Compartilhar via


Atualizar uma delegação

Após integrar uma assinatura (ou grupo de recursos) no Azure Lighthouse, talvez seja preciso fazer alterações. Por exemplo, o cliente pode querer que você faça outras tarefas de gerenciamento que exigem diferentes funções internas do Azure, ou talvez você deva alterar o locatário ao qual a assinatura do cliente foi delegada.

Dica

Embora sejam feitas referências a provedores de serviços e clientes, as empresas que gerenciam vários locatários podem usar o mesmo processo para configurar o Azure Lighthouse e consolidar sua experiência de gerenciamento.

Caso a integração tenha sido feita por modelos do ARM (modelos do Azure Resource Manager), será preciso fazer uma nova implantação para o cliente. Dependendo do que está sendo alterado, talvez você queira atualizar ou remover a oferta original e criar uma nova.

  • Se você estiver alterando somente autorizações: atualize a delegação alterando a seção Autorizações do modelo do ARM.
  • Se você estiver alterando o locatário de gerenciamento: você deve criar um modelo do ARM usando um mspOfferName diferente da oferta anterior.

Atualizar o modelo do ARM

Para atualizar a delegação, é necessário implantar um modelo do ARM que inclui as alterações que você gostaria de fazer.

Se você estiver atualizando somente autorizações (como adicionar um novo grupo de usuários com uma função que não tenha sido incluída anteriormente ou alterar a função de um usuário existente), poderá usar o mesmo mspOfferName que o modelo do ARM usado na delegação anterior. Use o modelo anterior como ponto de partida. Em seguida, faça as alterações necessárias, como substituir uma função interna do Azure por outra ou adicionar uma autorização completamente nova ao modelo.

Se você alterar mspOfferName, isso será considerado uma oferta nova e separada. Isso será necessário se você estiver alterando o locatário de gerenciamento.

Não será necessário alterar mspOfferName se o locatário de gerenciamento permanecer o mesmo. Na maioria dos casos, é recomendável ter apenas um mspOfferName em uso pelo mesmo cliente e locatário de gerenciamento. Se você optar por criar um novo mspOfferName para o modelo, remova a delegação anterior do cliente antes de implantar a nova.

Remover a delegação anterior

Antes de fazer uma nova implantação, talvez você queira remover o acesso à delegação anterior. Isso garante que todas as permissões anteriores sejam removidas e permite iniciar a limpeza com os usuários/grupos e funções exatos que devem ser usados no futuro.

Importante

Se você usar um novo mspOfferName e mantiver qualquer um dos mesmos valores de principalId, deverá remover o acesso à delegação anterior antes de implantar a nova oferta. Se você não remover a oferta primeiro, os usuários que receberam permissão anteriormente poderão perder o acesso completamente devido a atribuições conflitantes.

Se você estiver alterando o locatário de gerenciamento, poderá deixar a oferta anterior em vigor caso deseje que ambos os locatários continuem a ter acesso. Se você quiser que o novo locatário de gerenciamento tenha acesso, a oferta anterior deverá ser removida. Isso pode ser feito antes ou depois da integração da nova oferta.

Se você estiver atualizando a oferta para ajustar somente autorizações e mantiver o mesmo mspOfferName, não precisará remover a delegação anterior. A nova implantação substituirá a delegação anterior e somente as autorizações no modelo mais recente serão aplicadas.

Diagrama mostra quando alterar mspOfferName e remover uma delegação anterior.

A remoção do acesso à delegação pode ser feita por qualquer usuário no locatário de gerenciamento que recebeu a Função de Exclusão de Atribuição de Registro de Serviços Gerenciados na delegação original. Se nenhum usuário no locatário de gerenciamento tiver essa função, você poderá pedir ao cliente para remover o acesso à oferta no portal do Azure.

Dica

Se você removeu a delegação anterior, mas ainda não consegue implantar o novo modelo do ARM, talvez seja necessário remover a definição de registro por completo. Isso pode ser feito por qualquer usuário com uma função que tenha a permissão Microsoft.Authorization/roleAssignments/write, como Proprietário, no locatário do cliente.

Implantar o modelo do ARM

O cliente pode implantar o modelo atualizado da mesma maneira que fazia anteriormente: no portal do Azure, pelo PowerShell ou pela CLI do Azure.

Após a conclusão da implantação, confirme se ela foi bem-sucedida. As autorizações atualizadas estarão em vigor para a assinatura ou os grupos de recursos que o cliente tiver delegado.

Atualizar as ofertas de Serviços Gerenciados

Se você integrou o cliente por meio de uma oferta de Serviço Gerenciado publicada no Azure Marketplace e deseja atualizar as autorizações, faça isso publicando uma nova versão da oferta com atualizações nas autorizações do plano do cliente. O cliente será capaz deexaminar as alterações na portal do Azure e aceitar a versão atualizada.

Se desejar alterar o locatário de gerenciamento, será necessário criar e publicar uma nova oferta de Serviço Gerenciado para o cliente aceitar.

Importante

É recomendável não ter várias ofertas entre o mesmo cliente e o locatário de gerenciamento. Se você publicar uma nova oferta para o cliente atual que use o mesmo locatário de gerenciamento, remova a oferta anterior antes que o cliente aceite a oferta mais recente.

Próximas etapas