Een delegatie bijwerken

Artikel
05/24/2023

Nadat u een abonnement (of resourcegroep) hebt toegevoegd aan Azure Lighthouse, moet u mogelijk wijzigingen aanbrengen. Uw klant kan bijvoorbeeld willen dat u aanvullende beheertaken uitvoert waarvoor een andere ingebouwde Azure-rol is vereist, of u moet mogelijk de tenant wijzigen waaraan een klantabonnement is gedelegeerd.

Tip

Hoewel we in dit onderwerp verwijzen naar serviceproviders en klanten, kunnen ondernemingen die meerdere tenants beheren , hetzelfde proces gebruiken om Azure Lighthouse in te stellen en hun beheerervaring te consolideren.

Als u uw klant onboarding hebt uitgevoerd via Azure Resource Manager-sjablonen (ARM-sjablonen), moet er een nieuwe implementatie worden uitgevoerd voor die klant. Afhankelijk van wat u wijzigt, kunt u de oorspronkelijke aanbieding bijwerken of de oorspronkelijke aanbieding verwijderen en een nieuwe aanbieding maken.

Alleen als u autorisaties wijzigt: u kunt uw delegatie bijwerken door de sectie autorisaties van de ARM-sjabloon te wijzigen.
Als u de beherende tenant wijzigt: u moet een nieuwe ARM-sjabloon maken met behulp van een andere mspOfferName dan uw vorige aanbieding.

Uw ARM-sjabloon bijwerken

Als u uw delegatie wilt bijwerken, moet u een ARM-sjabloon implementeren die de wijzigingen bevat die u wilt aanbrengen.

Als u alleen autorisaties bijwerkt (zoals het toevoegen van een nieuwe gebruikersgroep met een rol die u nog niet hebt opgenomen, of de rol voor een bestaande gebruiker wijzigt), kunt u dezelfde mspOfferName gebruiken als in de ARM-sjabloon die u hebt gebruikt voor de vorige overdracht. Gebruik uw vorige sjabloon als uitgangspunt. Breng vervolgens de benodigde wijzigingen aan, zoals het vervangen van een ingebouwde Azure-rol door een andere of het toevoegen van een volledig nieuwe autorisatie aan de sjabloon.

Als u mspOfferName wijzigt, wordt dit beschouwd als een nieuwe, afzonderlijke aanbieding. Dit is vereist als u de beherende tenant wijzigt.

U hoeft mspOfferName niet te wijzigen als de beherende tenant hetzelfde blijft. In de meeste gevallen raden we u aan om slechts één mspOfferName door dezelfde klant te gebruiken en de tenant te beheren. Als u ervoor kiest om een nieuwe mspOfferName voor uw sjabloon te maken, moet u ervoor zorgen dat de vorige delegatie van de klant wordt verwijderd voordat u de nieuwe implementeert.

De vorige delegatie verwijderen

Voordat u een nieuwe implementatie uitvoert, kunt u de toegang tot de vorige delegatie verwijderen. Dit zorgt ervoor dat alle eerdere machtigingen worden verwijderd, zodat u kunt beginnen met de exacte gebruikers/groepen en rollen die in de toekomst van toepassing moeten zijn.

Belangrijk

Als u een nieuwe mspOfferName gebruikt en dezelfde principalId-waarden behoudt, moet u de toegang tot de vorige overdracht verwijderen voordat u de nieuwe aanbieding implementeert. Als u de aanbieding niet eerst verwijdert, kunnen gebruikers die eerder toestemming hebben verleend, de toegang volledig verliezen vanwege conflicterende toewijzingen.

Als u de beherende tenant wijzigt, kunt u de vorige aanbieding behouden als u wilt dat beide tenants toegang blijven hebben. Als u alleen de nieuwe beherende tenant toegang wilt geven, moet de eerdere aanbieding worden verwijderd. Dit kan worden gedaan voor of na het onboarden van de nieuwe aanbieding.

Als u de aanbieding bijwerkt om alleen autorisaties aan te passen en dezelfde mspOfferName te behouden, hoeft u de vorige delegatie niet te verwijderen. De nieuwe implementatie vervangt de vorige delegatie en alleen de autorisaties in de nieuwste sjabloon zijn van toepassing.

Diagram dat laat zien wanneer mspOfferName moet worden gewijzigd en een eerdere delegatie moet worden verwijderd.

Het verwijderen van de toegang tot de delegatie kan worden uitgevoerd door elke gebruiker in de beherende tenant aan wie in de oorspronkelijke delegatie de rol Registratietoewijzing voor beheerde services is toegewezen. Als geen enkele gebruiker in uw beherende tenant deze rol heeft, kunt u de klant vragen om de toegang tot de aanbieding in de Azure Portal te verwijderen.

Tip

Als u de vorige delegatie hebt verwijderd, maar de nieuwe ARM-sjabloon niet kunt implementeren, moet u mogelijk de registratiedefinitie volledig verwijderen. Dit kan worden gedaan door elke gebruiker met een rol die de Microsoft.Authorization/roleAssignments/write machtiging heeft, zoals Eigenaar, in de tenant van de klant.

De ARM-sjabloon implementeren

Uw klant kan de bijgewerkte sjabloon op dezelfde manier implementeren als eerder: in de Azure Portal, met behulp van PowerShell of met behulp van Azure CLI.

Nadat de implementatie is voltooid, controleert u of deze is geslaagd. De bijgewerkte autorisaties zijn vervolgens van kracht voor het abonnement of de resourcegroep(en) die de klant heeft gedelegeerd.

Aanbiedingen voor beheerde services bijwerken

Als u uw klant onboardt via een beheerde serviceaanbieding die is gepubliceerd naar Azure Marketplace en u autorisaties wilt bijwerken, kunt u dit doen door een nieuwe versie van uw aanbieding te publiceren met updates voor de autorisaties in het plan voor die klant. De klant kan vervolgens de wijzigingen in de Azure Portal bekijken en de bijgewerkte versie accepteren.

Als u de beherende tenant wilt wijzigen, moet u een nieuwe beheerde serviceaanbieding maken en publiceren die de klant kan accepteren.

Belangrijk

We raden u aan niet meerdere aanbiedingen te hebben tussen dezelfde klant en het beheren van de tenant. Als u een nieuwe aanbieding publiceert voor een huidige klant die dezelfde beherende tenant gebruikt, moet u ervoor zorgen dat de eerdere aanbieding wordt verwijderd voordat de klant de nieuwere aanbieding accepteert.

Volgende stappen

Bekijk en beheer klanten door naar Mijn klanten te gaan in de Azure Portal.
Meer informatie over het verwijderen van toegang tot een delegatie waarvoor eerder onboarding is uitgevoerd.
Meer informatie over Azure Lighthouse-architectuur.

Delen via