Aktualizace delegování

Po připojení předplatného (nebo skupiny prostředků) ke službě Azure Lighthouse možná budete muset provést změny. Zákazník může například chtít, abyste převzali další úlohy správy, které vyžadují jinou předdefinovanou roli Azure, nebo možná budete muset změnit tenanta, na který je delegované předplatné zákazníka.

Tip

Přestože v tomto tématu odkazujeme na poskytovatele služeb a zákazníky, podniky, které spravují více tenantů, můžou stejný proces použít k nastavení služby Azure Lighthouse a konsolidaci prostředí pro správu.

Pokud jste zákazníka onboardovali prostřednictvím šablon Azure Resource Manageru (šablon ARM), musíte pro daného zákazníka provést nové nasazení. V závislosti na tom, co měníte, můžete chtít původní nabídku aktualizovat nebo původní nabídku odebrat a vytvořit novou.

• Pokud měníte jenom autorizaci: Delegování můžete aktualizovat změnou oddílu autorizace šablony ARM.
• Pokud měníte spravovaného tenanta: Musíte vytvořit novou šablonu ARM s jiným mspOfferName než předchozí nabídkou.

Aktualizace šablony ARM

Pokud chcete aktualizovat delegování, budete muset nasadit šablonu ARM, která obsahuje změny, které chcete provést.

Pokud aktualizujete jenom autorizaci (například přidání nové skupiny uživatelů s rolí, kterou jste předtím nezahrnuli nebo změnili roli pro existujícího uživatele), můžete použít stejný mspOfferName jako v šabloně ARM, kterou jste použili pro předchozí delegování. Použijte předchozí šablonu jako výchozí bod. Potom proveďte potřebné změny, například nahraďte jednu předdefinované role Azure jinou nebo přidejte do šablony úplně novou autorizaci.

Pokud změníte mspOfferName, bude se považovat za novou samostatnou nabídku. To se vyžaduje, pokud měníte spravovaného tenanta.

Pokud správce tenanta zůstane stejný, nemusíte měnit mspOfferName . Ve většině případů doporučujeme používat pouze jeden mspOfferName pro stejného zákazníka a správu tenanta. Pokud se rozhodnete vytvořit novou šablonu mspOfferName , před nasazením nové šablony se ujistěte, že se předchozí delegování zákazníka odebere.

Odebrání předchozího delegování

Před provedením nového nasazení můžete chtít odebrat přístup k předchozímu delegování. Tím se zajistí, že se odeberou všechna předchozí oprávnění, takže můžete začít čistě s přesnými uživateli nebo skupinami a rolemi, které by se měly v budoucnu použít.

Důležité

Pokud použijete nový mspOfferName a zachováte všechny stejné hodnoty principalId , musíte před nasazením nové nabídky odebrat přístup k předchozímu delegování. Pokud nabídku neodeberete jako první, uživatelé, kteří dříve udělili oprávnění, můžou z důvodu konfliktních přiřazení zcela ztratit přístup.

Pokud měníte spravovaného tenanta, můžete ponechat předchozí nabídku na místě, pokud chcete, aby oba tenanti měli i nadále přístup. Pokud chcete, aby nový tenant pro správu měl přístup jenom, je potřeba předchozí nabídku odebrat. Můžete to udělat buď před, nebo po nasazení nové nabídky.

Pokud nabídku aktualizujete tak, aby upravila pouze autorizaci a zachováte stejné mspOfferName, nemusíte předchozí delegování odebírat. Nové nasazení nahradí předchozí delegování a použije se pouze autorizace v nejnovější šabloně.

Odebrání přístupu k delegování může provést libovolný uživatel ve správě tenanta, kterému byla udělena role Odstranění přiřazení registrace spravovaných služeb v původním delegování. Pokud tuto roli nemá žádný uživatel ve vašem spravovaném tenantovi, můžete požádat zákazníka, aby odebral přístup k nabídce na webu Azure Portal.

Tip

Pokud jste odebrali předchozí delegování, ale nemůžete nasadit novou šablonu ARM, možná budete muset úplně odebrat definici registrace. To může provést každý uživatel s rolí, která má Microsoft.Authorization/roleAssignments/write oprávnění, například Vlastník, v tenantovi zákazníka.

Nasazení šablony ARM

Zákazník může aktualizovanou šablonu nasadit stejným způsobem jako předtím: na webu Azure Portal, pomocí PowerShellu nebo pomocí Azure CLI.

Po dokončení nasazení ověřte, že bylo úspěšné. Aktualizovaná autorizace se pak projeví pro předplatné nebo skupiny prostředků, které zákazník delegoval.

Aktualizace nabídek spravovaných služeb

Pokud jste zákazníka nasadili prostřednictvím nabídky spravované služby publikované na Azure Marketplace a chcete aktualizovat autorizace, můžete to udělat tak, že publikujete novou verzi nabídky s aktualizacemi autorizace v plánu pro daného zákazníka. Zákazník pak bude moct zkontrolovat změny na webu Azure Portal a přijmout aktualizovanou verzi.

Pokud chcete změnit tenanta pro správu, budete muset vytvořit a publikovat novou nabídku spravované služby, kterou má zákazník přijmout.

Důležité

Doporučujeme, abyste mezi stejným zákazníkem a správou tenanta neměli více nabídek. Pokud publikujete novou nabídku pro aktuálního zákazníka, který používá stejného spravovaného tenanta, nezapomeňte před tím, než zákazník přijme novější nabídku, odebrat předchozí nabídku.

Další kroky

• Zobrazte a spravujte zákazníky tak, že na webu Azure Portal přejdete na Moje zákazníky .
• Zjistěte, jak odebrat přístup k delegování , které bylo dříve nasazené.
• Přečtěte si další informace o architektuře Služby Azure Lighthouse.