prima di distribuire quella nuova.

Rimuovere la delega precedente

Prima di eseguire una nuova distribuzione, è possibile rimuovere l'accesso alla delega precedente. Ciò garantisce che tutte le autorizzazioni precedenti vengano rimosse, consentendo di iniziare a pulire con gli utenti o i ruoli esatti che devono essere applicati in avanti.

Importante

Se si usa un nuovo mspOfferName e si mantiene uno degli stessi valori principalId , è necessario rimuovere l'accesso alla delega precedente prima di distribuire la nuova offerta. Se non si rimuove prima l'offerta, gli utenti che hanno concesso in precedenza l'autorizzazione potrebbero perdere completamente l'accesso a causa di assegnazioni in conflitto.

Se si modifica il tenant di gestione, è possibile lasciare l'offerta precedente se si desidera che entrambi i tenant continuino ad avere accesso. Se si vuole che il nuovo tenant di gestione abbia accesso, l'offerta precedente deve essere rimossa. Questa operazione può essere eseguita prima o dopo l'onboarding della nuova offerta.

Se si aggiorna l'offerta solo per modificare le autorizzazioni e mantenere lo stesso mspOfferName, non è necessario rimuovere la delega precedente. La nuova distribuzione sostituirà la delega precedente e verranno applicate solo le autorizzazioni nel modello più recente.

La rimozione dell'accesso alla delega può essere eseguita da qualsiasi utente nel tenant di gestione a cui è stato concesso il ruolo Di eliminazione assegnazione registrazione servizi gestiti nella delega originale. Se nessun utente nel tenant di gestione ha questo ruolo, è possibile chiedere al cliente di rimuovere l'accesso all'offerta nel portale di Azure.

Suggerimento

Se è stata rimossa la delega precedente, ma non è possibile distribuire il nuovo modello di Resource Manager, potrebbe essere necessario rimuovere completamente la definizione di registrazione. Questa operazione può essere eseguita da qualsiasi utente con un ruolo con l'autorizzazione Microsoft.Authorization/roleAssignments/write , ad esempio Proprietario, nel tenant del cliente.

Distribuire il modello di Resource Manager

Il cliente può distribuire il modello aggiornato nello stesso modo in cui ha fatto in precedenza: nella portale di Azure, usando PowerShell o usando l'interfaccia della riga di comando di Azure.

Al termine della distribuzione, verificare che sia stato eseguito correttamente. Le autorizzazioni aggiornate saranno quindi effettive per la sottoscrizione o i gruppi di risorse delegati dal cliente.

Aggiornamento delle offerte del servizio gestito

Se il cliente è stato eseguito l'onboarding tramite un'offerta di servizio gestito pubblicata in Azure Marketplace e si desidera aggiornare le autorizzazioni, è possibile pubblicarlo pubblicando una nuova versione dell'offerta con aggiornamenti alle autorizzazioni nel piano per tale cliente. Il cliente sarà quindi in grado di esaminare le modifiche nel portale di Azure e accettare la versione aggiornata.

Se si vuole modificare il tenant di gestione, è necessario creare e pubblicare una nuova offerta di servizio gestito per il cliente da accettare.

Importante

È consigliabile non avere più offerte tra lo stesso cliente e la gestione del tenant. Se si pubblica una nuova offerta per un cliente corrente che usa lo stesso tenant di gestione, assicurarsi che l'offerta precedente venga rimossa prima che il cliente accetti l'offerta più recente.

Passaggi successivi

• Visualizzare e gestire i clienti passando a Clienti personali nel portale di Azure.
• Informazioni su come rimuovere l'accesso a una delega di cui in precedenza è stato eseguito l'onboarding.
• Altre informazioni sull'architettura di Azure Lighthouse.