Alle abonnementen in een beheergroep onboarden
Azure Lighthouse staat delegering van abonnementen en/of resourcegroepen toe, maar niet van beheergroepen. U kunt echter een Azure Policy gebruiken om alle abonnementen binnen een beheergroep te delegeren aan een beherende tenant.
Het beleid gebruikt het effect deployIfNotExists om te controleren of elk abonnement binnen de beheergroep is gedelegeerd aan de opgegeven beherende tenant. Als een abonnement nog niet is gedelegeerd, maakt het beleid de Azure Lighthouse-toewijzing op basis van de waarden die u opgeeft in de parameters. U hebt vervolgens toegang tot alle abonnementen in de beheergroep, net alsof ze handmatig zijn voorbereid.
Houd bij het gebruik van dit beleid rekening met het volgende:
- Elk abonnement binnen de beheergroep heeft dezelfde set autorisaties. Als u de gebruikers en rollen die toegang krijgen, wilt variëren, moet u abonnementen handmatig onboarden.
- Hoewel voor elk abonnement in de beheergroep onboarding wordt uitgevoerd, kunt u geen acties uitvoeren op de resource van de beheergroep via Azure Lighthouse. U moet abonnementen selecteren om aan te werken, net zoals u zou doen als u ze afzonderlijk zou onboarden.
Tenzij hieronder vermeld, moeten al deze stappen worden uitgevoerd door een gebruiker in de tenant van de klant met de juiste machtigingen.
Tip
Hoewel we in dit onderwerp verwijzen naar serviceproviders en klanten, kunnen ondernemingen die meerdere tenants beheren dezelfde processen gebruiken.
De resourceprovider registreren voor verschillende abonnementen
Normaal gesproken wordt de resourceprovider Microsoft.ManagedServices geregistreerd voor een abonnement als onderdeel van het onboardingproces. Wanneer u het beleid gebruikt om abonnementen in een beheergroep te onboarden, moet de resourceprovider vooraf worden geregistreerd. Dit kan worden gedaan door een gebruiker van een inzender of eigenaar in de tenant van de klant (of door een gebruiker die gemachtigd is om de bewerking voor de /register/action resourceprovider uit te voeren). Zie Azure-resourceproviders en -typen voor meer informatie.
U kunt een logische Azure-app gebruiken om de resourceprovider automatisch te registreren voor verschillende abonnementen. Deze logische app kan worden geïmplementeerd in de tenant van een klant met beperkte machtigingen waarmee de resourceprovider in elk abonnement binnen een beheergroep kan worden geregistreerd.
We bieden ook een logische Azure-app die kan worden geïmplementeerd in de tenant van de serviceprovider. Deze logische app kan de resourceprovider toewijzen aan abonnementen in meerdere tenants door beheerderstoestemming voor de hele tenant te verlenen voor de logische app. Voor het verlenen van beheerderstoestemming voor de hele tenant moet u zich aanmelden als een gebruiker die gemachtigd is om toestemming te geven namens de organisatie. Zelfs als u deze optie gebruikt om de provider voor meerdere tenants te registreren, moet u het beleid nog steeds afzonderlijk implementeren voor elke beheergroep.
Het parameterbestand maken
Als u het beleid wilt toewijzen, implementeert u het bestand deployLighthouseIfNotExistManagementGroup.json vanuit de opslagplaats met voorbeelden, samen met een parameterbestand deployLighthouseIfNotExistsManagementGroup.parameters.json dat u bewerkt met uw specifieke tenant- en toewijzingsgegevens. Deze twee bestanden bevatten dezelfde details die worden gebruikt voor het onboarden van een afzonderlijk abonnement.
In het onderstaande voorbeeld ziet u een parameterbestand waarmee de abonnementen worden gedelegeerd aan de Relecloud Managed Services-tenant, met toegang tot twee principalID's: één voor laag 1-ondersteuning en één automation-account waarmee de delegateRoleDefinitionIds kunnen worden toegewezen aan beheerde identiteiten in de tenant van de klant.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"managedByName": {
"value": "Relecloud Managed Services"
},
"managedByDescription": {
"value": "Relecloud provides managed services to its customers"
},
"managedByTenantId": {
"value": "00000000-0000-0000-0000-000000000000"
},
"managedByAuthorizations": {
"value": [
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Tier 1 Support",
"roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
},
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Automation Account - Full access",
"roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"delegatedRoleDefinitionIds": [
"b24988ac-6180-42a0-ab88-20f7382dd24c",
"92aaf0da-9dab-42b6-94a3-d43ce8d16293",
"91c1777a-f3dc-4fae-b103-61d183457e46"
]
}
]
}
}
}
Het beleid toewijzen aan een beheergroep
Nadat u het beleid hebt bewerkt om uw toewijzingen te maken, kunt u het toewijzen op het niveau van de beheergroep. Zie Quickstart: Een beleidstoewijzing maken voor meer informatie over het toewijzen van een beleid en het weergeven van de resultaten van de nalevingsstatus.
Het onderstaande PowerShell-script laat zien hoe u de beleidsdefinitie toevoegt onder de opgegeven beheergroep met behulp van de sjabloon en het parameterbestand dat u hebt gemaakt. U moet de toewijzings- en hersteltaak voor bestaande abonnementen maken.
New-AzManagementGroupDeployment -Name <DeploymentName> -Location <location> -ManagementGroupId <ManagementGroupName> -TemplateFile <path to file> -TemplateParameterFile <path to parameter file> -verbose
Geslaagde onboarding bevestigen
Er zijn verschillende manieren om te controleren of de onboarding van de abonnementen in de beheergroep is geslaagd. Zie Geslaagde onboarding bevestigen voor meer informatie.
Als u de logische app en het beleid actief houdt voor uw beheergroep, worden alle nieuwe abonnementen die aan de beheergroep worden toegevoegd, ook onboarding uitgevoerd.
Volgende stappen
- Meer informatie over het onboarden van klanten bij Azure Lighthouse.
- Meer informatie over Azure Policy.
- Meer informatie over Azure Logic Apps.