Integrar todas as subscrições num grupo de gestão
O Azure Lighthouse permite a delegação de subscrições e/ou grupos de recursos, mas não grupos de gestão. No entanto, pode utilizar um Azure Policy para delegar todas as subscrições num grupo de gestão a um inquilino de gestão.
A política utiliza o efeito deployIfNotExists para verificar se cada subscrição no grupo de gestão foi delegada ao inquilino de gestão especificado. Se uma subscrição ainda não estiver delegada, a política cria a atribuição do Azure Lighthouse com base nos valores que fornecer nos parâmetros. Em seguida, terá acesso a todas as subscrições no grupo de gestão, tal como se tivessem sido integradas manualmente.
Ao utilizar esta política, tenha em atenção:
- Cada subscrição no grupo de gestão terá o mesmo conjunto de autorizações. Para variar os utilizadores e funções a quem é concedido acesso, terá de integrar subscrições manualmente.
- Embora todas as subscrições no grupo de gestão estejam integradas, não pode efetuar ações no recurso do grupo de gestão através do Azure Lighthouse. Terá de selecionar subscrições para trabalhar, tal como faria se fossem integradas individualmente.
A menos que seja especificado abaixo, todos estes passos têm de ser executados por um utilizador no inquilino do cliente com as permissões adequadas.
Dica
Apesar de nos referirmos a fornecedores de serviços e clientes neste tópico, as empresas que gerem vários inquilinos podem utilizar os mesmos processos.
Registar o fornecedor de recursos entre subscrições
Normalmente, o fornecedor de recursos Microsoft.ManagedServices está registado numa subscrição como parte do processo de integração. Ao utilizar a política para integrar subscrições num grupo de gestão, o fornecedor de recursos tem de ser registado com antecedência. Isto pode ser feito por um utilizador Contribuidor ou Proprietário no inquilino do cliente (ou por qualquer utilizador que tenha permissões para efetuar a /register/action operação para o fornecedor de recursos). Para obter mais informações, veja Fornecedores e tipos de recursos do Azure.
Pode utilizar uma Aplicação Lógica do Azure para registar automaticamente o fornecedor de recursos entre subscrições. Esta Aplicação Lógica pode ser implementada no inquilino de um cliente com permissões limitadas que lhe permitem registar o fornecedor de recursos em cada subscrição num grupo de gestão.
Também fornecemos uma Aplicação Lógica do Azure que pode ser implementada no inquilino do fornecedor de serviços. Esta Aplicação Lógica pode atribuir o fornecedor de recursos entre subscrições em vários inquilinos ao conceder consentimento de administrador ao nível do inquilino à Aplicação Lógica. Para dar consentimento do administrador ao nível do inquilino, precisará iniciar sessão como utilizador autorizado a consentir em nome da organização, Tenha em atenção que, mesmo que utilize esta opção para registar o fornecedor em vários inquilinos, ainda terá de implementar a política individualmente para cada grupo de gestão.
Criar o ficheiro de parâmetros
Para atribuir a política, implemente o ficheiro deployLighthouseIfNotExistManagementGroup.json a partir do nosso repositório de exemplos, juntamente com um ficheiro de parâmetros deployLighthouseIfNotExistsManagementGroup.parameters.json que edita com os detalhes específicos do inquilino e da atribuição. Estes dois ficheiros contêm os mesmos detalhes que seriam utilizados para integrar uma subscrição individual.
O exemplo abaixo mostra um ficheiro de parâmetros que delegará as subscrições ao inquilino dos Serviços Geridos da Relecloud, com acesso concedido a dois principaisIDs: um para o Suporte da Camada 1 e uma conta de automatização que pode atribuir o delegateRoleDefinitionIds a identidades geridas no inquilino do cliente.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"managedByName": {
"value": "Relecloud Managed Services"
},
"managedByDescription": {
"value": "Relecloud provides managed services to its customers"
},
"managedByTenantId": {
"value": "00000000-0000-0000-0000-000000000000"
},
"managedByAuthorizations": {
"value": [
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Tier 1 Support",
"roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
},
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Automation Account - Full access",
"roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"delegatedRoleDefinitionIds": [
"b24988ac-6180-42a0-ab88-20f7382dd24c",
"92aaf0da-9dab-42b6-94a3-d43ce8d16293",
"91c1777a-f3dc-4fae-b103-61d183457e46"
]
}
]
}
}
}
Atribuir a política a um grupo de gestão
Depois de editar a política para criar as suas atribuições, pode atribuí-la ao nível do grupo de gestão. Para saber como atribuir uma política e ver os resultados do estado de conformidade, veja Início Rápido: Criar uma atribuição de política.
O script do PowerShell abaixo mostra como adicionar a definição de política no grupo de gestão especificado, com o modelo e o ficheiro de parâmetros que criou. Tem de criar a tarefa de atribuição e remediação para subscrições existentes.
New-AzManagementGroupDeployment -Name <DeploymentName> -Location <location> -ManagementGroupId <ManagementGroupName> -TemplateFile <path to file> -TemplateParameterFile <path to parameter file> -verbose
Confirmar a integração com êxito
Existem várias formas de verificar se as subscrições no grupo de gestão foram integradas com êxito. Para obter mais informações, veja Confirmar a integração com êxito.
Se mantiver a Aplicação Lógica e a política ativas para o seu grupo de gestão, todas as novas subscrições adicionadas ao grupo de gestão também serão integradas.
Passos seguintes
- Saiba mais sobre como integrar clientes no Azure Lighthouse.
- Saiba mais sobre Azure Policy.
- Saiba mais sobre o Azure Logic Apps.