Tüm abonelikleri bir yönetim grubuna ekleme

  • Makale

Azure Lighthouse aboneliklerin ve/veya kaynak gruplarının temsil edilmesini sağlar, ancak yönetim gruplarının temsil edilmesini sağlar. Ancak, bir yönetim grubu içindeki tüm abonelikleri yöneten bir kiracıya devretmek için bir Azure İlkesi kullanabilirsiniz.

İlke, yönetim grubundaki her aboneliğin belirtilen yönetim kiracısına temsilci olarak atanıp atanmadığını denetlemek için deployIfNotExists etkisini kullanır. Bir abonelik henüz temsilci olarak atanmadıysa ilke, parametrelerde sağladığınız değerlere göre Azure Lighthouse atamasını oluşturur. Daha sonra yönetim grubundaki tüm aboneliklere, her biri el ile eklenmiş gibi erişebilirsiniz.

Bu ilkeyi kullanırken şunları aklınızda bulundurun:

  • Yönetim grubundaki her abonelik aynı yetkilendirme kümesine sahip olur. Erişim verilen kullanıcıları ve rolleri değiştirmek için abonelikleri el ile eklemeniz gerekir.
  • Yönetim grubundaki her abonelik eklenirken, Azure Lighthouse aracılığıyla yönetim grubu kaynağı üzerinde işlem yapamazsınız. Tek tek eklenen abonelikler gibi, üzerinde çalışmak için abonelikleri de seçmeniz gerekir.

Aşağıda belirtilmediği sürece, bu adımların tümü müşterinin kiracısında uygun izinlere sahip bir kullanıcı tarafından gerçekleştirilmelidir.

İpucu

Bu konu başlığında hizmet sağlayıcılarına ve müşterilere başvursak da, birden çok kiracıyı yöneten kuruluşlar aynı işlemleri kullanabilir.

Kaynak sağlayıcısını abonelikler arasında kaydetme

Genellikle , Microsoft.ManagedServices kaynak sağlayıcısı ekleme işleminin bir parçası olarak bir abonelik için kaydedilir. İlkeyi kullanarak abonelikleri bir yönetim grubuna eklerken kaynak sağlayıcısının önceden kaydedilmesi gerekir. Bu, müşterinin kiracısında Bulunan veya Sahip kullanıcısı (veya kaynak sağlayıcısı için işlemi yapma /register/action izni olan herhangi bir kullanıcı) tarafından yapılabilir. Daha fazla bilgi için bkz. Azure kaynak sağlayıcıları ve türleri.

Kaynak sağlayıcısını abonelikler arasında otomatik olarak kaydetmek için bir Azure Logic App kullanabilirsiniz. Bu Mantıksal Uygulama, bir yönetim grubu içindeki her abonelikte kaynak sağlayıcısını kaydetmesine izin veren sınırlı izinlere sahip bir müşterinin kiracısına dağıtılabilir.

Hizmet sağlayıcısının kiracısında dağıtılabilir bir Azure Logic App de sağlıyoruz. Bu Mantıksal Uygulama, Logic App'e kiracı genelinde yönetici onayı vererek kaynak sağlayıcısını birden çok kiracıdaki abonelikler arasında atayabilir. Kiracı genelinde yönetici onayı verme işlemi, kuruluş adına onay verme yetkisi olan bir kullanıcı olarak oturum açmanızı gerektirir. Sağlayıcıyı birden çok kiracıya kaydetmek için bu seçeneği kullansanız bile ilkeyi her yönetim grubu için ayrı ayrı dağıtmanız gerekecektir.

Parametre dosyanızı oluşturma

İlkeyi atamak için, örnek depomuzdan deployLighthouseIfNotExistManagementGroup.json dosyasını ve belirli kiracınız ve atama ayrıntılarınızla düzenlediğiniz deployLighthouseIfNotExistsManagementGroup.parameters.json parametre dosyasını dağıtın. Bu iki dosya, tek bir aboneliği eklemek için kullanılacak ayrıntıları içerir.

Aşağıdaki örnekte, relecloud Managed Services kiracısına abonelikleri temsilci olarak atayan ve biri Katman 1 Desteği için olmak üzere iki sorumlu kimliğine erişim izni veren bir parametre dosyası ve müşteri kiracısında yönetilen kimliklere delegateRoleDefinitionIds atayabilen bir otomasyon hesabı gösterilmektedir.

{ 
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#", 
    "contentVersion": "1.0.0.0", 
    "parameters": { 
        "managedByName": { 
            "value": "Relecloud Managed Services" 
        }, 
        "managedByDescription": { 
            "value": "Relecloud provides managed services to its customers" 
        }, 
        "managedByTenantId": { 
            "value": "00000000-0000-0000-0000-000000000000" 
        }, 
        "managedByAuthorizations": { 
            "value": [ 
                { 
                    "principalId": "00000000-0000-0000-0000-000000000000", 
                    "principalIdDisplayName": "Tier 1 Support", 
                    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c" 
                }, 
                { 
                    "principalId": "00000000-0000-0000-0000-000000000000", 
                    "principalIdDisplayName": "Automation Account - Full access", 
                    "roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9", 
                    "delegatedRoleDefinitionIds": [ 
                        "b24988ac-6180-42a0-ab88-20f7382dd24c", 
                        "92aaf0da-9dab-42b6-94a3-d43ce8d16293", 
                        "91c1777a-f3dc-4fae-b103-61d183457e46" 
                    ] 
                }                 
            ] 
        } 
    } 
}

İlkeyi bir yönetim grubuna atama

İlkeyi düzenleyerek atamalarınızı oluşturduktan sonra, ilkeyi yönetim grubu düzeyinde atayabilirsiniz. İlke atamayı ve uyumluluk durumu sonuçlarını görüntülemeyi öğrenmek için bkz . Hızlı Başlangıç: İlke ataması oluşturma.

Aşağıdaki PowerShell betiği, oluşturduğunuz şablon ve parametre dosyasını kullanarak ilke tanımının belirtilen yönetim grubu altına nasıl ekleneceğini gösterir. Mevcut abonelikler için atama ve düzeltme görevi oluşturmanız gerekir.

New-AzManagementGroupDeployment -Name <DeploymentName> -Location <location> -ManagementGroupId <ManagementGroupName> -TemplateFile <path to file> -TemplateParameterFile <path to parameter file> -verbose

Ekleme işleminin başarılı olduğunu onaylayın

Yönetim grubundaki aboneliklerin başarıyla eklendiğini doğrulamanın çeşitli yolları vardır. Daha fazla bilgi için bkz. Eklemenin başarılı olduğunu onaylama.

Yönetim grubunuz için Mantıksal Uygulama ve ilkeyi etkin tutarsanız, yönetim grubuna eklenen tüm yeni abonelikler de eklenir.

Sonraki adımlar