Freigeben über

Durchführen eines Onboardings für alle Abonnements in einer Verwaltungsgruppe

  • Artikel

Azure Lighthouse ermöglicht die Delegierung von Abonnements und/oder Ressourcengruppen, aber nicht das Delegieren von Verwaltungsgruppen. Sie können jedoch eine Azure-Richtlinie bereitstellen, um alle Abonnements innerhalb einer Verwaltungsgruppe an einen Azure Lighthouse-Verwaltungsmandanten zu delegieren.

Die Richtlinie verwendet den Effekt „deployIfNotExists“, um zu überprüfen, ob jedes Abonnement in der Verwaltungsgruppe an den angegebenen Verwaltungsmandanten delegiert ist. Wenn ein Abonnement noch nicht delegiert ist, erstellt die Richtlinie die Azure Lighthouse-Zuweisung basierend auf den Werten, die Sie in den Parametern angeben. Sie haben anschließend Zugriff auf alle Abonnements in der Verwaltungsgruppe, so als ob diese manuell integriert worden wären.

Beachten Sie bei Verwendung dieser Richtlinie Folgendes:

  • Jedes Abonnement innerhalb der Verwaltungsgruppe erhält denselben Satz an Autorisierungen. Um verschiedenen Benutzern und Rollen Zugriff zu gewähren, müssen Sie ein manuelles Onboarding für Abonnements durchführen.
  • Obwohl jedes Abonnement in der Verwaltungsgruppe integriert werden wird, können Sie über Azure Lighthouse keine Aktionen für gesamte Verwaltungsgruppenressource durchführen. Sie müssen Abonnements auswählen, an denen Sie arbeiten möchten, genau wie bei einem individuellen Onboarding.

Sofern nicht anders angegeben, müssen sämtliche dieser Schritte von einem Benutzer im Mandanten des Kunden mit den entsprechenden Berechtigungen durchgeführt werden.

Tipp

Zwar beziehen wir uns in diesem Thema auf Dienstanbieter und Kunden, doch können Unternehmen, die mehrere Mandanten verwalten, denselben Prozess verwenden.

Abonnementübergreifendes Registrieren des Ressourcenanbieters

Typischerweise wird im Rahmen des Onboardingprozesses für ein Abonnement der Ressourcenanbieter Microsoft.ManagedServices registriert. Wenn Sie mithilfe der Richtlinie ein Onboarding von Abonnements in einer Verwaltungsgruppe durchführen, muss der Ressourcenanbieter vorab registriert werden. Die Registrierung kann von einem Benutzer mit Rolle „Mitwirkender“ oder „Besitzer“ im Mandanten des Kunden durchgeführt werden (oder von einem beliebigen Benutzer mit Berechtigungen zum Durchführen des Vorgangs /register/action für den Ressourcenanbieter). Weitere Informationen finden Sie unter Azure-Ressourcenanbieter und -typen.

Sie können eine Azure-Logik-App verwenden, um den Ressourcenanbieter automatisch abonnementübergreifend zu registrieren. Diese Logik-App kann im Mandanten eines Kunden mit eingeschränkten Berechtigungen bereitgestellt werden, die es ihm ermöglichen, den Ressourcenanbieter in jedem Abonnement innerhalb einer Verwaltungsgruppe zu registrieren.

Wir stellen auch eine Azure-Logik-App zur Verfügung, die im Mandanten des Dienstanbieters bereitgestellt werden kann. Diese Logik-App kann den Ressourcenanbieter abonnementübergreifend in mehreren Mandanten zuweisen, indem der Logik-App eine mandantenweite Administratoreinwilligung erteilt wird. Zum Erteilen einer mandantenweiten Administratoreinwilligung müssen Sie sich als Benutzer anmelden, der zum Zustimmen im Namen der Organisation autorisiert ist. Wenn Sie diese Option verwenden, um den Anbieter für mehrere Mandanten zu registrieren, müssen Sie die Richtlinie dennoch für jede Verwaltungsgruppe einzeln bereitstellen.

Erstellen einer Parameterdatei

Um die Richtlinie zu zuweisen, stellen Sie die Datei deployLighthouseIfNotExistManagementGroup.json aus unserem Beispielrepository gemeinsam mit einer Parameterdatei deployLighthouseIfNotExistsManagementGroup.parameters.json bereit, die Sie mit Ihrem spezifischen Mandanten und den Zuweisungsdetails bearbeiten. Diese beiden Dateien enthalten die gleichen Details, die für das Onboarding eines einzelnen Abonnements verwendet werden.

Das folgende Beispiel zeigt eine Parameterdatei, welche die Abonnements an den Mandanten „Relecloud Managed Services“ delegiert, mit Zugriff auf zwei principalID-Werte: eine für den Support auf Ebene 1 und eine für ein Automatisierungskonto, das die delegateRoleDefinitionIds den verwalteten Identitäten im Kundenmandanten zuweisen kann.

{ 
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#", 
    "contentVersion": "1.0.0.0", 
    "parameters": { 
        "managedByName": { 
            "value": "Relecloud Managed Services" 
        }, 
        "managedByDescription": { 
            "value": "Relecloud provides managed services to its customers" 
        }, 
        "managedByTenantId": { 
            "value": "00000000-0000-0000-0000-000000000000" 
        }, 
        "managedByAuthorizations": { 
            "value": [ 
                { 
                    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
                    "principalIdDisplayName": "Tier 1 Support", 
                    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c" 
                }, 
                { 
                    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
                    "principalIdDisplayName": "Automation Account - Full access", 
                    "roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9", 
                    "delegatedRoleDefinitionIds": [ 
                        "b24988ac-6180-42a0-ab88-20f7382dd24c", 
                        "92aaf0da-9dab-42b6-94a3-d43ce8d16293", 
                        "91c1777a-f3dc-4fae-b103-61d183457e46" 
                    ] 
                }                 
            ] 
        } 
    } 
}

Zuweisen der Richtlinie zu einer Verwaltungsgruppe

Nachdem Sie die Richtlinie bearbeitet haben, um Ihre Zuweisungen zu erstellen, können Sie diese auf Verwaltungsgruppenebene zuweisen. Eine Anleitung zum Zuweisen einer Richtlinie und zum Anzeigen der Ergebnisse des Konformitätsstatus finden Sie unter Schnellstart: Erstellen einer Richtlinienzuweisung.

Dieses PowerShell-Skript zeigt, wie Sie die Richtliniendefinition mithilfe der von Ihnen erstellten Vorlage und Parameterdatei unter der angegebenen Verwaltungsgruppe hinzufügen. Sie müssen die Zuweisungs- und Korrekturaufgabe für vorhandene Abonnements erstellen.

New-AzManagementGroupDeployment -Name <DeploymentName> -Location <location> -ManagementGroupId <ManagementGroupName> -TemplateFile <path to file> -TemplateParameterFile <path to parameter file> -verbose

Bestätigen des erfolgreichen Onboardings

Es gibt mehrere Möglichkeiten, um zu überprüfen, ob die Abonnements in der Verwaltungsgruppe erfolgreich integriert wurden. Weitere Informationen finden Sie unter Bestätigen des erfolgreichen Onboardings.

Wenn Sie die Logik-App und die Richtlinie für Ihre Verwaltungsgruppe aktiv halten, werden auch alle neuen Abonnements, die der Verwaltungsgruppe hinzugefügt werden, integriert.

Nächste Schritte