Ver e gerir fornecedores de serviços
A página Provedores de serviços no portal do Azure oferece aos clientes controle e visibilidade para seus provedores de serviços que usam o Azure Lighthouse. Os clientes podem delegar recursos específicos, rever ofertas novas ou atualizadas, remover o acesso do fornecedor de serviços, etc.
Para aceder à página Fornecedores de serviços no portal do Azure, introduza "Fornecedores de serviços" na caixa de pesquisa junto à parte superior do portal do Azure. Também pode selecionar Todos os serviços e, em seguida, procurar o Azure Lighthouse ou procurar "Azure Lighthouse". Na página Azure Lighthouse, selecione Exibir ofertas do provedor de serviços.
Nota
Para exibir a página Provedores de serviços, um usuário no locatário do cliente deve ter a função interna Leitor (ou outra função interna que inclua acesso de Leitor).
Para adicionar ou atualizar ofertas, delegar recursos e remover ofertas, o usuário deve ter uma função com a Microsoft.Authorization/roleAssignments/write
permissão, como Proprietário.
Lembre-se de que a página Provedores de serviços mostra apenas informações sobre os provedores de serviços que têm acesso às assinaturas ou grupos de recursos do cliente por meio do Azure Lighthouse. Ele não mostra nenhuma informação sobre provedores de serviços adicionais que não usam o Azure Lighthouse.
Ver detalhes do fornecedor de serviços
Para exibir detalhes sobre os provedores de serviços atuais que usam o Azure Lighthouse para trabalhar no locatário do cliente, selecione Ofertas do provedor de serviços no lado esquerdo da página Provedores de serviços .
Para cada oferta, você verá o nome do provedor de serviços e a oferta associada a ela. Você pode selecionar uma oferta para exibir uma descrição e outros detalhes, incluindo as atribuições de função que o provedor de serviços recebeu.
Na coluna Delegações, você pode ver quantas assinaturas e/ou grupos de recursos foram delegados ao provedor de serviços para essa oferta. O provedor de serviços poderá acessar e gerenciar essas assinaturas e/ou grupos de recursos de acordo com os níveis de acesso especificados na oferta.
Adicionar ofertas de fornecedores de serviços
Você pode adicionar uma nova oferta de provedor de serviços na página Ofertas do provedor de serviços.
Para adicionar uma oferta do marketplace, selecione o botão Adicionar oferta no meio da página ou selecione Adicionar oferta na parte superior da página e, em seguida, escolha Adicionar via marketplace. Se as ofertas do Serviço Gerenciado tiverem sido publicadas especificamente para esse cliente, selecione Ofertas particulares para visualizá-las. Selecione uma oferta para rever os detalhes. Para adicionar a oferta, selecione Criar.
Para adicionar uma oferta a partir de um modelo, selecione Adicionar oferta na parte superior da página e, em seguida, escolha Adicionar via marketplace. Isso permitirá que você carregue um modelo do seu provedor de serviços e integre sua assinatura (ou grupo de recursos). Para obter mais informações, consulte Implantar no portal do Azure.
Atualizar ofertas do provedor de serviços
Depois que um cliente adicionar uma oferta, um provedor de serviços poderá publicar uma versão atualizada da mesma oferta no Azure Marketplace, como para adicionar uma nova definição de função. Se uma nova versão da oferta tiver sido publicada, a página Ofertas do provedor de serviços mostrará um ícone de "atualização" na linha dessa oferta. Selecione este ícone para ver as diferenças entre a versão atual da oferta e a nova.
Depois de rever as alterações, pode optar por atualizar para a nova versão. As autorizações e outras configurações especificadas na nova versão serão aplicadas a quaisquer assinaturas e/ou grupos de recursos que tenham sido delegados para essa oferta.
Remover ofertas do provedor de serviços
Você pode remover uma oferta de provedor de serviços a qualquer momento selecionando o ícone da lixeira na linha dessa oferta.
Depois de confirmar a exclusão, esse provedor de serviços não terá mais acesso aos recursos anteriormente delegados para essa oferta.
Importante
Se uma subscrição tiver duas ou mais ofertas do mesmo prestador de serviços, a remoção de uma delas poderá fazer com que alguns utilizadores do fornecedor de serviços percam o acesso concedido através das outras delegações. Isso ocorre apenas quando o mesmo usuário e função são incluídos em várias delegações e, em seguida, uma das delegações é removida. Para corrigir isso, o processo de integração deve ser repetido para as ofertas que você não está removendo.
Delegar recursos
Antes de um fornecedor de serviços poder aceder e gerir os recursos de um cliente, é necessário delegar uma ou mais subscrições e/ou grupos de recursos específicos. Quando um cliente adiciona uma oferta sem delegar recursos, uma nota aparece na parte superior da seção Ofertas do provedor de serviços. O provedor de serviços não pode trabalhar em nenhum recurso no locatário do cliente até que a delegação seja concluída.
Para delegar assinaturas ou grupos de recursos:
- Marque a caixa da linha que contém o provedor de serviços, a oferta e o nome. Em seguida, selecione Delegar recursos na parte superior da tela.
- Na seção Detalhes da oferta da página Recursos do delegado, revise os detalhes sobre o provedor de serviços e a oferta. Para rever as atribuições de função para a oferta, selecione Clique aqui para ver os detalhes da oferta selecionada.
- Na seção Delegar, selecione Delegar assinaturas ou Delegar grupos de recursos.
- Escolha as subscrições e/ou grupos de recursos que pretende delegar para esta oferta e, em seguida, selecione Adicionar.
- Marque a caixa de seleção na parte inferior da página para confirmar que deseja conceder a esse provedor de serviços acesso a esses recursos e selecione Delegar.
Ver delegações
As delegações representam uma associação de recursos específicos do cliente (assinaturas e/ou grupos de recursos) com atribuições de função que concedem permissões ao provedor de serviços para esses recursos. Para exibir os detalhes da delegação, selecione Delegações no lado esquerdo da página Provedores de serviços.
Os filtros na parte superior da página permitem classificar e agrupar as informações da delegação. Você também pode filtrar por provedores de serviços, ofertas ou palavras-chave específicos.
Nota
Ao exibir atribuições de função para o escopo delegado no portal do Azure ou por meio de APIs, os clientes não verão atribuições de função para usuários do locatário do provedor de serviços que têm acesso por meio do Azure Lighthouse. Da mesma forma, os usuários no locatário do provedor de serviços não verão atribuições de função para usuários no locatário de um cliente, independentemente da função que lhes foi atribuída.
Observe que as atribuições clássicas de administrador em um locatário de cliente podem estar visíveis para os usuários no locatário de gerenciamento, ou o contrário, porque as funções clássicas de administrador não usam o modelo de implantação do Resource Manager.
Auditar e restringir delegações em seu ambiente
Os clientes podem querer rever todas as subscrições e/ou grupos de recursos que foram delegados ao Azure Lighthouse. Isso é especialmente útil para aqueles clientes com um grande número de assinaturas ou que têm muitos usuários que executam tarefas de gerenciamento.
Fornecemos uma definição de política interna da Política do Azure para auditar a delegação de escopos a um locatário de gerenciamento. Pode atribuir esta política a um grupo de gestão que inclua todas as subscrições que pretende auditar. Quando você verifica a conformidade com essa política, todas as assinaturas delegadas e/ou grupos de recursos (dentro do grupo de gerenciamento ao qual a política é atribuída) são mostrados em um estado não compatível. Em seguida, pode rever os resultados e confirmar que não existem delegações inesperadas.
Outra definição de política interna permite restringir delegações a locatários gerenciadores específicos. Esta política pode ser atribuída a um grupo de gestão que inclua quaisquer subscrições para as quais pretenda limitar as delegações. Depois que a política for implantada, todas as tentativas de delegar uma assinatura a um locatário fora dos especificados serão negadas.
Para obter mais informações sobre como atribuir uma política e exibir os resultados do estado de conformidade, consulte Guia de início rápido: criar uma atribuição de política.
Próximos passos
- Saiba mais sobre o Azure Lighthouse.
- Saiba como auditar a atividade do provedor de serviços.
- Saiba como os fornecedores de serviços podem ver e gerir clientes na página Os meus clientes no portal do Azure.
- Saiba como as empresas que gerenciam vários locatários podem usar o Azure Lighthouse para consolidar sua experiência de gerenciamento.