Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Lighthouse umożliwia delegowanie subskrypcji i/lub grup zasobów, ale nie grup zarządzania. Można jednak użyć zasady Azure, aby delegować wszystkie subskrypcje w grupie zarządzania zarządzającemu dzierżawcy.
Zasady używają efektu deployIfNotExists, aby sprawdzić, czy każda subskrypcja w grupie menedżerskiej jest delegowana do określonego dzierżawcy zarządzającego. Jeśli subskrypcja nie jest jeszcze delegowana, zasada tworzy przypisanie w Azure Lighthouse na podstawie wartości podanych w parametrach. Następnie będziesz mieć dostęp do wszystkich subskrypcji w grupie zarządzania, tak jakby zostały one dołączone ręcznie.
Podczas korzystania z tych zasad należy pamiętać:
- Każda subskrypcja w grupie zarządzania będzie mieć ten sam zestaw autoryzacji. Aby zmienić użytkowników i role, którym udzielono dostępu, musisz ręcznie dołączyć subskrypcje.
- Podczas gdy każda subskrypcja w grupie zarządzania jest wdrożona, nie można podejmować działań dla całego zasobu grupy zarządzania za pośrednictwem usługi Azure Lighthouse. Musisz wybrać subskrypcje, nad którymi chcesz pracować, tak jak w przypadku ich dołączenia osobno.
Jeśli nie podano inaczej, użytkownik w dzierżawie klienta z odpowiednimi uprawnieniami musi wykonać wszystkie te kroki.
Napiwek
Chociaż w tym temacie odwołujemy się do dostawców usług i klientów, przedsiębiorstwa zarządzające wieloma dzierżawami mogą używać tych samych procesów.
Zarejestruj dostawcę zasobów w subskrypcjach
Zazwyczaj dostawca zasobów Microsoft.ManagedServices jest zarejestrowany dla subskrypcji w ramach procesu wdrażania. Podczas używania zasad do dołączania subskrypcji w grupie zarządzania dostawca zasobów musi być zarejestrowany z wyprzedzeniem. Rejestracji może dokonać użytkownik z rolą współautora lub właściciela w dzierżawie klienta (lub przez dowolnego użytkownika mającego uprawnienia do wykonania /register/action operacji dla dostawcy zasobów). Aby uzyskać więcej informacji, zobacz Dostawcy zasobów i typy platformy Azure.
Za pomocą aplikacji logiki platformy Azure możesz automatycznie zarejestrować dostawcę zasobów w ramach subskrypcji. Tę aplikację Logic App można wdrożyć w dzierżawie klienta z ograniczonymi uprawnieniami, które umożliwiają zarejestrowanie dostawcy zasobów w każdej subskrypcji w ramach grupy zarządzania.
Udostępniamy również Azure Logic App, którą można wdrożyć w dzierżawie dostawcy usług. Ta aplikacja logiki może przypisać dostawcę zasobów między subskrypcjami w wielu dzierżawach, udzielając zgody administratora dla całej dzierżawy na aplikację logiki. Udzielenie zgody administratora dla całej organizacji wymaga zalogowania się jako użytkownik, który jest autoryzowany do udzielania zgody w imieniu organizacji. Jeśli używasz tej opcji do rejestrowania dostawcy w wielu dzierżawach, nadal musisz wdrożyć zasady indywidualnie dla każdej grupy zarządzania.
Tworzenie pliku parametrów
Aby przypisać zasady, wdróż plik deployLighthouseIfNotExistManagementGroup.json z naszego repozytorium przykładów oraz edytowany plik parametrów deployLighthouseIfNotExistsManagementGroup.parameters.json zawierający szczegółowe informacje o określonej dzierżawie i przypisaniu. Te dwa pliki zawierają te same szczegóły, które będą używane do dołączania indywidualnej subskrypcji.
W tym przykładzie przedstawiono plik parametrów, który deleguje subskrypcje do dzierżawy usług zarządzanych Relecloud z dostępem przyznanym dwóm principalID wartościom: jeden dla pomocy technicznej warstwy 1 i jedno konto automatyzacji, które może przypisać delegateRoleDefinitionIds do tożsamości zarządzanych w dzierżawie klienta.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"managedByName": {
"value": "Relecloud Managed Services"
},
"managedByDescription": {
"value": "Relecloud provides managed services to its customers"
},
"managedByTenantId": {
"value": "00000000-0000-0000-0000-000000000000"
},
"managedByAuthorizations": {
"value": [
{
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"principalIdDisplayName": "Tier 1 Support",
"roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
},
{
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"principalIdDisplayName": "Automation Account - Full access",
"roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"delegatedRoleDefinitionIds": [
"b24988ac-6180-42a0-ab88-20f7382dd24c",
"92aaf0da-9dab-42b6-94a3-d43ce8d16293",
"91c1777a-f3dc-4fae-b103-61d183457e46"
]
}
]
}
}
}
Przypisz politykę do grupy zarządzania
Po zmodyfikowaniu zasad w celu utworzenia zadań, można je przypisać na poziomie grupy zarządzania. Aby dowiedzieć się, jak przypisać zasady i wyświetlić wyniki stanu zgodności, zobacz Szybki start: tworzenie przypisania zasad.
Ten skrypt programu PowerShell pokazuje, jak dodać definicję zasad w określonej grupie zarządzania przy użyciu utworzonego pliku szablonu i parametrów. Musisz utworzyć zadanie przypisania i korygowania dla istniejących subskrypcji.
New-AzManagementGroupDeployment -Name <DeploymentName> -Location <location> -ManagementGroupId <ManagementGroupName> -TemplateFile <path to file> -TemplateParameterFile <path to parameter file> -verbose
Potwierdzanie pomyślnego dołączenia
Istnieje kilka sposobów sprawdzenia, czy subskrypcje w grupie zarządzającej zostały pomyślnie wdrożone. Aby uzyskać więcej informacji, zobacz Potwierdzanie pomyślnego dołączenia.
Jeśli Logic App i zasady będą aktywne dla grupy zarządzającej, wszystkie nowe subskrypcje dodane do grupy zarządzającej również zostaną dołączone.
Następne kroki
- Dowiedz się więcej o dołączaniu klientów do usługi Azure Lighthouse.
- Dowiedz się więcej o usłudze Azure Policy.
- Dowiedz się więcej o usłudze Azure Logic Apps.