Uppdatera en delegering
När du har registrerat en prenumeration (eller resursgrupp) i Azure Lighthouse kan du behöva göra ändringar. Kunden kanske till exempel vill att du ska utföra ytterligare hanteringsuppgifter som kräver en annan inbyggd Azure-roll, eller så kan du behöva ändra klientorganisationen som en kundprenumeration delegeras till.
Dricks
Även om vi refererar till tjänsteleverantörer och kunder i det här avsnittet kan företag som hanterar flera klienter använda samma process för att konfigurera Azure Lighthouse och konsolidera sin hanteringsupplevelse.
Om du registrerade kunden via Azure Resource Manager-mallar (ARM-mallar) måste en ny distribution utföras för kunden. Beroende på vad du ändrar kanske du vill uppdatera det ursprungliga erbjudandet eller ta bort det ursprungliga erbjudandet och skapa ett nytt.
- Om du bara ändrar auktoriseringar: Du kan uppdatera delegeringen genom att ändra auktoriseringsavsnittet i ARM-mallen.
- Om du ändrar den hanterande klientorganisationen: Du måste skapa en ny ARM-mall med en annan mspOfferName än ditt tidigare erbjudande.
Uppdatera ARM-mallen
Om du vill uppdatera delegeringen måste du distribuera en ARM-mall som innehåller de ändringar du vill göra.
Om du bara uppdaterar auktoriseringar (till exempel att lägga till en ny användargrupp med en roll som du inte tidigare hade inkluderat eller ändra rollen för en befintlig användare) kan du använda samma mspOfferName som i ARM-mallen som du använde för den tidigare delegeringen. Använd din tidigare mall som utgångspunkt. Gör sedan de ändringar du behöver, till exempel att ersätta en inbyggd Azure-roll med en annan eller lägga till en helt ny auktorisering i mallen.
Om du ändrar mspOfferName betraktas detta som ett nytt, separat erbjudande. Detta krävs om du ändrar den hanterande klientorganisationen.
Du behöver inte ändra mspOfferName om den hanterande klientorganisationen förblir densamma. I de flesta fall rekommenderar vi att endast en mspOfferName används av samma kund och hanterar klientorganisationen. Om du väljer att skapa ett nytt mspOfferName för mallen måste du se till att kundens tidigare delegering tas bort innan du distribuerar den nya.
Ta bort den tidigare delegeringen
Innan du utför en ny distribution kanske du vill ta bort åtkomsten till den tidigare delegeringen. Detta säkerställer att alla tidigare behörigheter tas bort, så att du kan börja rensa med de exakta användare/grupper och roller som bör gälla framöver.
Viktigt!
Om du använder ett nytt mspOfferName och behåller något av samma principalId-värden måste du ta bort åtkomsten till den tidigare delegeringen innan du distribuerar det nya erbjudandet. Om du inte tar bort erbjudandet först kan användare som tidigare beviljat behörighet förlora åtkomsten helt på grund av motstridiga tilldelningar.
Om du ändrar den hanterande klientorganisationen kan du lämna det tidigare erbjudandet på plats om du vill att båda klienterna ska ha fortsatt åtkomst. Om du bara vill att den nya hanteringsklientorganisationen ska ha åtkomst måste det tidigare erbjudandet tas bort. Detta kan göras antingen före eller efter att du har registrerat det nya erbjudandet.
Om du uppdaterar erbjudandet för att endast justera auktoriseringar och behåller samma mspOfferName behöver du inte ta bort den tidigare delegeringen. Den nya distributionen ersätter den tidigare delegeringen och endast auktoriseringarna i den senaste mallen gäller.
Att ta bort åtkomsten till delegeringen kan göras av alla användare i den hanterande klientorganisationen som beviljades borttagningsrollen för registrering av hanterade tjänster i den ursprungliga delegeringen. Om ingen användare i din hanteringsklient har den här rollen kan du be kunden att ta bort åtkomsten till erbjudandet i Azure Portal.
Dricks
Om du har tagit bort den tidigare delegeringen men inte kan distribuera den nya ARM-mallen kan du behöva ta bort registreringsdefinitionen helt. Detta kan göras av alla användare med en roll som har behörigheten Microsoft.Authorization/roleAssignments/write
, till exempel Ägare, i kundens klientorganisation.
Distribuera ARM-mallen
Kunden kan distribuera den uppdaterade mallen på samma sätt som tidigare: i Azure Portal, med hjälp av PowerShell eller med hjälp av Azure CLI.
När distributionen har slutförts bekräftar du att den lyckades. De uppdaterade auktoriseringarna gäller sedan för den prenumeration eller resursgrupp som kunden har delegerat.
Uppdatera erbjudanden för hanterad tjänst
Om du registrerade kunden via ett erbjudande om hanterad tjänst som publicerats på Azure Marketplace och du vill uppdatera auktoriseringar kan du göra det genom att publicera en ny version av erbjudandet med uppdateringar av auktoriseringarna i planen för kunden. Kunden kommer sedan att kunna granska ändringarna i Azure Portal och acceptera den uppdaterade versionen.
Om du vill ändra hanteringsklientorganisationen måste du skapa och publicera ett nytt erbjudande för hanterad tjänst som kunden kan acceptera.
Viktigt!
Vi rekommenderar att du inte har flera erbjudanden mellan samma kund och hantering av klientorganisationen. Om du publicerar ett nytt erbjudande för en aktuell kund som använder samma hanteringsklientorganisation måste du se till att det tidigare erbjudandet tas bort innan kunden accepterar det nyare erbjudandet.
Nästa steg
- Visa och hantera kunder genom att gå till Mina kunder i Azure Portal.
- Lär dig hur du tar bort åtkomsten till en delegering som tidigare har registrerats.
- Läs mer om Azure Lighthouse-arkitektur.