共用方式為

檢視和管理服務提供者

  • 發行項

Azure 入口網站中的 [服務提供者] 頁面可讓客戶控制和查看使用 Azure Lighthouse 的服務提供者。 客戶可以委派特定資源、檢閱新的或更新的供應項目、移除服務提供者存取權等等。

若要存取 Azure 入口網站中的 [服務提供者] 頁面,請在靠近 Azure 入口網站頂端的搜尋方塊中輸入「服務提供者」。 您也可以選取 [所有服務],然後搜尋 Azure Lighthouse,或搜尋 "Azure Lighthouse"。 從 Azure Lighthouse 頁面中,選取 [檢視服務提供者供應項目]

注意

若要檢視 [服務提供者] 頁面,客戶租用戶中的使用者必須具有讀者內建角色 (或另一個包括讀者存取權的內建角色)。

若要新增或更新供應項目、委派資源和移除供應項目,使用者必須具有一個具備 Microsoft.Authorization/roleAssignments/write 權限的角色,例如擁有者

請記住,[服務提供者] 頁面只顯示可透過 Azure Lighthouse 存取客戶訂用帳戶或資源群組的服務提供者相關資訊。 其不會顯示未使用 Azure Lighthouse 的其他服務提供者的任何相關資訊。

檢視服務提供者詳細資料

若要檢視目前服務提供者的詳細資料,而這些服務提供者會使用 Azure Lighthouse 處理客戶租使用者,請選取 [服務提供者] 頁面左側的 [服務提供者供應項目]

針對每個供應項目,您會看到服務提供者的名稱,以及與其相關聯的供應項目。 您可以選取供應項目來檢視描述和其他詳細資料,包括已授與服務提供者的角色指派。

在 [委派] 欄中,您可以看到有多少訂用帳戶和/或資源群組,已經針對該供應項目委派給服務提供者。 服務提供者將能根據供應項目中指定的存取層級,存取及管理這些訂用帳戶和/或資源群組。

新增服務提供者供應項目

您可以從 [服務提供者供應項目] 頁面新增服務提供者供應項目。

若要從市集新增供應項目,請選取頁面中間的 [新增供應項目] 按鈕,或選取頁面頂端附近的 [新增供應項目],然後選擇 [透過市集新增]。 如果已針對此客戶特別發佈受控服務供應項目,請選取 [私人供應項目] 以檢視這些供應項目。 選取供應項目以檢閱詳細資料。 若要新增供應項目,請選取 [建立]

若要從範本新增供應項目,請選取頁面頂端附近的 [新增供應項目],然後選擇 [透過市集新增]。 這可讓您從服務提供者上傳範本,並將您的訂用帳戶 (或資源群組) 上線。 如需詳細資訊,請參閱在 Azure 入口網站中部署

更新服務提供者供應項目

在客戶已新增供應項目之後,服務提供者可能會將相同供應項目的更新版本發佈到 Azure Marketplace,例如新增角色定義。 如果已發佈新版本的供應項目,[服務提供者供應項目] 頁面會在該供應項目的資料列中顯示「更新」圖示。 選取此圖示,以查看供應項目目前版本與新版本之間的差異。

[更新供應項目] 圖示

在檢閱變更之後,您可以選擇更新至新版本。 在新版本中指定的授權和其他設定,接著將會套用至已針對該供應項目委派的任何訂用帳戶和/或資源群組。

移除服務提供者供應項目

您可以隨時移除服務提供者供應項目,方法為選取該供應項目資料列中的垃圾桶圖示。

在您確認刪除之後,該服務提供者將再也無法存取先前委派給該供應項目的客戶資源。

重要

如果一個訂用帳戶有兩個以上的供應項目來自相同服務提供者,移除其中一個可能會導致某些提供者使用者失去透過其他委派授與的存取權。 只有在多個委派中包含相同的使用者和角色,然後移除其中一個委派時,才會發生這種情況。 若要修正此問題,應該針對您未移除的供應項目重複上線流程

委派資源

必須先委派一或多個特定訂閱和/或資源群組,服務提供者才能存取及管理客戶的資源。 當客戶新增供應項目而不委派任何資源時,[服務提供者供應項目] 區段頂端會出現附註。 服務提供者無法處理客戶租用戶中的任何資源,直到委派完成為止。

委派訂用帳戶或資源群組:

  1. 選取包含服務提供者、供應項目與名稱的核取方塊。 然後選取畫面頂端的 [委派資源]
  2. 在 [委派資源] 頁面的 [產品/服務詳細資料] 區段中,檢閱服務提供者與供應項目的詳細資料。 若要檢閱供應項目的角色指派,請選取 [按一下此處即可查看所選供應項目的詳細資料]
  3. 在 [委派] 區段中,選取 [委派訂用帳戶] 或 [委派資源群組]
  4. 選擇您想要委派給此供應項目的訂用帳戶和/或資源群組,然後選取 [新增]
  5. 選取頁面底部的核取方塊,以確認您要授與此服務提供者存取這些資源的權限,然後選取 [委派]

檢視委派

委派代表特定客戶資源 (訂用帳戶和/或資源群組) 與將權限授與下列服務提供者的角色指派的關聯:這些資源的服務提供者。 若要檢視委派詳細資料,請選取位於 [服務提供者] 頁面左側的 [委派]

頁面頂端的 [篩選] 可讓您排序委派資訊並將其分組。 您也可以依特定服務提供者、供應項目或關鍵字進行篩選。

注意

在 Azure 入口網站中檢視所委派範圍的角色指派或透過 API 進行此檢視時,對於來自服務提供者租用戶,具有存取權的使用者,客戶無法透過 Azure Lighthouse 看到這些使用者的角色指派。 同樣地,服務提供者租用戶中的使用者將不會看到客戶租用戶中使用者的角色指派,無論他們獲指派的角色為何。

請注意,管理租用戶中的使用者可能會看到客戶租用戶中的傳統管理員指派,反之亦然,因為傳統管理員角色不會使用 Resource Manager 部署模型。

稽核和限制您環境中的委派

客戶可能想要檢閱已委派給 Azure Lighthouse 的所有訂用帳戶和/或資源群組。 這特別適用於具有大量訂用帳戶的客戶,或其有許多使用者執行管理工作的客戶。

我們提供 Azure 原則內建的原則定義,以稽核管理租用戶的範圍委派。 您可以將此原則指派給管理群組,其中包括您想要稽核的所有訂用帳戶。 當您檢查是否符合此原則的規範時,任何委派的訂用帳戶和/或資源群組 (在已獲指派原則的管理群組內) 都會顯示為不符合規範的狀態。 然後,您可以檢閱結果,並確認沒有任何非預期的委派。

另一個內建原則定義可讓您將委派限制為特定的管理租用戶。 此原則可以指派給管理群組,其中包含您想要限制其委派的任何訂用帳戶。 在部署原則之後,任何嘗試將訂用帳戶委派給您所指定租用戶以外的租用戶都會遭到拒絕。

如需如何指派原則和檢視合規性狀態結果的詳細資訊,請參閱快速入門:建立原則指派

下一步