Alle abonnementen in een beheergroep onboarden
Met Azure Lighthouse kunt u abonnementen en/of resourcegroepen delegeren, maar niet met beheergroepen. U kunt echter een Azure Policy gebruiken om alle abonnementen binnen een beheergroep te delegeren aan een beherende tenant.
Het beleid maakt gebruik van het effect deployIfNotExists om te controleren of elk abonnement in de beheergroep is gedelegeerd aan de opgegeven beheertenant. Als een abonnement nog niet is gedelegeerd, maakt het beleid de Azure Lighthouse-toewijzing op basis van de waarden die u in de parameters opgeeft. Vervolgens hebt u toegang tot alle abonnementen in de beheergroep, net zoals wanneer ze handmatig waren toegevoegd.
Houd bij het gebruik van dit beleid rekening met het volgende:
- Elk abonnement binnen de beheergroep heeft dezelfde set autorisaties. Als u de gebruikers en rollen wilt variëren die toegang krijgen, moet u handmatig abonnementen onboarden.
- Hoewel elk abonnement in de beheergroep wordt geïmplementeerd, kunt u geen acties uitvoeren op de resource van de beheergroep via Azure Lighthouse. U moet abonnementen selecteren waaraan u wilt werken, net zoals u zou doen als ze afzonderlijk werden ge onboardd.
Tenzij hieronder wordt opgegeven, moeten al deze stappen worden uitgevoerd door een gebruiker in de tenant van de klant met de juiste machtigingen.
Tip
Hoewel we in dit onderwerp verwijzen naar serviceproviders en klanten, kunnen ondernemingen die meerdere tenants beheren dezelfde processen gebruiken.
De resourceprovider registreren voor abonnementen
Normaal gesproken wordt de resourceprovider Microsoft.ManagedServices geregistreerd voor een abonnement als onderdeel van het onboardingproces. Wanneer u het beleid gebruikt om abonnementen in een beheergroep te onboarden, moet de resourceprovider vooraf worden geregistreerd. Dit kan worden gedaan door een inzender of eigenaargebruiker in de tenant van de klant (of elke gebruiker die gemachtigd is om de bewerking voor de /register/action resourceprovider uit te voeren). Zie Azure-resourceproviders en -typen voor meer informatie.
U kunt een logische Azure-app gebruiken om de resourceprovider automatisch te registreren voor abonnementen. Deze logische app kan worden geïmplementeerd in de tenant van een klant met beperkte machtigingen waarmee de resourceprovider kan worden geregistreerd in elk abonnement binnen een beheergroep.
We bieden ook een logische Azure-app die kan worden geïmplementeerd in de tenant van de serviceprovider. Met deze logische app kan de resourceprovider worden toegewezen aan abonnementen in meerdere tenants door beheerderstoestemming voor de hele tenant te verlenen aan de logische app. Voor het verlenen van beheerderstoestemming voor de hele tenant moet u zich aanmelden als een gebruiker die gemachtigd is om toestemming te geven namens de organisatie. Houd er rekening mee dat zelfs als u deze optie gebruikt om de provider voor meerdere tenants te registreren, u het beleid nog steeds afzonderlijk moet implementeren voor elke beheergroep.
Het parameterbestand maken
Als u het beleid wilt toewijzen, implementeert u het deployLighthouseIfNotExistManagementGroup.json bestand vanuit de opslagplaats met voorbeelden, samen met een deployLighthouseIfNotExistsManagementGroup.parameters.json parameterbestand dat u bewerkt met uw specifieke tenant- en toewijzingsgegevens. Deze twee bestanden bevatten dezelfde gegevens die worden gebruikt voor het onboarden van een afzonderlijk abonnement.
In het onderstaande voorbeeld ziet u een parameterbestand waarmee de abonnementen worden gedelegeerd aan de Relecloud Managed Services-tenant, met toegang tot twee principalID's: één voor ondersteuning op laag 1 en één automation-account dat de delegateRoleDefinitionIds kan toewijzen aan beheerde identiteiten in de tenant van de klant.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"managedByName": {
"value": "Relecloud Managed Services"
},
"managedByDescription": {
"value": "Relecloud provides managed services to its customers"
},
"managedByTenantId": {
"value": "00000000-0000-0000-0000-000000000000"
},
"managedByAuthorizations": {
"value": [
{
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"principalIdDisplayName": "Tier 1 Support",
"roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
},
{
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"principalIdDisplayName": "Automation Account - Full access",
"roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"delegatedRoleDefinitionIds": [
"b24988ac-6180-42a0-ab88-20f7382dd24c",
"92aaf0da-9dab-42b6-94a3-d43ce8d16293",
"91c1777a-f3dc-4fae-b103-61d183457e46"
]
}
]
}
}
}
Het beleid toewijzen aan een beheergroep
Zodra u het beleid hebt bewerkt om uw toewijzingen te maken, kunt u het toewijzen op het niveau van de beheergroep. Zie quickstart: Een beleidstoewijzing maken voor meer informatie over het toewijzen van een beleid en het weergeven van resultaten van de nalevingsstatus.
In het onderstaande PowerShell-script ziet u hoe u de beleidsdefinitie onder de opgegeven beheergroep toevoegt met behulp van de sjabloon en het parameterbestand dat u hebt gemaakt. U moet de toewijzings- en hersteltaak voor bestaande abonnementen maken.
New-AzManagementGroupDeployment -Name <DeploymentName> -Location <location> -ManagementGroupId <ManagementGroupName> -TemplateFile <path to file> -TemplateParameterFile <path to parameter file> -verbose
Geslaagde onboarding bevestigen
Er zijn verschillende manieren om te controleren of de abonnementen in de beheergroep zijn geïmplementeerd. Zie Bevestigen dat de onboarding is geslaagd voor meer informatie.
Als u de logische app en het beleid actief houdt voor uw beheergroep, worden ook nieuwe abonnementen toegevoegd aan de beheergroep.
Volgende stappen
- Meer informatie over het onboarden van klanten naar Azure Lighthouse.
- Meer informatie over Azure Policy.
- Meer informatie over Azure Logic Apps.