Actualización de una delegación
Después de incorporar una suscripción (o un grupo de recursos) a Azure Lighthouse, puede que tenga que realizar cambios. Por ejemplo, es posible que su cliente desee que asuma tareas de administración adicionales que requieran otro rol integrado de Azure, o que deba cambiar el arrendatario al que se delega una suscripción de cliente.
Sugerencia
Aunque en este tema nos referiremos a los proveedores de servicios y clientes, las empresas que administren varios inquilinos pueden usar el mismo proceso para configurar Azure Lighthouse y consolidar su experiencia de administración.
Si ha incorporado el cliente a través de plantillas de Azure Resource Manager, se debe realizar una nueva implementación para ese cliente. En función de lo que esté cambiando, puede actualizar la oferta original, o bien quitarla y crear una nueva.
- Para cambiar solo las autorizaciones: puede actualizar la delegación mediante cambios en la sección de autorizaciones de la plantilla de ARM.
- Para cambiar el inquilino de administración: debe crear una nueva plantilla de ARM con otro mspOfferName de la oferta anterior.
Actualización de la plantilla de ARM
Para actualizar la delegación, debe implementar una plantilla de ARM que incluya los cambios que quiere realizar.
Si solo está actualizando las autorizaciones (por ejemplo, al agregar un nuevo grupo de usuarios con un rol que no se había incluido anteriormente, o cambiar el rol de un usuario existente), puede usar el mismo valor de mspOfferName que en la plantilla de ARM que usó para la delegación anterior. Use la plantilla anterior como punto de partida. A continuación, realice los cambios necesarios, como reemplazar un rol integrado de Azure por otro o agregar una autorización nueva a la plantilla.
En la mayoría de los casos, se recomienda usar solo un valor de mspOfferName para el mismo cliente y el mismo inquilino de administración. Si el inquilino de administración sigue siendo el mismo, no es necesario cambiar el valor de mspOfferName. Si cambia el valor de mspOfferName, se considerará que la oferta es nueva e independiente. Si cambia a otro inquilino de administración, es necesario cambiar a mspOfferName.
Eliminación de la delegación anterior
Antes de realizar una nueva implementación, puede retirar el acceso a la delegación anterior. Esto garantiza que se quiten todos los permisos anteriores, lo que le permite iniciar la limpieza con los usuarios, grupos y roles exactos que deben aplicarse en el futuro.
Si va a cambiar el inquilino de administración, debe dejar la oferta anterior sin cambios si desea que ambos inquilinos sigan teniendo acceso. Si desea que el nuevo inquilino de administración sea el único inquilino que tiene acceso, se debe quitar la oferta anterior. Por lo general, se recomienda quitar la oferta anterior antes de implementar la nueva.
Importante
Si usa un nuevo valor de mspOfferName y mantiene cualquiera de los mismos valores de principalId, debe retirar el acceso a la delegación anterior antes de implementar la nueva oferta. Si no quita primero la oferta anterior, los usuarios a los que se les concedió previamente permisos pueden perderlos por completo debido a asignaciones en conflicto.
Si está actualizando la oferta solo para ajustar las autorizaciones y mantiene el mismo valor de mspOfferName, no tiene que quitar la delegación anterior. La nueva implementación reemplazará la delegación anterior y solo se aplicarán las autorizaciones de la plantilla más reciente.
El acceso a la delegación puede retirarlo cualquier usuario del inquilino de administración al que se haya concedido el rol de eliminación de la asignación de registro de servicios administrados en la delegación original. Si ningún usuario del inquilino de administración tiene este rol, puede pedir al cliente que retire el acceso a la oferta en Azure Portal.
Sugerencia
Si quitó la delegación anterior pero sigue sin poder implementar la nueva plantilla de ARM, es posible que necesite quitar la anterior definición de registro por completo. Esto lo puede hacer cualquier usuario con un rol que tenga el permiso Microsoft.Authorization/roleAssignments/write, como Propietario, en el inquilino del cliente.
Implementación de la plantilla de ARM
El cliente puede implementar la plantilla actualizada de la misma manera que antes: en Azure Portal, mediante PowerShell o con la CLI de Azure.
Después de completar la implementación, confirme que se realizó correctamente. Si fue así, las autorizaciones actualizadas se aplican a la suscripción o a los grupos de recursos que el cliente haya delegado.
Administrar ofertas de servicio administrado
Si ha incorporado al cliente a través de una oferta de servicio administrado que publicó en Azure Marketplace y desea actualizar las autorizaciones, puede hacerlo mediante la publicación de una nueva versión de la oferta que incluya las actualizaciones de las autorizaciones que quiera usar en el plan de ese cliente. Después, el cliente puede revisar los cambios en Azure Portal y aceptar la versión actualizada.
Para cambiar el inquilino de administración de una delegación, debe crear y publicar una nueva oferta de servicio administrado para que el cliente acepte.
Importante
Se recomienda evitar tener varias ofertas de servicio administrado entre el mismo cliente y administrar el inquilino. Si publica una nueva oferta para un cliente actual que utiliza el mismo inquilino de administración, asegúrese de quitar la oferta anterior antes de que el cliente acepte la oferta más reciente.
Pasos siguientes
- Puede ver y administrar clientes desde Mis clientes, en Azure Portal.
- Obtenga información sobre cómo quitar el acceso a una delegación que se incorporó previamente.
- Obtenga más información sobre la arquitectura de Azure Lighthouse.