Обновление делегирования

После того, как вы подключили подписку (или группу ресурсов) к Azure Lighthouse, возможно, нужно будет внести изменения. Например, клиенту может потребоваться выполнить дополнительные задачи управления, требующие другой встроенной роли Azure, или изменить клиент, которому делегирована подписка клиента.

Совет

В этой статье будет идти речь о поставщиках услуг и клиентах, но предприятия, управляющие несколькими арендаторами, могут использовать тот же процесс для настройки Azure Lighthouse и консолидации своих возможностей управления.

Если вы подключали клиента с помощью шаблонов Azure Resource Manager (ARM), для него необходимо выполнить новое развертывание. В зависимости от того, что именно изменяется, вы можете либо обновить исходное предложение, либо удалить его и создать новое.

• При изменении только разрешений: обновите параметры делегирования, изменив раздел разрешений в шаблоне ARM.
• При изменении управляющего арендатора: создайте новый шаблон ARM, используя имя mspOfferName, отличное от предыдущего предложения.

Обновление шаблона ARM

Чтобы обновить делегирование, нужно развернуть шаблон ARM, который включает необходимые изменения.

Если вы обновляете только разрешения, используйте то же имя mspOfferName, что и в шаблоне ARM, который применялся для предыдущего делегирования. Например, этот вариант подойдет для изменения роли существующего пользователя или добавления новой группы пользователей с ролью, которой раньше не было. Используйте предыдущий шаблон в качестве отправной точки. Затем внесите необходимые изменения, например замените одну встроенную роль Azure на другую или добавьте в шаблон новые разрешения.

Если изменить имя mspOfferName, предложение будет считаться новым. Это необходимо, если вы изменяете управляющий арендатор.

Имя mspOfferName изменять не нужно, если управляющий арендатор остается прежним. В большинстве случаев мы рекомендуем использовать одно имя mspOfferName для одного клиента и управляющего арендатора. Если вы решили создать mspOfferName для шаблона, убедитесь, что предыдущее делегирование клиента удалено, прежде чем развертывать новое.

Удаление предыдущего делегирования

Перед выполнением нового развертывания может потребоваться удалить доступ к предыдущему делегированию. Так все предыдущие разрешения будут удалены, что позволит начать очистку с нужными пользователями, группами и ролями, которые необходимо применить в дальнейшем.

Важно!

Если вы используете новое имя mspOfferName и сохраняете те же значения principalId, то перед развертыванием нового предложения нужно удалить доступ к предыдущему делегированию. Если вы не удалите предложение, то пользователи, которым ранее было предоставлено разрешение, могут полностью потерять доступ из-за конфликтующих назначений.

При изменении управляющего арендатора можно оставить предыдущее предложение, если вы хотите, чтобы оба клиента продолжали получать доступ. Но если требуется, чтобы доступ был только у нового управляющего арендатора, необходимо удалить предыдущее предложение. Это можно сделать как до, так и после подключения нового предложения.

Если вы обновляете предложение только для настройки разрешений и не меняете имя mspOfferName, удалять предыдущее делегирование не нужно. Новое развертывание заменит предыдущее делегирование, и будут применены только разрешения из последнего шаблона.

Доступ к делегированию может удалять любой пользователь в управляющем арендаторе, которому в исходном делегировании была предоставлена роль для удаления назначения регистрации управляемых служб. Если в вашем управляющем арендаторе ни одному пользователю не назначена такая роль, вы можете попросить клиента удалить доступ к предложению на портале Azure.

Совет

Если вы удалили предыдущее делегирование, но по-прежнему не можете развернуть новый шаблон ARM, вам может потребоваться полностью удалить определение регистрации. Это может сделать любой пользователь с ролью, имеющей в клиентском арендаторе разрешение Microsoft.Authorization/roleAssignments/write, например Владелец.

Развертывание шаблона ARM

Клиент может развернуть обновленный шаблон так же, как и раньше: на портале Azure, с помощью PowerShell или Azure CLI.

После завершения развертывания убедитесь, что оно прошло успешно. Обновленные разрешения будут действовать для подписки или групп ресурсов, которые делегировал клиент.

Обновление предложений управляемых служб

Если вы подключили клиента с помощью предложения управляемой службы, опубликованного в Azure Marketplace, и хотите обновить авторизации, это можно сделать, опубликовав новую версию своего предложения с запланированными для этого клиента авторизациями. После этого клиент сможет просмотреть изменения в портал Azure и принять обновленную версию.

Если вы хотите изменить управляющий клиент, необходимо создать и опубликовать новое предложение управляемой службы , которое клиент примет.

Важно!

Мы не рекомендуем использовать несколько предложений между клиентом и управляющим клиентом. Если вы публикуете новое предложение для клиента, который использует тот же управляющий арендатор, убедитесь, что предыдущее предложение удалено, прежде чем он примет новое.

Дальнейшие действия

• Просматривайте клиентов и управляйте ими, перейдя в раздел Мои клиенты на портале Azure.
• Узнайте, как удалить доступ к делегированию, подключенному ранее.
• Узнайте больше об архитектуре Azure Lighthouse.