Freigeben über


Aktualisieren einer Delegierung

Nachdem Sie ein Onboarding eines Abonnements (oder einer Ressourcengruppe) in Azure Lighthouse durchgeführt haben, müssen Sie möglicherweise Änderungen vornehmen. Möglicherweise wünscht Ihr Kunde, dass Sie zusätzliche Verwaltungsaufgaben übernehmen, die eine andere integrierte Azure-Rolle erfordern, oder vielleicht müssen Sie den Mandanten ändern, an den ein Kundenabonnement delegiert ist.

Tipp

In diesem Thema ist zwar von Dienstanbietern und Kunden die Rede, aber auch Unternehmen, die mehrere Mandanten verwalten, können mithilfe desselben Verfahrens Azure Lighthouse einrichten und ihre Verwaltungsumgebung konsolidieren.

Wenn Sie das Onboarding Ihres Kunden mithilfe von ARM-Vorlagen (Azure Resource Manager) durchgeführt haben, muss für diesen Kunden eine neue Bereitstellung erfolgen. Je nachdem, was Sie ändern, müssen Sie möglicherweise das ursprüngliche Angebot aktualisieren oder das ursprüngliche Angebot entfernen und ein neues erstellen.

  • Wenn Sie lediglich Autorisierungen ändern, gilt Folgendes: Sie können die Delegierung aktualisieren, indem Sie den Abschnitt authorizations der ARM-Vorlage ändern.
  • Wenn Sie den Verwaltungsmandanten ändern, gilt Folgendes: Sie müssen eine neue ARM-Vorlage mit einem anderen mspOfferName als bei Ihrem vorherigen Angebot erstellen.

Aktualisieren Ihrer ARM-Vorlage

Um die Delegierung zu aktualisieren, müssen Sie eine ARM-Vorlage bereitstellen, die die von Ihnen gewünschten Änderungen enthält.

Wenn Sie nur Autorisierungen aktualisieren (beispielsweise durch Hinzufügen einer neuen Benutzergruppe mit einer dieser bisher nicht zugewiesenen Rolle oder durch Ändern der Rolle für einen vorhandenen Benutzer), können Sie denselben mspOfferName verwenden wie in der ARM-Vorlage, die Sie für die vorherige Delegierung verwendet haben. Verwenden Sie Ihre vorherige Vorlage als Ausgangspunkt. Dann können Sie die gewünschten Änderungen vornehmen: Sie können z. B. eine integrierte Azure-Rolle durch eine andere ersetzen oder der Vorlage eine vollständig neue Autorisierung hinzufügen.

Wenn Sie den mspOfferName ändern, wird dies als neues, separates Angebot betrachtet. Dies ist erforderlich, wenn Sie den Verwaltungsmandanten ändern.

Sie brauchen den mspOfferName nicht zu ändern, wenn der Verwaltungsmandant unverändert bleibt. In den meisten Fällen empfiehlt es sich, für ein und denselben Kunden und Verwaltungsmandanten nur einen einzigen mspOfferName zu verwenden. Wenn Sie einen neuen mspOfferName für Ihre Vorlage erstellen möchten, vergewissern Sie sich, dass die vorherige Delegierung des Kunden entfernt wurde, bevor Sie die neue bereitstellen.

Entfernen der vorherigen Delegierung

Bevor Sie eine neue Bereitstellung durchführen, müssen Sie den Zugriff auf die vorherige Delegierung entfernen. Damit stellen Sie sicher, dass alle vorherigen Berechtigungen entfernt werden, sodass Sie mit genau den Benutzern, Gruppen und Rollen von vorne beginnen können, die in Zukunft gelten sollen.

Wichtig

Wenn Sie einen neuen mspOfferName verwenden und dieselben principalid-Werte beibehalten, müssen Sie den Zugriff auf die vorherige Delegierung entfernen, bevor Sie das neue Angebot bereitstellen können. Wenn Sie das Angebot nicht zuerst entfernen, können Benutzer, denen zuvor Berechtigungen zugewiesen worden waren, aufgrund von in Konflikt stehenden Zuweisungen den Zugriff möglicherweise ganz verlieren.

Bei einer Änderung des Verwaltungsmandanten können Sie das vorherige Angebot beibehalten, wenn beide Mandanten weiterhin Zugriff haben sollen. Wenn nur der neue Verwaltungsmandant Zugriff haben soll, müssen Sie das vorherige Angebot entfernen. Dies kann vor oder nach dem Onboarding des neuen Angebots erfolgen.

Wenn Sie nur Autorisierungen im Angebot anpassen und denselben mspOfferName beibehalten, müssen Sie die vorherige Delegierung nicht entfernen. Die neue Bereitstellung ersetzt die vorherige Delegierung, und nur die Autorisierungen in der neuesten Vorlage werden angewendet.

Diagramm, das zeigt, wann Sie mspOfferName ändern und eine vorherige Delegierung entfernen müssen

Jeder Benutzer im Verwaltungsmandanten, dem in der ursprünglichen Delegierung die Rolle „Registrierungszuweisung für verwaltete Dienste löschen“ zugewiesen wurde, kann den Zugriff auf die Delegierung entfernen. Wenn kein Benutzer im Verwaltungsmandanten über diese Rolle verfügt, können Sie den Kunden bitten, den Zugriff auf das Angebot im Azure-Portal zu entfernen.

Tipp

Wenn Sie die vorherige Delegierung entfernt haben, aber die neue ARM-Vorlage dennoch nicht bereitstellen können, müssen Sie möglicherweise die Registrierungsdefinition vollständig entfernen. Dieser Vorgang kann von jedem Benutzer mit einer Rolle im Kundenmandanten durchgeführt werden, die die Berechtigung Microsoft.Authorization/roleAssignments/write beinhaltet, z. B. Besitzer.

Bereitstellen der ARM-Vorlage

Zum Bereitstellen der aktualisierten Vorlage kann Ihr Kunde dieselben Methoden verwenden wie bei der ursprünglichen Vorlage: Azure-Portal, PowerShell oder Azure CLI.

Nach Abschluss der Bereitstellung vergewissern Sie sich, dass sie erfolgreich war. Die aktualisierten Autorisierungen treten dann für das Abonnement oder die Ressourcengruppe in Kraft, das bzw. die der Kunde delegiert hat.

Aktualisieren von Angeboten für verwaltete Dienste

Wenn Sie das Onboarding Ihres Kunden über ein im Azure Marketplace veröffentlichtes Angebot für verwaltete Dienste durchgeführt haben und die Autorisierungen aktualisieren möchten, erreichen Sie dies wie folgt: Veröffentlichen Sie eine neue Version Ihres Angebots mit Aktualisierungen an den Autorisierungen im Plan für diesen Kunden. Kund*innen können dann die Änderungen im Azure-Portal überprüfen und die aktualisierte Version akzeptieren.

Wenn Sie den Verwaltungsmandanten ändern möchten, müssen Sie ein neues Angebot für verwaltete Dienste erstellen und veröffentlichen, das der Kunde akzeptieren kann.

Wichtig

Es empfiehlt sich, für ein und dieselben Kund*innen und Verwaltungsmandanten nicht mehrere verschiedene Angebote zu verwenden. Wenn Sie ein neues Angebot für einen aktuellen Kunden veröffentlichen, das denselben Verwaltungsmandanten verwendet, achten Sie darauf, dass das ältere Angebot entfernt wird, bevor der Kunde das neuere Angebot annimmt.

Nächste Schritte