Aktualizowanie delegacji

Po dołączeniu subskrypcji (lub grupy zasobów) do usługi Azure Lighthouse może być konieczne wprowadzenie zmian. Na przykład klient może chcieć wykonać dodatkowe zadania związane z zarządzaniem, które wymagają innej wbudowanej roli platformy Azure lub może być konieczne zmianę dzierżawy, do której jest delegowana subskrypcja klienta.

Porada

Chociaż w tym temacie odwołujemy się do dostawców usług i klientów, przedsiębiorstwa zarządzające wieloma dzierżawami mogą korzystać z tego samego procesu, aby skonfigurować usługę Azure Lighthouse i skonsolidować swoje środowisko zarządzania.

W przypadku dołączenia klienta za pośrednictwem szablonów usługi Azure Resource Manager (szablonów usługi ARM) należy wykonać nowe wdrożenie dla tego klienta. W zależności od tego, co zmieniasz, możesz zaktualizować oryginalną ofertę lub usunąć oryginalną ofertę i utworzyć nową.

• Jeśli zmieniasz tylko autoryzacje: możesz zaktualizować delegowanie, zmieniając sekcję autoryzacji szablonu usługi ARM.
• Jeśli zmieniasz dzierżawę zarządzania: musisz utworzyć nowy szablon usługi ARM przy użyciu innego elementu mspOfferName niż poprzednia oferta.

Aktualizowanie szablonu usługi ARM

Aby zaktualizować delegowanie, należy wdrożyć szablon usługi ARM zawierający zmiany, które chcesz wprowadzić.

Jeśli aktualizujesz tylko autoryzacje (takie jak dodawanie nowej grupy użytkowników z rolą, która nie została wcześniej dołączona lub zmiana roli dla istniejącego użytkownika), możesz użyć tej samej nazwy mspOfferName , jak w szablonie usługi ARM użytym do poprzedniego delegowania. Użyj poprzedniego szablonu jako punktu wyjścia. Następnie wprowadź potrzebne zmiany, takie jak zastąpienie jednej wbudowanej roli platformy Azure innym lub dodanie zupełnie nowej autoryzacji do szablonu.

Jeśli zmienisz nazwę mspOfferName, zostanie to uznana za nową, oddzielną ofertę. Jest to wymagane, jeśli zmieniasz dzierżawę zarządzania.

Nie musisz zmieniać nazwy mspOfferName , jeśli dzierżawa zarządzająca pozostanie taka sama. W większości przypadków zalecamy używanie tylko jednego elementu mspOfferName przez tego samego klienta i zarządzanie dzierżawą. Jeśli zdecydujesz się utworzyć nową nazwę mspOfferName dla szablonu, przed wdrożeniem nowego upewnij się, że poprzednie delegowanie klienta zostanie usunięte.

Usuń poprzednie delegowanie

Przed wykonaniem nowego wdrożenia możesz usunąć dostęp do poprzedniego delegowania. Dzięki temu wszystkie poprzednie uprawnienia zostaną usunięte, co umożliwi rozpoczęcie czyszczenia przy użyciu dokładnych użytkowników/grup i ról, które powinny być stosowane w przyszłości.

Ważne

Jeśli używasz nowego atrybutu mspOfferName i zachowasz dowolną z tych samych wartości principalId , musisz usunąć dostęp do poprzedniego delegowania przed wdrożeniem nowej oferty. Jeśli nie usuniesz najpierw oferty, użytkownicy, którzy wcześniej udzielono uprawnień, mogą całkowicie utracić dostęp z powodu konfliktowych przypisań.

Jeśli zmieniasz dzierżawę zarządzania, możesz pozostawić poprzednią ofertę, jeśli chcesz, aby obie dzierżawy nadal miały dostęp. Jeśli chcesz, aby nowa dzierżawa zarządzająca miała dostęp, należy usunąć wcześniejszą ofertę. Można to zrobić przed lub po dołączeniu nowej oferty.

Jeśli aktualizujesz ofertę, aby dostosować tylko autoryzacje i zachowasz tę samą nazwę mspOfferName, nie musisz usuwać poprzedniego delegowania. Nowe wdrożenie zastąpi poprzednie delegowanie, a tylko autoryzacje w najnowszym szablonie zostaną zastosowane.

Usunięcie dostępu do delegowania można wykonać przez dowolnego użytkownika w dzierżawie zarządzającej, który otrzymał rolę usuwania przypisania rejestracji usług zarządzanych w oryginalnym delegowaniu. Jeśli żaden użytkownik w dzierżawie zarządzającej nie ma tej roli, możesz poprosić klienta o usunięcie dostępu do oferty w Azure Portal.

Porada

Jeśli poprzednie delegowanie zostało usunięte, ale nie można wdrożyć nowego szablonu usługi ARM, może być konieczne całkowite usunięcie definicji rejestracji. Można to zrobić przez dowolnego użytkownika z rolą, która ma Microsoft.Authorization/roleAssignments/write uprawnienia, takie jak Właściciel, w dzierżawie klienta.

Wdrażanie szablonu usługi ARM

Klient może wdrożyć zaktualizowany szablon w taki sam sposób, jak poprzednio: w Azure Portal przy użyciu programu PowerShell lub za pomocą interfejsu wiersza polecenia platformy Azure.

Po zakończeniu wdrażania upewnij się, że przebiegł pomyślnie. Zaktualizowane autoryzacje będą obowiązywać dla subskrypcji lub grup zasobów delegowanych przez klienta.

Aktualizowanie ofert usługi zarządzanej

Jeśli dołączysz klienta za pośrednictwem oferty usługi zarządzanej opublikowanej do Azure Marketplace i chcesz zaktualizować autoryzacje, możesz to zrobić, publikując nową wersję oferty z aktualizacjami autoryzacji w planie dla tego klienta. Następnie klient będzie mógł przejrzeć zmiany w Azure Portal i zaakceptować zaktualizowaną wersję.

Jeśli chcesz zmienić dzierżawę zarządzającą, musisz utworzyć i opublikować nową ofertę usługi zarządzanej , aby klient zaakceptował.

Ważne

Nie zalecamy posiadania wielu ofert między tym samym klientem i zarządzaniem dzierżawą. Jeśli opublikujesz nową ofertę dla bieżącego klienta korzystającego z tej samej dzierżawy zarządzającej, upewnij się, że wcześniejsza oferta zostanie usunięta, zanim klient zaakceptuje nowszą ofertę.

Następne kroki

• Wyświetl klientów i zarządzaj nimi, przechodząc do strony Moi klienci w Azure Portal.
• Dowiedz się, jak usunąć dostęp do delegowania , które zostało wcześniej dołączone.
• Dowiedz się więcej o architekturze usługi Azure Lighthouse.