Ver e gerir fornecedores de serviços

Os clientes podem visitar Provedores de serviços no portal do Azure para obter controle e visibilidade de seus provedores de serviços que usam o Azure Lighthouse. Em Provedores de serviços, os clientes podem delegar recursos específicos, revisar ofertas novas ou atualizadas, remover o acesso do provedor de serviços e muito mais.

Para acessar provedores de serviços no portal do Azure, digite "Provedores de serviços" na caixa de pesquisa no cabeçalho da página do portal do Azure. Você também pode navegar até o Azure Lighthouse no portal do Azure e selecionar Exibir ofertas do provedor de serviços.

Nota

Para exibir provedores de serviços, um usuário no locatário do cliente deve ter a função interna Leitor (ou outra função interna que inclua acesso de Leitor).

Para adicionar ou atualizar ofertas, delegar recursos e remover ofertas, o usuário deve ter uma função com a Microsoft.Authorization/roleAssignments/write permissão, como Proprietário.

Os provedores de serviços mostram apenas informações sobre os provedores de serviços que têm acesso às assinaturas ou grupos de recursos do cliente por meio do Azure Lighthouse. Ele não mostra informações sobre nenhum provedor de serviços adicional que não use o Azure Lighthouse.

Ver detalhes do fornecedor de serviços

Para exibir detalhes sobre os provedores de serviços atuais que usam o Azure Lighthouse para trabalhar no locatário do cliente, selecione Ofertas do provedor de serviços no menu de serviços de Provedores de serviços.

Cada oferta mostra o nome do prestador de serviços e a oferta associada à mesma. Selecione uma oferta para exibir uma descrição e outros detalhes, incluindo as atribuições de função concedidas ao provedor de serviços.

Na coluna Delegações de uma oferta, você pode ver quantas assinaturas e/ou grupos de recursos foram delegados ao provedor de serviços. O provedor de serviços pode trabalhar nessas assinaturas e/ou grupos de recursos de acordo com os níveis de acesso especificados na oferta.

Adicionar ofertas de fornecedores de serviços

Você pode adicionar uma nova oferta de provedor de serviços em Ofertas de provedor de serviços.

Para adicionar uma oferta do marketplace, selecione Adicionar oferta na barra de comandos e, em seguida, escolha Adicionar via marketplace. Para exibir ofertas de Serviço Gerenciado publicadas especificamente para um cliente, selecione Produtos particulares. Caso contrário, procure uma oferta pública. Quando encontrar a oferta em que está interessado, selecione-a para rever os detalhes. Para adicionar a oferta, selecione Criar e forneça todas as informações necessárias.

Para adicionar uma oferta a partir de um modelo, selecione Adicionar oferta na barra de comandos e, em seguida, escolha Adicionar através do modelo. O painel Carregar Modelo de Oferta é exibido, permitindo que você carregue um modelo do seu provedor de serviços e integre sua assinatura (ou grupo de recursos). Para obter etapas detalhadas, consulte Implantar no portal do Azure.

Atualizar ofertas do provedor de serviços

Depois que um cliente adiciona uma oferta, um provedor de serviços pode publicar uma versão atualizada da mesma oferta no Azure Marketplace, como para adicionar uma nova definição de função. Se uma nova versão da oferta for publicada, um ícone de "atualização" aparecerá na linha dessa oferta. Selecione este ícone para ver as alterações na versão atual da oferta.

Depois de rever as alterações, pode optar por atualizar para a nova versão. Quando você faz isso, as autorizações e outras configurações especificadas na nova versão se aplicam a quaisquer assinaturas e/ou grupos de recursos que foram delegados anteriormente para essa oferta.

Remover ofertas do provedor de serviços

Você pode remover uma oferta de provedor de serviços a qualquer momento selecionando o ícone da lixeira na linha dessa oferta.

Depois de confirmar a exclusão, esse provedor de serviços não poderá mais acessar os recursos anteriormente delegados para essa oferta.

Importante

Se uma subscrição tiver duas ou mais ofertas do mesmo prestador de serviços, a remoção de uma delas poderá fazer com que alguns utilizadores do fornecedor de serviços percam o acesso concedido através das outras delegações. Esse problema ocorre apenas quando o mesmo usuário e função são incluídos em várias delegações, em seguida, uma das delegações é removida. Para restaurar o acesso, o processo de integração deve ser repetido para as ofertas que você não deseja remover.

Delegar recursos

Antes de um fornecedor de serviços poder aceder e gerir os recursos de um cliente, é necessário delegar uma ou mais subscrições e/ou grupos de recursos específicos. Quando um cliente adiciona uma oferta sem delegar recursos, uma nota aparece na parte superior da seção Ofertas do provedor de serviços. O provedor de serviços não pode trabalhar em nenhum recurso no locatário do cliente até que a delegação seja concluída.

Para delegar assinaturas ou grupos de recursos:

1. Marque a caixa da linha que contém o provedor de serviços, a oferta e o nome. Em seguida, selecione Delegar recursos na parte superior da tela.
2. Na seção Detalhes da oferta do painel Recursos delegados, revise os detalhes sobre o provedor de serviços e a oferta. Para rever as atribuições de função para a oferta, selecione Clique aqui para ver os detalhes da oferta selecionada.
3. Na seção Delegar, selecione Delegar assinaturas ou Delegar grupos de recursos.
4. Escolha as subscrições e/ou grupos de recursos que pretende delegar para esta oferta e, em seguida, selecione Adicionar.
5. Marque a caixa de seleção para confirmar que deseja conceder a esse provedor de serviços acesso a esses recursos e selecione Delegar.

Ver delegações

As delegações representam uma associação de recursos específicos do cliente (assinaturas e/ou grupos de recursos) com atribuições de função que concedem permissões ao provedor de serviços para esses recursos. Para exibir os detalhes da delegação, selecione Delegações no menu de serviço.

Os filtros na parte superior do painel permitem classificar e agrupar as informações da delegação. Você também pode filtrar por provedores de serviços, ofertas ou palavras-chave específicos.

Nota

Ao exibir atribuições de função para o escopo delegado no portal do Azure ou por meio de APIs, os clientes não podem ver atribuições de função para usuários do locatário do provedor de serviços que têm acesso por meio do Azure Lighthouse. Da mesma forma, os usuários no locatário do provedor de serviços não podem ver atribuições de função para usuários no locatário de um cliente, independentemente da função que lhes foi atribuída.

As atribuições clássicas de administrador em um locatário de cliente podem ser visíveis para os usuários no locatário de gerenciamento, ou o contrário, porque as funções clássicas de administrador não usam o modelo de implantação do Gerenciador de Recursos.

Auditar e restringir delegações em seu ambiente

Os clientes podem querer rever todas as subscrições e/ou grupos de recursos que são delegados ao Azure Lighthouse ou colocar restrições nos inquilinos aos quais podem ser delegados. Essas opções são especialmente úteis para clientes com um grande número de assinaturas ou que têm muitos usuários que executam tarefas de gerenciamento.

Fornecemos uma definição de política interna da Política do Azure para auditar a delegação de escopos a um locatário de gerenciamento. Pode atribuir esta política a um grupo de gestão que inclua todas as subscrições que pretende auditar. Quando você verifica a conformidade com essa política, todas as assinaturas delegadas e/ou grupos de recursos dentro desse grupo de gerenciamento são mostrados em um estado não compatível. Em seguida, pode rever os resultados e confirmar que não existem delegações inesperadas.

Outra definição de política interna permite restringir delegações a locatários gerenciadores específicos. Essa política pode ser atribuída a um grupo de gerenciamento que inclua todas as assinaturas para as quais você deseja limitar as delegações. Depois que a política for implantada, todas as tentativas de delegar uma assinatura a um locatário fora dos especificados serão negadas.

Para obter mais informações sobre como atribuir uma política e exibir os resultados do estado de conformidade, consulte Guia de início rápido: criar uma atribuição de política.

Próximos passos

• Saiba mais sobre o Azure Lighthouse.
• Saiba como auditar a atividade do provedor de serviços.
• Saiba como os fornecedores de serviços podem ver e gerir clientes no portal do Azure.
• Saiba como as empresas que gerenciam vários locatários podem usar o Azure Lighthouse para consolidar sua experiência de gerenciamento.