你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

查看和管理服务提供商

客户可通过 Azure 门户中的“服务提供商”页控制和查看使用 Azure Lighthouse 的服务提供商。 客户可以委派特定资源、查看新的或更新的产品/服务以及删除服务提供商访问权限等。

若要访问 Azure 门户中的“服务提供商”页面,在 Azure 门户顶部附近的搜索框中输入“服务提供商”。 还可以选择“所有服务”,然后搜索 Azure Lighthouse,或者直接搜索“Azure Lighthouse”。 在 Azure Lighthouse 页中,选择“查看服务提供商产品/服务”。

注意

若要查看“服务提供商”页,客户租户中的用户必须具有读者内置角色(或其他包含读者访问权限的内置角色)。

若要添加或更新产品/服务、委派资源和删除产品/服务,用户必须具有拥有 Microsoft.Authorization/roleAssignments/write 权限的角色,如所有者

请记住,“服务提供商”页面仅显示有关可通过 Azure Lighthouse 访问客户的订阅或资源组的服务提供商的信息。 它不会显示任何有关不使用 Azure Lighthouse 的其他服务提供商的信息。

查看服务提供商详情

若要查看有关使用 Azure Lighthouse 来处理客户租户的当前服务提供商的详细信息,请在“服务提供商”页面左侧选择“服务提供商产品/服务” 。

对于每个产品/服务,你都将看到服务提供商的名称和与之关联的产品/服务。 可以选择一个产品/服务来查看描述和其他详细信息,包括已授予服务提供商的角色分配。

在“委派”列中,可看到针对该产品/服务已委派给服务提供商的订阅数和/或资源组数。 服务提供商将能够根据产品/服务中指定的访问级别访问和管理这些订阅和/或资源组。

添加服务提供商产品/服务

可以从“服务提供商产品/服务”页中添加新的服务提供商产品/服务。

若要从市场添加产品/服务,请选择页面中间的“添加产品/服务”按钮,或选择页面顶部附近的“添加产品/服务”,然后选择“通过市场添加”。 如果已专门为此客户发布托管服务产品/服务,请选择“专用产品/服务”以查看它们。 选择产品/服务以查看详细信息。 若要添加产品/服务,请选择“创建”。

若要从模板中添加产品/服务,请选择页面顶部附近的“添加产品/服务”,然后选择“通过市场添加”。 这将允许从服务提供商上传模板,并加入订阅(或资源组)。 有关详细信息,请参阅在 Azure 门户中部署

更新服务提供商提供的服务

客户添加产品/服务后,服务提供商可以将同一产品/服务的更新版本发布到 Azure 市场,例如添加新的角色定义。 如果发布了产品/服务的新版本,则“服务提供商产品/服务”页面将在该产品/服务的行中显示“更新”图标。 选择此图标来查看当前版本的产品/服务和新版本的产品/服务之间的差异。

更新产品/服务图标

查看更改后,你可以选择更新为新版本。 在新版本中指定的授权和其他设置随后将应用于已为该产品/服务委派的所有订阅和/或资源组。

删除服务提供商产品/服务

可以通过选择该产品/服务行中的“回收站”图标随时删除服务提供商的产品/服务。

确认删除后,该服务提供商将无法再访问之前为该产品/服务委派的资源。

委派资源

在服务提供商可以访问和管理客户资源之前,必须委派一个或多个特定的订阅和/或资源组。 如果客户已添加产品/服务但尚未委派任何资源,“服务提供商产品/服务”部分的顶部将显示一条备注。 在委派完成之前,服务提供商无法处理客户租户中的任何资源。

委派订阅或资源组:

  1. 选中包含服务提供商、产品/服务和名称的行的复选框。 然后选择屏幕顶部的“委派资源”
  2. 在“委派资源”页面的“产品/服务详细信息”部分中,查看有关服务提供商和产品/服务的详细信息。 要查看产品/服务的角色分配,请选择“单击此处查看所选产品/服务的详情信息”
  3. 在“委派”部分中,选择“委派订阅”或“委派资源组”
  4. 选择要为此产品/服务委派的订阅和/或资源组,然后选择“添加”
  5. 选中页面底部的复选框,确认你想要授予此服务提供商对所选资源的访问权限,然后选择“委派”

查看委派

委派代表特定客户资源(订阅和/或资源组)与角色分配的关联,这些角色分配向服务提供商授予对这些资源的权限。 若要查看委派详细信息,请选择“服务提供商”页面左侧的“委派” 。

可以通过页面顶部的筛选器对委派信息进行排序和分组。 还可以按特定客户、产品/服务或关键字进行筛选。

注意

在 Azure 门户中查看委派范围的角色分配或通过 API 查看时,客户不会看到这些角色分配,或服务提供商租户中已被授予这些角色的任何用户。

审核并限制环境中的委派

客户可能需要查看已委派给 Azure Lighthouse 的所有订阅和/或资源组。 对于具有大量订阅的客户,或者拥有执行管理任务的多个用户的客户,此操作特别有用。

我们提供了 Azure Policy 内置策略定义,用于审核范围限定到管理租户的委派。 可以将此策略分配到包含要审核的所有订阅的管理组。 检查此策略的符合性时,任何委派订阅和/或资源组(在策略分配到的管理组中)将显示为不符合状态。 然后,可以查看结果,并确认没有任何意外委派。

另一个内置策略定义使你能够将委派限制到特定的管理租户。 此策略可以分配给包含任何要限制委派的订阅的管理组。 部署策略后,任何尝试将订阅委派给指定租户以外的租户的行为都将被拒绝。

有关如何分配策略和查看符合性状态结果的详细信息,请参阅快速入门:创建策略分配

后续步骤