閱讀英文

共用方式為

更新委派

  • 發行項

將訂用帳戶(或資源群組)上線至 Azure Lighthouse 之後,您可能需要進行變更。 例如,您的客戶可能會想要承擔需要不同 Azure 內建角色的其他管理工作,或者您可能需要將客戶訂用帳戶委派的租用戶變更為 。

提示

雖然我們在這個主題中所述的是服務提供者與其客戶,但管理多個租用戶的企業也可以使用相同程序來設定 Azure Lighthouse,以及合併其管理體驗。

如果您透過 Azure Resource Manager 範本 (ARM 範本) 將客戶上線,則必須為客戶執行新的部署。 視您變更的內容而定,您可能會想要更新原始供應專案,或移除原始供應專案並建立新的供應專案。

  • 若要只變更授權:您可以變更 ARM 範本的授權 區段來更新委派。
  • 若要變更管理租使用者:您必須使用與先前供應專案不同的 mspOfferName 建立新的 ARM 範本。

圖表顯示變更 mspOfferName 並移除先前委派的時間點。

更新 ARM 範本

若要更新委派,您必須部署包含您想要進行的變更的 ARM 範本。

如果您只更新授權(例如,使用您先前未包含的角色來新增新的使用者群組,或變更現有使用者的角色),您可以使用與先前委派所使用的 ARM 範本相同的 mspOfferName。 從先前的範本開始。 然後,進行您需要的變更,例如以另一個 Azure 內建角色取代,或將新的授權新增至範本。

在大部分情況下,我們建議相同客戶與管理租用戶只使用一個 mspOfferName。 如果管理租用戶維持不變,則無需變更 mspOfferName。 如果您變更 mspOfferName,這將會被視為新的個別供應專案。 如果您要切換至不同的管理租使用者,則需要變更 mspOfferName

移除先前的委派

在執行新的部署之前,建議您移除先前的委派存取權。 這可確保所有先前的權限都被移除,讓您能夠以未來也應能適用的精確使用者/群組和角色全新開始。

如果您要變更管理租使用者,則只有在您想要這兩個租用戶繼續存取權時,才應保留先前的供應專案。 如果您希望新的管理租使用者是唯一具有存取權的租使用者,則必須移除先前的供應專案。 我們通常建議您先移除先前的供應專案,再部署新的供應專案。

重要

如果您使用新的 mspOfferName 並保留任何相同的 principalId 值,則必須先移除先前的委派存取權,才能部署新供應項目。 如果您未先移除先前的供應專案,先前已授與許可權的使用者可能會因為指派衝突而完全失去存取權。

如果您只更新供應專案以調整授權,並保留相同的 mspOfferName,則不需要移除先前的委派。 新部署將會取代先前的委派,而且只會套用最新範本中的授權。

管理租用戶的任何使用者,如果在原始委派時獲得受控服務註冊指派刪除角色的權限,便可以移除委派的存取權。 如果您的管理租用戶中沒有任何使用者具有此角色,可以要求客戶在 Azure 入口網站中移除對供應項目的存取權

提示

如果您移除了先前的委派,但無法部署新的 ARM 範本,您可能需要 完全移除先前的註冊定義。 這可由具有 Microsoft.Authorization/roleAssignments/write 權限角色的任何使用者來完成,例如客戶租用戶中的擁有者

部署 ARM 範本

您的客戶可以依照先前的方式部署更新的範本:在 Azure 入口網站,透過使用 PowerShell 或 Azure CLI 來部署。

部署完成之後, 請確認部署成功。 如果是,則客戶已委派的訂用帳戶或資源群組會生效更新的授權。

更新受控服務供應專案

如果您透過發佈至 Azure Marketplace 的受控服務供應項目將客戶上線,而且想要更新授權,您可以發佈新版本的供應項目,並在客戶的方案中更新授權。 然後,客戶可以檢閱 Azure 入口網站 中的變更,並接受更新的版本

若要變更委派的管理租使用者,您必須 建立併發佈新的受控服務供應專案 ,讓客戶接受。

重要

建議您避免在相同客戶與管理租用戶之間有多個受控服務供應專案。 如果您為目前使用相同管理租用戶的客戶發佈新的供應項目,請務必在客戶接受較新的供應項目之前移除先前的項目。

下一步