Uppdatera en delegering
När du har registrerat en prenumeration (eller resursgrupp) i Azure Lighthouse kan du behöva göra ändringar. Kunden kanske till exempel vill att du ska utföra ytterligare hanteringsuppgifter som kräver en annan inbyggd Azure-roll, eller så kan du behöva ändra klientorganisationen som en kundprenumeration delegeras till.
Tips
Även om vi refererar till tjänstleverantörer och kunder i det här avsnittet kan företag som hanterar flera klienter använda samma process för att konfigurera Azure Lighthouse och konsolidera sin hanteringsupplevelse.
Om du registrerade kunden via Azure Resource Manager-mallar (ARM-mallar) måste en ny distribution utföras för kunden. Beroende på vad du ändrar kanske du vill uppdatera det ursprungliga erbjudandet eller ta bort det ursprungliga erbjudandet och skapa ett nytt.
- Om du bara ändrar auktoriseringar: Du kan uppdatera delegeringen genom att ändra auktoriseringsavsnittet i ARM-mallen.
- Om du ändrar den hanterande klienten: Du måste skapa en ny ARM-mall med en annan mspOfferName än ditt tidigare erbjudande.
Uppdatera ARM-mallen
Om du vill uppdatera delegeringen måste du distribuera en ARM-mall som innehåller de ändringar som du vill göra.
Om du bara uppdaterar auktoriseringar (till exempel lägga till en ny användargrupp med en roll som du inte tidigare inkluderat eller ändra rollen för en befintlig användare) kan du använda samma mspOfferName som i ARM-mallen som du använde för den tidigare delegeringen. Använd din tidigare mall som utgångspunkt. Gör sedan de ändringar du behöver, till exempel att ersätta en inbyggd Azure-roll med en annan, eller lägga till en helt ny auktorisering i mallen.
Om du ändrar mspOfferName betraktas detta som ett nytt, separat erbjudande. Detta krävs om du ändrar den hanterande klientorganisationen.
Du behöver inte ändra mspOfferName om den hanterande klienten förblir densamma. I de flesta fall rekommenderar vi att du bara har en mspOfferName som används av samma kund och hanterar klientorganisationen. Om du väljer att skapa ett nytt mspOfferName för mallen måste du se till att kundens tidigare delegering tas bort innan du distribuerar den nya.
Ta bort den tidigare delegeringen
Innan du utför en ny distribution kanske du vill ta bort åtkomsten till den tidigare delegeringen. Detta säkerställer att alla tidigare behörigheter tas bort, så att du kan börja rensa med de exakta användare/grupper och roller som ska gälla framöver.
Viktigt
Om du använder ett nytt mspOfferName och behåller något av samma principalId-värden måste du ta bort åtkomsten till den tidigare delegeringen innan du distribuerar det nya erbjudandet. Om du inte tar bort erbjudandet först kan användare som tidigare beviljat behörighet förlora åtkomst helt på grund av motstridiga tilldelningar.
Om du ändrar den hanterande klientorganisationen kan du lämna det tidigare erbjudandet på plats om du vill att båda klienterna ska fortsätta ha åtkomst. Om du bara vill att den nya hanteringsklienten ska ha åtkomst måste det tidigare erbjudandet tas bort. Detta kan göras antingen före eller efter att du har publicerat det nya erbjudandet.
Om du uppdaterar erbjudandet för att endast justera auktoriseringar och behåller samma mspOfferName behöver du inte ta bort den tidigare delegeringen. Den nya distributionen ersätter den tidigare delegeringen och endast auktoriseringarna i den senaste mallen gäller.
Borttagning av åtkomst till delegeringen kan göras av alla användare i den hanterande klientorganisationen som har beviljats borttagningsrollen för registreringstilldelning för hanterade tjänster i den ursprungliga delegeringen. Om ingen användare i din hanteringsklient har den här rollen kan du be kunden att ta bort åtkomsten till erbjudandet i Azure Portal.
Tips
Om du har tagit bort den tidigare delegeringen men inte kan distribuera den nya ARM-mallen kan du behöva ta bort registreringsdefinitionen helt. Detta kan göras av alla användare med en roll som har behörighet, Microsoft.Authorization/roleAssignments/write till exempel Ägare, i kundens klientorganisation.
Distribuera ARM-mallen
Kunden kan distribuera den uppdaterade mallen på samma sätt som tidigare: i Azure Portal, med hjälp av PowerShell eller med hjälp av Azure CLI.
När distributionen har slutförts bekräftar du att den lyckades. De uppdaterade auktoriseringarna gäller sedan för den eller de resursgrupper som kunden har delegerat.
Uppdatera erbjudanden för hanterad tjänst
Om du registrerade kunden via ett erbjudande om hanterad tjänst som publicerats till Azure Marketplace och du vill uppdatera auktoriseringar kan du göra det genom att publicera en ny version av erbjudandet med uppdateringar av auktoriseringarna i planen för kunden. Kunden kommer sedan att kunna granska ändringarna i Azure Portal och acceptera den uppdaterade versionen.
Om du vill ändra den hanterande klientorganisationen måste du skapa och publicera ett nytt erbjudande för hanterad tjänst som kunden kan acceptera.
Viktigt
Vi rekommenderar att du inte har flera erbjudanden mellan samma kund och hantering av klientorganisationen. Om du publicerar ett nytt erbjudande för en aktuell kund som använder samma hanteringsklient måste du se till att det tidigare erbjudandet tas bort innan kunden accepterar det nyare erbjudandet.
Nästa steg
- Visa och hantera kunder genom att gå till Mina kunder i Azure Portal.
- Lär dig hur du tar bort åtkomst till en delegering som tidigare har registrerats.
- Läs mer om Azure Lighthouse-arkitektur.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för