Freigeben über

Aktualisieren einer Delegierung

  • Artikel

Nachdem Sie ein Abonnement (oder eine Ressourcengruppe) in Azure Lighthouse aufgenommen haben, müssen Sie möglicherweise Änderungen vornehmen. Beispielsweise wünscht Ihr Kunde, dass Sie zusätzliche Verwaltungsaufgaben übernehmen, die eine andere integrierte Azure-Rolle erfordern, oder vielleicht müssen Sie den Mandanten ändern, an den ein Kundenabonnement delegiert ist.

Tipp

In diesem Thema ist zwar von Dienstanbietern und Kunden die Rede, aber auch Unternehmen, die mehrere Mandanten verwalten, können mithilfe desselben Verfahrens Azure Lighthouse einrichten und ihre Verwaltungsumgebung konsolidieren.

Wenn Sie das Onboarding Ihres Kunden mithilfe von ARM-Vorlagen (Azure Resource Manager) durchgeführt haben, muss für diesen Kunden eine neue Bereitstellung erfolgen. Je nachdem, was Sie ändern, müssen Sie möglicherweise das ursprüngliche Angebot aktualisieren oder dieses entfernen und ein neues Angebot erstellen.

  • Wenn Sie lediglich Autorisierungen ändern, gilt Folgendes: Sie können die Delegierung aktualisieren, indem Sie den Abschnitt authorizations der ARM-Vorlage ändern.
  • Wenn Sie den Verwaltungsmandanten ändern, gilt Folgendes: Sie müssen eine neue ARM-Vorlage mit einem anderen mspOfferName-Element als bei Ihrem vorherigen Angebot erstellen.

Diagramm, das zeigt, wann Sie mspOfferName ändern und eine vorherige Delegierung entfernen müssen

Aktualisieren Ihrer ARM-Vorlage

Um die Delegierung zu aktualisieren, müssen Sie eine ARM-Vorlage bereitstellen, die die von Ihnen gewünschten Änderungen enthält.

Wenn Sie nur Autorisierungen aktualisieren (beispielsweise durch Hinzufügen einer neuen Benutzergruppe mit einer dieser bisher nicht zugewiesenen Rolle oder durch Ändern der Rolle für vorhandene Benutzende), können Sie dasselbe mspOfferName-Element verwenden wie in der ARM-Vorlage, die Sie für die vorherige Delegierung verwendet haben. Verwenden Sie Ihre vorherige Vorlage als Ausgangspunkt. Dann können Sie die gewünschten Änderungen vornehmen, indem Sie z. B. eine integrierte Azure-Rolle durch eine andere ersetzen oder der Vorlage eine neue Autorisierung hinzufügen.

In den meisten Fällen empfiehlt es sich, für ein und denselben Kunden und Verwaltungsmandanten nur einen einzigen mspOfferName zu verwenden. Sie brauchen den mspOfferName nicht zu ändern, wenn der Verwaltungsmandant unverändert bleibt. Wenn Sie mspOfferName ändern, wird dies als neues, separates Angebot betrachtet. Sie müssen mspOfferName ändern, wenn Sie zu einem anderen Verwaltungsmandanten wechseln.

Entfernen der vorherigen Delegierung

Bevor Sie eine neue Bereitstellung durchführen, müssen Sie den Zugriff auf die vorherige Delegierung entfernen. Damit stellen Sie sicher, dass alle vorherigen Berechtigungen entfernt werden, sodass Sie mit genau den Benutzern, Gruppen und Rollen von vorne beginnen können, die in Zukunft gelten sollen.

Bei einer Änderung des Verwaltungsmandanten sollten Sie das vorherige Angebot nur beibehalten, wenn beide Mandanten weiterhin Zugriff haben sollen. Wenn nur der neue Verwaltungsmandant Zugriff haben soll, müssen Sie das vorherige Angebot entfernen. Im Allgemeinen wird empfohlen, das vorherige Angebot vor dem Bereitstellen des neuen Angebots zu entfernen.

Wichtig

Wenn Sie einen neuen mspOfferName verwenden und dieselben principalid-Werte beibehalten, müssen Sie den Zugriff auf die vorherige Delegierung entfernen, bevor Sie das neue Angebot bereitstellen können. Wenn Sie das vorherige Angebot nicht zuerst entfernen, können Benutzende, denen zuvor Berechtigungen zugewiesen worden waren, aufgrund von in Konflikt stehenden Zuweisungen den Zugriff möglicherweise ganz verlieren.

Wenn Sie nur Autorisierungen im Angebot anpassen, um dasselbe mspOfferName-Element beizubehalten, müssen Sie die vorherige Delegierung nicht entfernen. Die neue Bereitstellung ersetzt die vorherige Delegierung, und nur die Autorisierungen in der neuesten Vorlage werden angewendet.

Jeder Benutzer im Verwaltungsmandanten, dem in der ursprünglichen Delegierung die Rolle „Registrierungszuweisung für verwaltete Dienste löschen“ zugewiesen wurde, kann den Zugriff auf die Delegierung entfernen. Wenn kein Benutzer im Verwaltungsmandanten über diese Rolle verfügt, können Sie den Kunden bitten, den Zugriff auf das Angebot im Azure-Portal zu entfernen.

Tipp

Wenn Sie die vorherige Delegierung entfernt haben, aber die neue ARM-Vorlage dennoch nicht bereitstellen können, müssen Sie ggf. die vorherige Registrierungsdefinition vollständig entfernen. Dieser Vorgang kann von jedem Benutzer mit einer Rolle im Kundenmandanten durchgeführt werden, die die Berechtigung Microsoft.Authorization/roleAssignments/write beinhaltet, z. B. Besitzer.

Bereitstellen der ARM-Vorlage

Zum Bereitstellen der aktualisierten Vorlage kann Ihr Kunde dieselben Methoden verwenden wie bei der ursprünglichen Vorlage: Azure-Portal, PowerShell oder Azure CLI.

Nach Abschluss der Bereitstellung vergewissern Sie sich, dass der Vorgang erfolgreich war. In diesem Fall treten die aktualisierten Autorisierungen für das Abonnement oder die Ressourcengruppen in Kraft, das bzw. die der Kunde delegiert hat.

Aktualisieren von Angeboten für verwaltete Dienste

Wenn Sie das Onboarding Ihres Kunden über ein im Azure Marketplace veröffentlichtes Angebot für verwaltete Dienste durchgeführt haben und die Autorisierungen aktualisieren möchten, erreichen Sie dies wie folgt: Veröffentlichen Sie eine neue Version Ihres Angebots mit Aktualisierungen an den Autorisierungen im Plan für diesen Kunden. Kunden können dann die Änderungen im Azure-Portal überprüfen und die aktualisierte Version annehmen.

Um den Verwaltungsmandanten für eine Delegierung zu ändern, müssen Sie ein neues Angebot für verwaltete Dienste erstellen und veröffentlichen, das der Kunde annehmen kann.

Wichtig

Es empfiehlt sich, für ein und denselben Kunden bzw. Verwaltungsmandanten nur ein einziges Angebot zu verwenden. Wenn Sie ein neues Angebot für einen aktuellen Kunden veröffentlichen, das denselben Verwaltungsmandanten verwendet, achten Sie darauf, dass das ältere Angebot entfernt wird, bevor der Kunde das neuere Angebot annimmt.

Nächste Schritte