檢視和管理服務提供者

  • 發行項

Azure 入口網站 中的 [服務提供者] 頁面為客戶提供使用 Azure Lighthouse 的服務提供者控制和可見度。 客戶可以委派特定資源、檢閱新的或更新的供應項目、移除服務提供者存取權等等。

若要存取 Azure 入口網站 中的 [服務提供者] 頁面,請在 Azure 入口網站 頂端附近的搜尋方塊中輸入「服務提供者」。 您也可以選取 [所有服務],然後搜尋 Azure Lighthouse,或搜尋 “Azure Lighthouse”。 從 [Azure Lighthouse] 頁面,選取 [ 檢視服務提供者供應專案]。

注意

若要檢視 [服務提供者 ] 頁面,客戶租使用者中的用戶必須具有 讀者內建角色 (或包含讀者存取權的另一個內建角色)。

若要新增或更新供應專案、委派資源及移除供應專案,用戶必須具有具有 Microsoft.Authorization/roleAssignments/write 許可權的角色,例如 擁有者

請記住, [服務提供者 ] 頁面只會顯示可透過 Azure Lighthouse 存取客戶訂用帳戶或資源群組之服務提供者的相關信息。 它不會顯示未使用 Azure Lighthouse 之其他服務提供者的任何資訊。

檢視服務提供者詳細數據

若要檢視使用 Azure Lighthouse 處理客戶租使用者之目前服務提供者的詳細數據,請選取 [服務提供者供應專案] 頁面左側的 [服務提供者供應專案]。

針對每個供應專案,您會看到服務提供者的名稱和與其相關聯的供應專案。 您可以選取供應項目來檢視描述和其他詳細數據,包括服務提供者已授與的角色指派。

在 [ 委派] 數據行中 ,您可以看到有多少訂用帳戶和/或資源群組已委派給該供應項目的服務提供者。 根據供應專案中指定的存取層級,服務提供者將能夠存取及管理這些訂用帳戶和/或資源群組。

新增服務提供者供應專案

您可以從 [服務提供者供應專案] 頁面新增服務提供者供應 專案

若要從市集新增供應專案,請選取 頁面中間的 [新增供應 專案] 按鈕,或選取 頁面頂端附近的 [新增供應 專案],然後選擇 [ 透過市集新增]。 如果 已特別針對此客戶發佈受控服務供應專案 ,請選取 [私人供應 專案] 以檢視它們。 選取供應專案以檢閱詳細數據。 若要新增供應專案,請選取 [ 建立]。

若要從範本新增供應專案,請選取 頁面頂端附近的 [新增供應 專案],然後選擇 [ 透過市集新增]。 這可讓您從服務提供者上傳範本,並將訂用帳戶(或資源群組)上線。 如需詳細資訊,請參閱在 Azure 入口網站 中部署。

更新服務提供者供應專案

客戶新增供應項目之後,服務提供者可能會將相同供應專案的更新版本發佈至 Azure Marketplace,例如新增角色定義。 如果發行了新版本的供應專案, 服務提供者供應 項目頁面就會在該供應專案的數據列中顯示「更新」圖示。 選取此圖示以查看目前供應專案版本與新供應專案之間的差異。

更新供應項目圖示

檢閱變更之後,您可以選擇更新為新版本。 然後,新版本中指定的授權和其他設定會套用至已針對該供應專案委派的任何訂用帳戶和/或資源群組。

拿掉服務提供者供應專案

您可以選取該供應項目數據列中的垃圾桶圖示,隨時移除服務提供者供應專案。

確認刪除之後,該服務提供者將無法再存取先前委派給該供應項目的資源。

重要

如果訂用帳戶有來自相同服務提供者的兩個或多個供應專案,移除其中一個可能會造成某些服務提供者使用者失去透過其他委派授與的存取權。 只有當相同的使用者和角色包含在多個委派中,然後移除其中一個委派時,才會發生這種情況。 若要修正此問題, 應該針對您未移除的供應專案重複上線程式

委派資源

必須先委派一或多個特定訂閱和/或資源群組,服務提供者才能存取及管理客戶的資源。 當客戶新增供應專案而不委派任何資源時,服務提供者供應專案區段頂端會出現附注。 在委派完成之前,服務提供者無法處理客戶租使用者中的任何資源。

委派訂用帳戶或資源群組:

  1. 核取包含服務提供者、供應專案和名稱之數據列的方塊。 然後選取 畫面頂端的 [委派資源 ]。
  2. 在 [委派資源] 頁面的 [供應專案詳細數據] 區段中,檢閱服務提供者和供應專案的詳細數據。 若要檢閱供應專案的角色指派,請選取 [按兩下這裡] 以查看所選供應項目的詳細數據。
  3. 在 [委派] 區段中,選取 [委派訂用帳戶] 或 [委派資源群組]。
  4. 選擇您想要為此供應專案委派的訂用帳戶和/或資源群組,然後選取 [ 新增]。
  5. 選取頁面底部的複選框,確認您想要授與此服務提供者對這些資源的存取權,然後選取 [ 委派]。

檢視委派

委派代表特定客戶資源(訂用帳戶和/或資源群組)與角色指派的關聯,這些角色指派會授與這些資源服務提供者的許可權。 若要檢視委派詳細數據,請選取 [服務提供者] 頁面左側的 [委派]。

頁面頂端的篩選可讓您排序和分組委派資訊。 您也可以依特定服務提供者、供應專案或關鍵詞進行篩選。

注意

在檢視 Azure 入口網站 或透過 API 中委派範圍的角色指派時,客戶不會看到可透過 Azure Lighthouse 存取之服務提供者租用戶的使用者角色指派。 同樣地,服務提供者租使用者中的使用者不會看到客戶租用戶中使用者的角色指派,無論他們獲指派的角色為何。

請注意,客戶 租使用者中的傳統系統管理員 指派可能會顯示給管理租使用者中的使用者,或其他方式,因為傳統系統管理員角色不會使用 Resource Manager 部署模型。

稽核和限制您環境中的委派

客戶可能想要檢閱已委派給 Azure Lighthouse 的所有訂用帳戶和/或資源群組。 這特別適用於擁有大量訂用帳戶的客戶,或有許多執行管理工作的使用者。

我們提供 Azure 原則 內建原則定義,以稽核將範圍委派給管理租使用者。 您可以將此原則指派給管理群組,其中包含您想要稽核的所有訂用帳戶。 當您檢查此原則的合規性時,任何委派的訂用帳戶和/或資源群組(在指派原則的管理群組內)會顯示為不符合規範的狀態。 然後,您可以檢閱結果,並確認沒有任何非預期的委派。

另一個 內建原則定義 可讓您 將委派限制為特定的管理租使用者。 此原則可以指派給管理群組,其中包含您想要限制委派的任何訂用帳戶。 部署原則之後,任何將訂用帳戶委派給您所指定租使用者外部的嘗試都會遭到拒絕。

如需如何指派原則和檢視合規性狀態結果的詳細資訊,請參閱 快速入門:建立原則指派

下一步