Aktualizace delegování

Po připojení předplatného (nebo skupiny prostředků) ke službě Azure Lighthouse možná budete muset provést změny. Zákazník může například chtít, abyste převzali další úlohy správy, které vyžadují jinou předdefinovanou roli Azure, nebo možná budete muset změnit tenanta, na který je delegované předplatné zákazníka.

Tip

Přestože v tomto tématu odkazujeme na poskytovatele služeb a zákazníky, podniky, které spravují více tenantů, můžou stejný proces použít k nastavení služby Azure Lighthouse a konsolidaci prostředí pro správu.

Pokud jste zákazníka onboardovali prostřednictvím šablon Azure Resource Manageru (šablon ARM), musíte pro daného zákazníka provést nové nasazení. V závislosti na tom, co měníte, můžete chtít původní nabídku aktualizovat nebo původní nabídku odebrat a vytvořit novou.

• Změna pouze autorizace: Delegování můžete aktualizovat změnou oddílu autorizace šablony ARM.
• Změna spravovaného tenanta: Musíte vytvořit novou šablonu ARM s jiným mspOfferName z předchozí nabídky.

Aktualizace šablony ARM

Pokud chcete aktualizovat delegování, musíte nasadit šablonu ARM, která obsahuje změny, které chcete provést.

Pokud aktualizujete jenom autorizaci (například přidání nové skupiny uživatelů s rolí, kterou jste předtím nezahrnuli nebo změnili roli pro existujícího uživatele), můžete použít stejný mspOfferName jako v šabloně ARM, kterou jste použili pro předchozí delegování. Použijte předchozí šablonu jako výchozí bod. Potom proveďte potřebné změny, například nahraďte jednu integrovanou roli Azure jinou nebo přidejte do šablony novou autorizaci.

Ve většině případů doporučujeme používat pouze jeden mspOfferName pro stejného zákazníka a správu tenanta. Pokud správce tenanta zůstane stejný, nemusíte měnit mspOfferName . Pokud změníte mspOfferName, bude se považovat za novou samostatnou nabídku. Změna mspOfferName se vyžaduje, pokud přecházíte na jiného tenanta pro správu.

Odebrání předchozího delegování

Před provedením nového nasazení můžete chtít odebrat přístup k předchozímu delegování. Tím se zajistí, že se odeberou všechna předchozí oprávnění, takže můžete začít čistě s přesnými uživateli nebo skupinami a rolemi, které by se měly v budoucnu použít.

Pokud měníte tenanta pro správu, měli byste ponechat předchozí nabídku jen v případě, že chcete, aby oba tenanti měli i nadále přístup. Pokud chcete, aby nový spravovaný tenant byl jediným tenantem, který má přístup, musí být předchozí nabídka odebrána. Před nasazením nové nabídky obecně doporučujeme odebrat předchozí nabídku.

Důležité

Pokud použijete nový mspOfferName a zachováte všechny stejné hodnoty principalId , musíte před nasazením nové nabídky odebrat přístup k předchozímu delegování. Pokud předchozí nabídku neodeberete jako první, uživatelé, kteří předtím udělili oprávnění, můžou z důvodu konfliktních přiřazení zcela ztratit přístup.

Pokud nabídku aktualizujete jenom tak, abyste upravili autorizaci a ponecháte stejné mspOfferName, nemusíte předchozí delegování odebírat. Nové nasazení nahradí předchozí delegování a použije se pouze autorizace v nejnovější šabloně.

Odebrání přístupu k delegování může provést libovolný uživatel ve správě tenanta, kterému byla udělena role Odstranění přiřazení registrace spravovaných služeb v původním delegování. Pokud tuto roli nemá žádný uživatel ve vašem spravovaném tenantovi, můžete požádat zákazníka, aby odebral přístup k nabídce na webu Azure Portal.

Tip

Pokud jste odebrali předchozí delegování, ale nemůžete nasadit novou šablonu ARM, možná budete muset úplně odebrat předchozí definici registrace. To může provést každý uživatel s rolí, která má Microsoft.Authorization/roleAssignments/write oprávnění, například Vlastník, v tenantovi zákazníka.

Nasazení šablony ARM

Zákazník může aktualizovanou šablonu nasadit stejným způsobem jako předtím: na webu Azure Portal, pomocí PowerShellu nebo pomocí Azure CLI.

Po dokončení nasazení ověřte, že bylo úspěšné. Pokud ano, platí aktualizovaná autorizace pro předplatné nebo skupiny prostředků, které zákazník delegoval.

Aktualizace nabídek spravovaných služeb

Pokud jste zákazníka nasadili prostřednictvím nabídky spravované služby publikované na Azure Marketplace a chcete aktualizovat autorizace, můžete to udělat tak, že publikujete novou verzi nabídky s aktualizacemi autorizace v plánu pro daného zákazníka. Zákazník pak může zkontrolovat změny na webu Azure Portal a přijmout aktualizovanou verzi.

Pokud chcete změnit tenanta pro správu delegování, musíte vytvořit a publikovat novou nabídku spravované služby, kterou má zákazník přijmout.

Důležité

Doporučujeme vyhnout se tomu, abyste mezi stejným zákazníkem a správou tenanta neměli více nabídek spravovaných služeb. Pokud publikujete novou nabídku pro aktuálního zákazníka, který používá stejného spravovaného tenanta, nezapomeňte před tím, než zákazník přijme novější nabídku, odebrat předchozí nabídku.

Další kroky

• Zobrazte a spravujte zákazníky tak, že na webu Azure Portal přejdete na Moje zákazníky .
• Zjistěte, jak odebrat přístup k delegování , které bylo dříve nasazené.
• Přečtěte si další informace o architektuře Služby Azure Lighthouse.