Dołączanie klienta do usługi Azure Lighthouse

W tym artykule wyjaśniono, jak jako dostawca usług możesz dołączyć klienta do usługi Azure Lighthouse. W tym celu delegowane zasoby (subskrypcje i/lub grupy zasobów) w dzierżawie usługi Azure Active Directory (Azure AD) klienta mogą być zarządzane przez użytkowników w dzierżawie za pomocą delegowanego zarządzania zasobami platformy Azure.

Porada

Chociaż w tym temacie odwołujemy się do dostawców usług i klientów, przedsiębiorstwa zarządzające wieloma dzierżawami mogą korzystać z tego samego procesu, aby skonfigurować usługę Azure Lighthouse i skonsolidować swoje środowisko zarządzania.

Proces dołączania można powtórzyć dla wielu klientów. Gdy użytkownik z odpowiednimi uprawnieniami zaloguje się do dzierżawy zarządzającej, ten użytkownik ma uprawnienia do wykonywania operacji zarządzania w zakresach dzierżawy klienta bez konieczności logowania się do każdej indywidualnej dzierżawy klienta.

Uwaga

Klienci mogą być alternatywnie dołączani do usługi Azure Lighthouse, gdy kupują ofertę usługi zarządzanej (publiczną lub prywatną), którą publikujesz w Azure Marketplace. Możesz również użyć procesu dołączania opisanego tutaj w połączeniu z ofertami opublikowanymi w celu Azure Marketplace.

Proces dołączania wymaga wykonania akcji zarówno z dzierżawy dostawcy usług, jak i z dzierżawy klienta. Wszystkie te kroki opisano w tym artykule.

Zbieranie szczegółów dzierżawy i subskrypcji

Aby dołączyć dzierżawę klienta, musi mieć aktywną subskrypcję platformy Azure. Podczas ręcznego tworzenia szablonu należy znać następujące kwestie:

  • Identyfikator dzierżawy dzierżawy dostawcy usług (gdzie będziesz zarządzać zasobami klienta).
  • Identyfikator dzierżawy dzierżawy klienta (który będzie miał zasoby zarządzane przez dostawcę usług).
  • Identyfikatory subskrypcji dla każdej konkretnej subskrypcji w dzierżawie klienta, która będzie zarządzana przez dostawcę usług (lub zawiera grupy zasobów, które będą zarządzane przez dostawcę usług).

Jeśli nie znasz identyfikatora dzierżawy, możesz go pobrać przy użyciu Azure Portal, Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

Jeśli tworzysz szablon w Azure Portal, identyfikator dzierżawy zostanie dostarczony automatycznie. Nie musisz znać dzierżawy klienta ani szczegółów subskrypcji, aby utworzyć szablon w Azure Portal. Jeśli jednak planujesz dołączyć co najmniej jedną grupę zasobów w dzierżawie klienta (zamiast całej subskrypcji), musisz znać nazwy każdej grupy zasobów.

Definiowanie ról i uprawnień

Jako dostawca usług możesz chcieć wykonać wiele zadań dla jednego klienta, co wymaga innego dostępu do różnych zakresów. Aby przypisać odpowiednie role wbudowane platformy Azure, możesz zdefiniować dowolną liczbę autoryzacji. Każda autoryzacja zawiera principalId odwołanie do Azure AD użytkownika, grupy lub jednostki usługi w dzierżawie zarządzającej.

Uwaga

O ile nie zostanie to jawnie określone, odwołania do użytkownika w dokumentacji usługi Azure Lighthouse mogą dotyczyć użytkownika, grupy lub jednostki usługi Azure AD w autoryzacji.

Aby zdefiniować autoryzacje w szablonie, należy uwzględnić wartości identyfikatorów dla każdego użytkownika, grupy użytkowników lub jednostki usługi w dzierżawie zarządzającej, do której chcesz udzielić dostępu. Należy również uwzględnić identyfikator definicji roli dla każdej wbudowanej roli , którą chcesz przypisać. Podczas tworzenia szablonu w Azure Portal możesz wybrać konto użytkownika i rolę, a te wartości identyfikatorów zostaną dodane automatycznie. Jeśli tworzysz szablon ręcznie, możesz pobrać identyfikatory użytkowników przy użyciu Azure Portal, Azure PowerShell lub interfejsu wiersza polecenia platformy Azure z poziomu dzierżawy zarządzania.

Porada

Zalecamy przypisanie roli usuwania przypisania rejestracji usług zarządzanych podczas dołączania klienta, aby użytkownicy w dzierżawie mogli później usunąć dostęp do delegowania w razie potrzeby. Jeśli ta rola nie jest przypisana, delegowane zasoby mogą zostać usunięte tylko przez użytkownika w dzierżawie klienta.

Jeśli to możliwe, zalecamy używanie Azure AD grup użytkowników dla każdego przypisania, gdy jest to możliwe, a nie poszczególnych użytkowników. Zapewnia to elastyczność dodawania lub usuwania poszczególnych użytkowników w ramach grupy, która ma dostęp, dzięki czemu nie trzeba powtarzać procesu dołączania, aby wprowadzić zmiany użytkownika. Role można również przypisywać do jednostki usługi, co może być przydatne w scenariuszach automatyzacji.

Ważne

Aby dodać uprawnienia dla grupy Azure AD, typ grupy musi być ustawiony na Wartość Zabezpieczenia. Ta opcja jest wybierana po utworzeniu grupy. Aby uzyskać więcej informacji, zobacz Tworzenie podstawowej grupy i dodawanie członków w usłudze Azure Active Directory.

Podczas definiowania autoryzacji należy przestrzegać zasady najniższych uprawnień, aby użytkownicy mieli tylko uprawnienia wymagane do ukończenia zadania. Aby uzyskać informacje o obsługiwanych rolach i najlepszych rozwiązaniach, zobacz Dzierżawy, użytkownicy i role w scenariuszach usługi Azure Lighthouse.

Aby śledzić wpływ na zaangażowanie klientów i odbierać rozpoznawanie, skojarz swój identyfikator Microsoft Cloud Partner Program z co najmniej jednym kontem użytkownika, które ma dostęp do każdej dołączonej subskrypcji. To skojarzenie należy wykonać w dzierżawie dostawcy usług. Zalecamy utworzenie konta jednostki usługi w dzierżawie skojarzonej z identyfikatorem partnera, a następnie dołączenie tej jednostki usługi za każdym razem, gdy dołączasz klienta. Aby uzyskać więcej informacji, zobacz Łączenie identyfikatora partnera w celu włączenia środków uzyskanych przez partnera w przypadku delegowanych zasobów.

Porada

Możesz również utworzyć kwalifikujące się autoryzacje , które pozwalają użytkownikom w dzierżawie zarządzania tymczasowo podnieść ich rolę. Ta funkcja ma określone wymagania dotyczące licencjonowania. Aby uzyskać więcej informacji, zobacz Tworzenie kwalifikujących się autoryzacji.

Tworzenie szablonu usługi Azure Resource Manager

Aby dołączyć klienta, należy utworzyć szablon usługi Azure Resource Manager dla oferty, zawierający następujące informacje. mspOfferName Wartości i mspOfferDescription będą widoczne dla klienta na stronie Dostawcy usług Azure Portal po wdrożeniu szablonu w dzierżawie klienta.

Pole Definicja
mspOfferName Nazwa opisująca tę definicję. Ta wartość jest wyświetlana klientowi jako tytuł oferty i musi być unikatową wartością.
mspOfferDescription Krótki opis oferty (na przykład „Oferta zarządzania maszynami wirtualnymi firmy Contoso”). To pole jest opcjonalne, ale zalecane, aby klienci mogli wyraźnie zrozumieć ofertę.
managedByTenantId Identyfikator dzierżawy.
authorizations Wartości principalId użytkowników/grup/nazw SPN z dzierżawy, z których każda ma principalIdDisplayName wartość , aby ułatwić klientowi zrozumienie celu autoryzacji i zamapowane na wbudowaną roleDefinitionId wartość w celu określenia poziomu dostępu.

Ten szablon można utworzyć w witrynie Azure Portal lub ręcznie modyfikując szablony podane w naszym repozytorium przykładów.

Ważne

Opisany tutaj proces wymaga oddzielnego wdrożenia dla każdej dołączonej subskrypcji, nawet jeśli dołączasz subskrypcje w tej samej dzierżawie klienta. Oddzielne wdrożenia są również wymagane, jeśli dołączasz wiele grup zasobów w ramach różnych subskrypcji w tej samej dzierżawie klienta. Jednak dołączanie wielu grup zasobów w ramach jednej subskrypcji można wykonać w jednym wdrożeniu.

Oddzielne wdrożenia są również wymagane w przypadku wielu ofert stosowanych do tej samej subskrypcji (lub grup zasobów w ramach subskrypcji). Każda zastosowana oferta musi używać innej mspOfferNameoferty .

Tworzenie szablonu w Azure Portal

Aby utworzyć szablon w Azure Portal, przejdź do pozycji Moi klienci, a następnie wybierz pozycję Utwórz szablon usługi ARM na stronie przeglądu.

Na stronie Tworzenie oferty szablonu usługi ARM podaj nazwę i opcjonalny opis. Te wartości będą używane dla szablonu mspOfferName i mspOfferDescription i i mogą być widoczne dla klienta. Wartość zostanie podana managedByTenantId automatycznie na podstawie Azure AD dzierżawy, do której się zalogowano.

Następnie wybierz pozycję Subskrypcja lub Grupa zasobów, w zależności od zakresu klienta, który chcesz dołączyć. Jeśli wybierzesz pozycję Grupa zasobów, musisz podać nazwę grupy zasobów do dołączenia. W razie potrzeby możesz wybrać ikonę + , aby dodać dodatkowe grupy zasobów w tej samej subskrypcji. (Aby dołączyć dodatkowe grupy zasobów w innej subskrypcji, musisz utworzyć i wdrożyć oddzielny szablon dla tej subskrypcji).

Na koniec utwórz autoryzacje, wybierając pozycję + Dodaj autoryzację. Dla każdej autoryzacji podaj następujące szczegóły:

  1. Wybierz typ podmiotu zabezpieczeń w zależności od typu konta, które chcesz uwzględnić w autoryzacji. Może to być użytkownik, grupa lub jednostka usługi. W tym przykładzie wybierzemy pozycję Użytkownik.
  2. Wybierz link + Wybierz użytkownika , aby otworzyć okienko wyboru. Możesz użyć pola wyszukiwania, aby znaleźć użytkownika, który chcesz dodać. Po wykonaniu tych czynności kliknij pozycję Wybierz. Identyfikator podmiotu zabezpieczeń użytkownika zostanie automatycznie wypełniony.
  3. Przejrzyj pole Nazwa wyświetlana (wypełnione na podstawie wybranego użytkownika) i w razie potrzeby wprowadź zmiany.
  4. Wybierz rolę , która ma zostać przypisana do tego użytkownika.
  5. W polu Typ dostępu wybierz pozycję Trwałe lub Kwalifikujące się. Jeśli wybierzesz opcję Kwalifikujesz się, musisz określić opcje maksymalnego czasu trwania, uwierzytelniania wieloskładnikowego i niezależnie od tego, czy jest wymagane zatwierdzenie. Aby uzyskać więcej informacji na temat tych opcji, zobacz Tworzenie kwalifikujących się autoryzacji. Kwalifikowana funkcja autoryzacji nie może być używana z jednostkami usługi.
  6. Wybierz pozycję Dodaj , aby utworzyć autoryzację.

Zrzut ekranu przedstawiający sekcję Dodawanie autoryzacji w Azure Portal.

Po wybraniu pozycji Dodaj powrócisz do ekranu Tworzenie oferty szablonu usługi ARM . Możesz ponownie wybrać pozycję + Dodaj autoryzację , aby dodać dowolną liczbę autoryzacji.

Po dodaniu wszystkich autoryzacji wybierz pozycję Wyświetl szablon. Na tym ekranie zobaczysz plik json odpowiadający wprowadzonym wartościom. Wybierz pozycję Pobierz, aby zapisać kopię tego pliku json. Ten szablon można następnie wdrożyć w dzierżawie klienta. Możesz również edytować ją ręcznie, jeśli musisz wprowadzić jakiekolwiek zmiany.

Ważne

Wygenerowany plik szablonu nie jest przechowywany w Azure Portal. Pamiętaj, aby pobrać kopię przed przejściem z ekranu Pokaż szablon .

Ręczne tworzenie szablonu

Szablon można utworzyć przy użyciu szablonu usługi Azure Resource Manager (podanego w naszym repozytorium przykładów) i odpowiedniego pliku parametrów, który można zmodyfikować w celu dopasowania do konfiguracji i zdefiniowania autoryzacji. Jeśli wolisz, możesz dołączyć wszystkie informacje bezpośrednio do szablonu, a nie użyć oddzielnego pliku parametrów.

Wybrany szablon będzie zależeć od tego, czy dołączasz całą subskrypcję, grupę zasobów lub wiele grup zasobów w ramach subskrypcji. Udostępniamy również szablon, który może być używany dla klientów, którzy zakupili ofertę usługi zarządzanej opublikowanej w celu Azure Marketplace, jeśli wolisz dołączyć swoje subskrypcje w ten sposób.

Aby dołączyć to Użyj tego szablonu usługi Azure Resource Manager Zmodyfikuj ten plik parametrów
Subskrypcja subscription.json subscription.parameters.json
Grupa zasobów rg.json rg.parameters.json
Wiele grup zasobów w ramach subskrypcji multi-rg.json multiple-rg.parameters.json
Subskrypcja (w przypadku korzystania z oferty opublikowanej do Azure Marketplace) marketplaceDelegatedResourceManagement.json marketplaceDelegatedResourceManagement.parameters.json

Jeśli chcesz uwzględnić kwalifikujące się autoryzacje, wybierz odpowiedni szablon z sekcji delegowanej autoryzacji kwalifikującej się do zarządzania zasobami w naszym repozytorium przykładów.

Porada

Chociaż nie można dołączyć całej grupy zarządzania w jednym wdrożeniu, można wdrożyć zasady dołączania każdej subskrypcji w grupie zarządzania. Następnie będziesz mieć dostęp do wszystkich subskrypcji w grupie zarządzania, chociaż będziesz musiał pracować nad nimi jako poszczególne subskrypcje (zamiast podejmowania akcji w zasobie grupy zarządzania bezpośrednio).

W poniższym przykładzie przedstawiono zmodyfikowany plik subscription.parameters.json , którego można użyć do dołączenia subskrypcji. Pliki parametrów grupy zasobów (znajdujące się w folderze rg-delegated-resource-management ) mają podobny format, ale zawierają rgName również parametr umożliwiający zidentyfikowanie określonych grup zasobów do dołączenia.

{
    "$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "value": "Fabrikam Managed Services - Interstellar"
        },
        "mspOfferDescription": {
            "value": "Fabrikam Managed Services - Interstellar"
        },
        "managedByTenantId": {
            "value": "00000000-0000-0000-0000-000000000000"
        },
        "authorizations": {
            "value": [
                {
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "principalIdDisplayName": "Tier 1 Support",
                    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
                },
                {
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "principalIdDisplayName": "Tier 1 Support",
                    "roleDefinitionId": "36243c78-bf99-498c-9df9-86d9f8d28608"
                },
                {
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "principalIdDisplayName": "Tier 2 Support",
                    "roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7"
                },
                {
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "principalIdDisplayName": "Service Automation Account",
                    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
                },
                {
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "principalIdDisplayName": "Policy Automation Account",
                    "roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
                    "delegatedRoleDefinitionIds": [
                        "b24988ac-6180-42a0-ab88-20f7382dd24c",
                        "92aaf0da-9dab-42b6-94a3-d43ce8d16293"
                    ]
                }
            ]
        }
    }
}

Ostatnia autoryzacja w powyższym przykładzie dodaje principalId element z rolą Administratora dostępu użytkowników (18d7d88d-d35e-4fb5-a5c3-7773c20a72d9). Podczas przypisywania tej roli należy uwzględnić delegatedRoleDefinitionIds właściwość i co najmniej jedną obsługiwaną rolę wbudowaną platformy Azure. Użytkownik utworzony w tej autoryzacji będzie mógł przypisać te role do tożsamości zarządzanych w dzierżawie klienta, co jest wymagane w celu wdrożenia zasad, które można skorygować. Użytkownik może również tworzyć zdarzenia pomocy technicznej. Żadne inne uprawnienia zwykle skojarzone z rolą administratora dostępu użytkowników będą miały zastosowanie do tego principalIdelementu .

Wdrażanie szablonu usługi Azure Resource Manager

Po utworzeniu szablonu użytkownik w dzierżawie klienta musi wdrożyć go w swojej dzierżawie. Oddzielne wdrożenie jest wymagane dla każdej subskrypcji, którą chcesz dołączyć (lub dla każdej subskrypcji zawierającej grupy zasobów, które chcesz dołączyć).

Podczas dołączania subskrypcji (lub co najmniej jednej grupy zasobów w ramach subskrypcji) przy użyciu opisanego tutaj procesu dostawca zasobów Microsoft.ManagedServices zostanie zarejestrowany dla tej subskrypcji.

Ważne

To wdrożenie musi odbywać się za pomocą konta innego niż gość w dzierżawie klienta, który ma rolę z Microsoft.Authorization/roleAssignments/write uprawnieniem, takim jak Właściciel, dla dołączonej subskrypcji (lub zawierającej dołączane grupy zasobów). Aby znaleźć użytkowników, którzy mogą delegować subskrypcję, użytkownik w dzierżawie klienta może wybrać subskrypcję w Azure Portal, otworzyć pozycję Kontrola dostępu (IAM) i wyświetlić wszystkich użytkowników z rolą Właściciel.

Jeśli subskrypcja została utworzona za pośrednictwem programu Cloud Solution Provider (CSP), każdy użytkownik, który ma rolę agenta Administracja w dzierżawie dostawcy usług, może wykonać wdrożenie.

Wdrożenie można wykonać przy użyciu programu PowerShell, przy użyciu interfejsu wiersza polecenia platformy Azure lub w Azure Portal, jak pokazano poniżej.

Wdrażanie przy użyciu programu PowerShell

Aby wdrożyć pojedynczy szablon:

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Deploy Azure Resource Manager template using template and parameter file locally
New-AzSubscriptionDeployment -Name <deploymentName> `
                 -Location <AzureRegion> `
                 -TemplateFile <pathToTemplateFile> `
                 -Verbose

# Deploy Azure Resource Manager template that is located externally
New-AzSubscriptionDeployment -Name <deploymentName> `
                 -Location <AzureRegion> `
                 -TemplateUri <templateUri> `
                 -Verbose

Aby wdrożyć szablon z oddzielnym plikiem parametrów:

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Deploy Azure Resource Manager template using template and parameter file locally
New-AzSubscriptionDeployment -Name <deploymentName> `
                 -Location <AzureRegion> `
                 -TemplateFile <pathToTemplateFile> `
                 -TemplateParameterFile <pathToParameterFile> `
                 -Verbose

# Deploy Azure Resource Manager template that is located externally
New-AzSubscriptionDeployment -Name <deploymentName> `
                 -Location <AzureRegion> `
                 -TemplateUri <templateUri> `
                 -TemplateParameterUri <parameterUri> `
                 -Verbose

Wdrażanie przy użyciu interfejsu wiersza polecenia platformy Azure

Aby wdrożyć pojedynczy szablon:

# Log in first with az login if you're not using Cloud Shell

# Deploy Azure Resource Manager template using template and parameter file locally
az deployment sub create --name <deploymentName> \
                         --location <AzureRegion> \
                         --template-file <pathToTemplateFile> \
                         --verbose

# Deploy external Azure Resource Manager template, with local parameter file
az deployment sub create --name <deploymentName> \
                         --location <AzureRegion> \
                         --template-uri <templateUri> \
                         --verbose

Aby wdrożyć szablon z oddzielnym plikiem parametrów:

# Log in first with az login if you're not using Cloud Shell

# Deploy Azure Resource Manager template using template and parameter file locally
az deployment sub create --name <deploymentName> \
                         --location <AzureRegion> \
                         --template-file <pathToTemplateFile> \
                         --parameters <parameters/parameterFile> \
                         --verbose

# Deploy external Azure Resource Manager template, with local parameter file
az deployment sub create --name <deploymentName> \
                         --location <AzureRegion> \
                         --template-uri <templateUri> \
                         --parameters <parameterFile> \
                         --verbose

Wdrażanie w Azure Portal

Aby wdrożyć szablon w Azure Portal, wykonaj procedurę opisaną poniżej. Te kroki należy wykonać przez użytkownika w dzierżawie klienta z rolą Właściciel (lub inną rolą z uprawnieniem Microsoft.Authorization/roleAssignments/write ).

  1. Na stronie Dostawcy usług w Azure Portal wybierz pozycję Oferty dostawcy serwera.

  2. W górnej części ekranu wybierz strzałkę obok pozycji Dodaj ofertę, a następnie wybierz pozycję Dodaj za pomocą szablonu.

    Zrzut ekranu przedstawiający opcję Dodaj za pomocą szablonu w Azure Portal.

  3. Przekaż szablon, przeciągając go i upuszczając lub wybierając pozycję Przeglądaj, aby znaleźć i przekazać szablon.

  4. Jeśli ma to zastosowanie, wybierz oddzielne pole pliku parametrów , a następnie przekaż plik parametrów.

  5. Po przekazaniu szablonu (i pliku parametrów w razie potrzeby) wybierz pozycję Przekaż.

  6. Na ekranie Wdrażanie niestandardowe przejrzyj wyświetlone szczegóły. W razie potrzeby możesz wprowadzić zmiany w tych wartościach na tym ekranie lub wybierając pozycję Edytuj parametry.

  7. Wybierz pozycję Przejrzyj i utwórz, a następnie wybierz pozycję Utwórz.

Po kilku minutach powinno zostać wyświetlone powiadomienie, że wdrożenie zostało zakończone.

Porada

Alternatywnie w repozytorium GitHub wybierz przycisk Wdróż na platformie Azure widoczny obok szablonu, którego chcesz użyć (w kolumnie Automatyczne wdrażanie ). Przykładowy szablon zostanie otwarty w Azure Portal. Jeśli używasz tego procesu, przed wybraniem pozycji Przejrzyj i utwórz, musisz zaktualizować wartości w polach Nazwa oferty msp, Opis oferty msp, Identyfikator dzierżawy i autoryzacje.

Potwierdzanie pomyślnego dołączenia

Gdy subskrypcja klienta została pomyślnie dołączona do usługi Azure Lighthouse, użytkownicy w dzierżawie dostawcy usług będą mogli zobaczyć subskrypcję i jej zasoby (jeśli udzielono im dostępu za pośrednictwem powyższego procesu, indywidualnie lub jako członek grupy Azure AD z odpowiednimi uprawnieniami). Aby to potwierdzić, sprawdź, czy subskrypcja jest wyświetlana na jeden z następujących sposobów.

Potwierdź w Azure Portal

W dzierżawie dostawcy usług:

  1. Przejdź do strony Moje klienci.
  2. Wybierz pozycję Klienci.
  3. Upewnij się, że w szablonie Resource Manager są widoczne subskrypcje o nazwie oferty.

Ważne

Aby zobaczyć subskrypcję delegowaną w obszarze Moi klienci, użytkownicy w dzierżawie dostawcy usług muszą mieć przypisaną rolę Czytelnik (lub inną wbudowaną rolę, która obejmuje dostęp czytelnika ), gdy subskrypcja została dołączona.

W dzierżawie klienta:

  1. Przejdź do strony Dostawcy usług.
  2. Wybierz pozycję Oferty dostawców usług.
  3. Upewnij się, że w szablonie Resource Manager są widoczne subskrypcje o nazwie oferty.

Uwaga

Ukończenie wdrożenia może potrwać do 15 minut, zanim aktualizacje zostaną odzwierciedlone w Azure Portal. Aktualizacje mogą być widoczne wcześniej, jeśli zaktualizujesz token usługi Azure Resource Manager, odświeżając przeglądarkę, logując się i wychodząc lub żądając nowego tokenu.

Potwierdzanie przy użyciu programu PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

Get-AzContext

# Confirm successful onboarding for Azure Lighthouse

Get-AzManagedServicesDefinition
Get-AzManagedServicesAssignment

Potwierdzanie przy użyciu interfejsu wiersza polecenia platformy Azure

# Log in first with az login if you're not using Cloud Shell

az account list

# Confirm successful onboarding for Azure Lighthouse

az managedservices definition list
az managedservices assignment list

Jeśli musisz wprowadzić zmiany po dołączeniu klienta, możesz zaktualizować delegowanie. Możesz również całkowicie usunąć dostęp do delegowania .

Rozwiązywanie problemów

Jeśli nie możesz pomyślnie dołączyć klienta lub jeśli użytkownicy mają problemy z dostępem do delegowanych zasobów, zapoznaj się z poniższymi wskazówkami i wymaganiami i spróbuj ponownie.

  • Użytkownicy, którzy muszą wyświetlać zasoby klientów w Azure Portal, muszą mieć przypisaną rolę Czytelnik (lub inną wbudowaną rolę, która obejmuje dostęp czytelnika) podczas procesu dołączania.
  • Wartość managedbyTenantId nie może być taka sama jak identyfikator dzierżawy dla dołączonej subskrypcji.
  • Nie można mieć wielu przypisań w tym samym zakresie z tym samym mspOfferNamezakresem .
  • Microsoft. Dostawca zasobów ManagedServices musi być zarejestrowany dla subskrypcji delegowanej. Powinno się to zdarzyć automatycznie podczas wdrażania, ale jeśli nie, można je zarejestrować ręcznie.
  • Autoryzacje nie mogą zawierać żadnych użytkowników z wbudowaną rolą Właściciel ani żadnymi wbudowanymi rolami z usługą DataActions.
  • Grupy muszą być tworzone z typem grupy ustawionym na Zabezpieczenia, a nie Microsoft 365.
  • Jeśli udzielono dostępu do grupy, sprawdź, czy użytkownik jest członkiem tej grupy. Jeśli tak nie jest, możesz dodać je do grupy przy użyciu Azure AD bez konieczności wykonywania innego wdrożenia. Należy pamiętać, że właściciele grup nie muszą być członkami grup, którymi zarządzają, i może być konieczne dodanie ich w celu uzyskania dostępu.
  • Może wystąpić dodatkowe opóźnienie przed włączeniem dostępu dla grup zagnieżdżonych.
  • Wbudowane role platformy Azure uwzględnione w autoryzacjach nie mogą zawierać żadnych przestarzałych ról. Jeśli wbudowana rola platformy Azure stanie się przestarzała, wszyscy użytkownicy dołączeni z tą rolą utracą dostęp i nie będzie można dołączyć dodatkowych delegowań. Aby rozwiązać ten problem, zaktualizuj szablon tak, aby używał tylko obsługiwanych ról wbudowanych, a następnie wykonaj nowe wdrożenie.

Następne kroki