Atualizar uma delegação
Depois de integrar uma assinatura (ou grupo de recursos) ao Azure Lighthouse, talvez seja necessário fazer alterações. Por exemplo, seu cliente pode querer que você assuma tarefas de gerenciamento adicionais que exigem uma função interna diferente do Azure ou talvez seja necessário alterar o locatário ao qual uma assinatura de cliente é delegada.
Gorjeta
Embora nos referimos a provedores de serviços e clientes neste tópico, as empresas que gerenciam vários locatários podem usar o mesmo processo para configurar o Azure Lighthouse e consolidar sua experiência de gerenciamento.
Se você integrou seu cliente por meio de modelos do Azure Resource Manager (modelos ARM), uma nova implantação deverá ser executada para esse cliente. Dependendo do que você está alterando, você pode querer atualizar a oferta original, ou remover a oferta original e criar uma nova.
- Se você estiver alterando apenas autorizações: você pode atualizar sua delegação alterando a seção de autorizações do modelo ARM.
- Se você estiver alterando o locatário de gerenciamento: você deve criar um novo modelo ARM usando com um mspOfferName diferente da sua oferta anterior.
Atualize seu modelo ARM
Para atualizar sua delegação, você precisará implantar um modelo ARM que inclua as alterações que deseja fazer.
Se você estiver apenas atualizando autorizações (como adicionar um novo grupo de usuários com uma função que não havia incluído anteriormente ou alterar a função para um usuário existente), poderá usar o mesmo mspOfferName que no modelo ARM usado para a delegação anterior. Use seu modelo anterior como ponto de partida. Em seguida, faça as alterações necessárias, como substituir uma função interna do Azure por outra ou adicionar uma autorização completamente nova ao modelo.
Se você alterar o mspOfferName, isso será considerado uma nova oferta separada. Isso é necessário se você estiver alterando o locatário de gerenciamento.
Você não precisará alterar o mspOfferName se o locatário gerente permanecer o mesmo. Na maioria dos casos, recomendamos ter apenas um mspOfferName em uso pelo mesmo cliente e locatário de gerenciamento. Se você optar por criar um novo mspOfferName para seu modelo, certifique-se de que a delegação anterior do cliente seja removida antes de implantar a nova.
Remover a delegação anterior
Antes de executar uma nova implantação, convém remover o acesso à delegação anterior. Isso garante que todas as permissões anteriores sejam removidas, permitindo que você comece a limpar com os usuários/grupos e funções exatos que devem ser aplicados no futuro.
Importante
Se você usar um novo mspOfferName e mantiver qualquer um dos mesmos valores principalId , deverá remover o acesso à delegação anterior antes de implantar a nova oferta. Se você não remover a oferta primeiro, os usuários que haviam concedido permissão anteriormente podem perder o acesso completamente devido a atribuições conflitantes.
Se estiver a alterar o inquilino gestor, pode deixar a oferta anterior em vigor se pretender que ambos os inquilinos continuem a ter acesso. Se você quiser apenas que o novo locatário gerente tenha acesso, a oferta anterior deverá ser removida. Isso pode ser feito antes ou depois de integrar a nova oferta.
Se você estiver atualizando a oferta apenas para ajustar as autorizações e mantendo o mesmo mspOfferName, não será necessário remover a delegação anterior. A nova implantação substituirá a delegação anterior e apenas as autorizações no modelo mais recente serão aplicadas.
A remoção do acesso à delegação pode ser feita por qualquer usuário no locatário de gerenciamento que recebeu a Função de Exclusão de Atribuição de Registro de Serviços Gerenciados na delegação original. Se nenhum usuário em seu locatário de gerenciamento tiver essa função, você poderá solicitar ao cliente que remova o acesso à oferta no portal do Azure.
Gorjeta
Se você tiver removido a delegação anterior, mas não conseguir implantar o novo modelo ARM, talvez seja necessário remover completamente a definição de registro. Isso pode ser feito por qualquer usuário com uma função que tenha a Microsoft.Authorization/roleAssignments/write permissão, como Proprietário, no locatário do cliente.
Implementar o modelo do Resource Manager
Seu cliente pode implantar o modelo atualizado da mesma maneira que fazia anteriormente: no portal do Azure, usando o PowerShell ou a CLI do Azure.
Após a conclusão da implantação, confirme se ela foi bem-sucedida. As autorizações atualizadas entrarão em vigor para a assinatura ou grupo(s) de recursos que o cliente delegou.
Atualizando ofertas do Serviço Gerenciado
Se você integrou seu cliente por meio de uma oferta de Serviço Gerenciado publicada no Azure Marketplace e deseja atualizar autorizações, poderá fazê-lo publicando uma nova versão da sua oferta com atualizações para as autorizações no plano para esse cliente. O cliente poderá rever as alterações no portal do Azure e aceitar a versão atualizada.
Se quiser alterar o locatário de gerenciamento, você precisará criar e publicar uma nova oferta de Serviço Gerenciado para o cliente aceitar.
Importante
Recomendamos não ter várias ofertas entre o mesmo cliente e o inquilino gestor. Se você publicar uma nova oferta para um cliente atual que usa o mesmo locatário de gerenciamento, certifique-se de que a oferta anterior seja removida antes que o cliente aceite a oferta mais recente.
Próximos passos
- Exiba e gerencie clientes acessando Meus clientes no portal do Azure.
- Saiba como remover o acesso a uma delegação que foi integrada anteriormente.
- Saiba mais sobre a arquitetura do Azure Lighthouse.