Sdílet prostřednictvím

Onboarding všech předplatných ve skupině pro správu

  • Článek

Azure Lighthouse umožňuje delegování předplatných nebo skupin prostředků, ale ne skupin pro správu. Azure Policy ale můžete použít k delegování všech předplatných ve skupině pro správu na spravovaného tenanta.

Zásada používá účinek deployIfNotExists ke kontrole, jestli je každé předplatné v rámci skupiny pro správu delegováno do zadaného spravovaného tenanta. Pokud předplatné ještě není delegováno, zásada vytvoří přiřazení Azure Lighthouse na základě hodnot, které zadáte v parametrech. Pak budete mít přístup ke všem předplatným ve skupině pro správu, stejně jako kdyby byly všechny ručně nasazené.

Při používání této zásady mějte na paměti:

  • Každé předplatné v rámci skupiny pro správu bude mít stejnou sadu autorizací. Pokud chcete měnit uživatele a role, kterým je udělen přístup, budete muset ručně připojit předplatná.
  • I když bude každé předplatné ve skupině pro správu nasazené, nemůžete provádět akce pro celý prostředek skupiny pro správu prostřednictvím služby Azure Lighthouse. Abyste mohli pracovat, budete muset vybrat předplatná, stejně jako kdybyste je nasadili jednotlivě.

Pokud není uvedeno, musí všechny tyto kroky provést uživatel v tenantovi zákazníka s příslušnými oprávněními.

Tip

Přestože v tomto tématu odkazujeme na poskytovatele služeb a zákazníky, podniky spravující více tenantů můžou používat stejné procesy.

Registrace poskytovatele prostředků napříč předplatnými

Poskytovatel prostředků Microsoft.ManagedServices je obvykle zaregistrovaný pro předplatné jako součást procesu onboardingu. Při použití zásad k onboardingu předplatných ve skupině pro správu musí být poskytovatel prostředků zaregistrovaný předem. Registraci může provést uživatel přispěvatele nebo vlastníka v tenantovi zákazníka (nebo jakýkoli uživatel, který má oprávnění k provedení /register/action operace pro poskytovatele prostředků). Další informace najdete v tématu Poskytovatelé a typy prostředků Azure.

Aplikaci logiky Azure můžete použít k automatické registraci poskytovatele prostředků napříč předplatnými. Tuto aplikaci logiky je možné nasadit v tenantovi zákazníka s omezenými oprávněními, která mu umožňují zaregistrovat poskytovatele prostředků v každém předplatném v rámci skupiny pro správu.

Poskytujeme také aplikaci logiky Azure, kterou je možné nasadit v tenantovi poskytovatele služeb. Tato aplikace logiky může přiřadit poskytovatele prostředků napříč předplatnými ve více tenantech tím, že aplikaci logiky udělí souhlas správce celého tenanta. Pokud chcete udělit souhlas správce v rámci celého tenanta, musíte se přihlásit jako uživatel, který je oprávněný k udělování souhlasu jménem celé organizace. Pokud tuto možnost použijete k registraci poskytovatele ve více tenantech, musíte zásadu nasadit jednotlivě pro každou skupinu pro správu.

Vytvoření souboru parametrů

Pokud chcete zásadu přiřadit, nasaďte soubor deployLighthouseIfNotExistManagementGroup.json z našeho úložiště ukázek spolu se souborem parametrů deployLighthouseIfNotExistsManagementGroup.parameters.json , který upravíte s podrobnostmi o konkrétním tenantovi a přiřazení. Tyto dva soubory obsahují stejné podrobnosti, které by se použily k nasazení individuálního předplatného.

Tento příklad ukazuje soubor parametrů, který deleguje předplatná na tenanta Spravované služby Relecloud s přístupem uděleným dvěma principalID hodnotami: jeden pro podporu vrstvy 1 a jeden účet automation, který může přiřadit delegateRoleDefinitionIds spravované identity v tenantovi zákazníka.

{ 
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#", 
    "contentVersion": "1.0.0.0", 
    "parameters": { 
        "managedByName": { 
            "value": "Relecloud Managed Services" 
        }, 
        "managedByDescription": { 
            "value": "Relecloud provides managed services to its customers" 
        }, 
        "managedByTenantId": { 
            "value": "00000000-0000-0000-0000-000000000000" 
        }, 
        "managedByAuthorizations": { 
            "value": [ 
                { 
                    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
                    "principalIdDisplayName": "Tier 1 Support", 
                    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c" 
                }, 
                { 
                    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
                    "principalIdDisplayName": "Automation Account - Full access", 
                    "roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9", 
                    "delegatedRoleDefinitionIds": [ 
                        "b24988ac-6180-42a0-ab88-20f7382dd24c", 
                        "92aaf0da-9dab-42b6-94a3-d43ce8d16293", 
                        "91c1777a-f3dc-4fae-b103-61d183457e46" 
                    ] 
                }                 
            ] 
        } 
    } 
}

Přiřazení zásad ke skupině pro správu

Po úpravě zásady pro vytvoření přiřazení ji můžete přiřadit na úrovni skupiny pro správu. Informace o přiřazování zásad a zobrazení výsledků stavu dodržování předpisů najdete v tématu Rychlý start: Vytvoření přiřazení zásad.

Tento skript PowerShellu ukazuje, jak přidat definici zásady do zadané skupiny pro správu pomocí šablony a souboru parametrů, který jste vytvořili. Musíte vytvořit úkol přiřazení a nápravy pro existující předplatná.

New-AzManagementGroupDeployment -Name <DeploymentName> -Location <location> -ManagementGroupId <ManagementGroupName> -TemplateFile <path to file> -TemplateParameterFile <path to parameter file> -verbose

Potvrzení úspěšného onboardingu

Existuje několik způsobů, jak ověřit, že se předplatná ve skupině pro správu úspěšně nasadila. Další informace najdete v tématu Potvrzení úspěšného onboardingu.

Pokud pro svoji skupinu pro správu zachováte aktivní aplikaci logiky a zásadu, všechna nová předplatná přidaná do skupiny pro správu budou také nasazená.

Další kroky