Visualización y administración de proveedores de servicios

Los clientes pueden visitar Proveedores de servicios en Azure Portal para controlar y tener visibilidad de sus proveedores de servicios que usan Azure Lighthouse. En Proveedores de servicios, los clientes pueden delegar recursos específicos, revisar ofertas nuevas o actualizadas, quitar el acceso del proveedor de servicios y mucho más.

Para acceder a Proveedores de servicios en Azure Portal, escriba "Proveedores de servicios" en el cuadro de búsqueda del encabezado de página de Azure Portal. También puede ir a Azure Lighthouse en Azure Portal y, a continuación, seleccionar Ver ofertas de proveedores de servicios.

Nota:

Para ver Proveedores de servicios, un usuario del inquilino del cliente debe tener el rol integrado Lector (u otro que incluya el acceso de lectura).

Para agregar o actualizar ofertas, delegar recursos y quitar ofertas, el usuario debe tener un rol con el permiso Microsoft.Authorization/roleAssignments/write como, por ejemplo, Propietario.

Proveedores de servicios solo muestra información sobre los proveedores de servicios que tienen acceso a las suscripciones o grupos de recursos del cliente mediante Azure Lighthouse. No muestra información sobre ningún otro proveedor de servicios que no use Azure Lighthouse.

Ver detalles del proveedor de servicios

Para ver detalles sobre los proveedores de servicios actuales que usan Azure Lighthouse para trabajar en el inquilino del cliente, seleccione Ofertas de proveedores de servicios desde el menú de servicio de Proveedores de servicios.

Cada oferta muestra el nombre del proveedor de servicios y la oferta asociada. Seleccione una oferta para ver una descripción y otros detalles, incluidas las asignaciones de roles que se han concedido al proveedor de servicios.

En la columna Delegaciones, para una oferta en específico, puede ver el número de suscripciones o grupos de recursos que se han delegado al proveedor de servicios. El proveedor de servicios puede trabajar en estas suscripciones o grupos de recursos según los niveles de acceso especificados en la oferta.

Incorporación de ofertas del proveedor de servicios

Puede agregar una nueva oferta de proveedor de servicios en Ofertas del proveedor de servicios.

Para agregar una oferta desde Marketplace, seleccione Agregar oferta en la barra de comandos y elija Agregar a través de Marketplace. Para ver las ofertas de servicios administrados publicadas específicamente para un cliente, seleccione Productos privados. De lo contrario, busque una oferta pública. Cuando encuentre la oferta que le interesa, selecciónela para revisar los detalles. Para agregar la oferta, seleccione Crear y proporcione la información necesaria.

Para agregar una oferta desde una plantilla, seleccione Agregar oferta en la barra de comandos y, a continuación, elija Agregar a través de una plantilla. Aparece el panel Cargar plantilla de oferta, lo que le permite cargar una plantilla desde su proveedor de servicios e incorporar su suscripción (o grupo de recursos). Para ver los pasos detallados, consulte Implementación en Azure Portal.

Actualización de las ofertas de proveedores de servicios

Una vez que un cliente agrega una oferta, un proveedor de servicios puede publicar una versión actualizada de la misma oferta en Azure Marketplace, con el fin de agregar una nueva definición de roles. Si se publica una nueva versión de la oferta, aparece un icono de "actualización" en la fila de esa oferta. Seleccione este icono para ver los cambios en la versión actual de la oferta.

Después de revisar los cambios, puede optar por actualizar a la nueva versión. Cuando lo haga, las autorizaciones y otras opciones especificadas en la nueva versión se aplican a todas las suscripciones o grupos de recursos que se hayan delegado anteriormente para esa oferta.

Eliminación de las ofertas de proveedores de servicios

Puede quitar una oferta del proveedor de servicios en cualquier momento seleccionando el icono de la papelera en la fila de esa oferta.

Después de confirmar la eliminación, ese proveedor de servicios ya no podrá acceder a los recursos que anteriormente se delegaron para esa oferta.

Importante

Si una suscripción tiene dos o más ofertas del mismo proveedor de servicios, quitar una de ellas podría provocar que algunos usuarios del proveedor de servicios pierdan el acceso concedido a través de las demás delegaciones. Este problema solo ocurre cuando el mismo usuario y rol se incluyen en varias delegaciones y luego se quita una de las delegaciones. Para restaurar el acceso, el proceso de incorporación debe repetirse para las ofertas que no desea quitar.

Recursos delegados

Para que un proveedor de servicios pueda acceder a los recursos de un cliente y administrarlos, se deben delegar una o varias suscripciones o grupos de recursos específicos. Cuando un cliente agrega una oferta sin delegar ningún recurso, aparece una nota en la parte superior de la sección Ofertas de proveedores de servicios. El proveedor de servicios no podrá trabajar en ningún recurso del inquilino del cliente hasta que se complete la delegación.

Para delegar suscripciones o grupos de recursos:

1. Active la casilla de la fila que contiene el proveedor de servicios, la oferta y el nombre. A continuación, seleccione Delegar recursos en la parte superior de la pantalla.
2. En la sección Detalles de la oferta de la página Delegar recursos, revise los detalles sobre el proveedor de servicios y la oferta. Para revisar las asignaciones de roles de la oferta, seleccione Hacer clic aquí para ver los detalles de la oferta seleccionada.
3. En la sección Delegar, seleccione Delegar suscripciones o Delegar grupos de recursos.
4. Elija las suscripciones o los grupos de recursos que quiera delegar para esta oferta y, después, seleccione Agregar.
5. Seleccione la casilla para confirmar que quiere conceder a este proveedor de servicios acceso a estos recursos y seleccione Delegar.

Ver delegaciones

Las delegaciones representan una asociación de recursos de cliente específicos (suscripciones o grupos de recursos) con asignaciones de roles que conceden permisos al proveedor de servicios para esos recursos. Para ver los detalles de la delegación, seleccione Delegaciones en el menú de servicio.

Los filtros de la parte superior del panel permiten ordenar y agrupar la información de delegación. También puede filtrar por proveedores de servicios, ofertas o palabras clave específicos.

Nota:

Al ver las asignaciones de roles para el ámbito delegado en Azure Portal o a través de las API, los clientes no verán las asignaciones de roles para usuarios del inquilino proveedor de servicios que tengan acceso a través de Azure Lighthouse. Del mismo modo, los usuarios del inquilino del proveedor de servicios no podrán ver asignaciones de roles para los usuarios en el inquilino de un cliente, independientemente del rol que se les haya asignado.

Las asignaciones de Administrador clásico en un inquilino cliente pueden ser visibles para los usuarios del inquilino administrador, o al revés, porque los roles de administrador clásico no usan el modelo de implementación de Resource Manager.

Auditoría y restricciones de delegaciones en el entorno

Es posible que los clientes quieran revisar todas las suscripciones o grupos de recursos que se deleguen a Azure Lighthouse o coloquen restricciones en los inquilinos a los que se pueden delegar. Estas opciones son especialmente útiles para los clientes con un gran número de suscripciones o para los que tienen muchos usuarios que realizan tareas de administración.

Se proporciona una definición de directiva integrada de Azure Policy para auditar la delegación de ámbitos en un inquilino de administración. Esta directiva se puede asignar a un grupo de administración que incluya todas las suscripciones que quiera auditar. Al comprobar el cumplimiento de esta directiva, las suscripciones o los grupos de recursos delegados dentro de ese grupo de administración se mostrarán en un estado no conforme. Luego, puede revisar los resultados y confirmar que no hay ninguna delegación inesperada.

Otra definición de directiva integrada le permite restringir las delegaciones a inquilinos de administración específicos. Esta directiva se puede aplicar a un grupo de administración que incluya todas las suscripciones para las que desea limitar las delegaciones. Una vez implementada la directiva, se denegarán todos los intentos de delegar una suscripción a un inquilino fuera de los que especifique.

Para más información sobre cómo asignar una directiva y ver los resultados del estado de cumplimiento, consulte Inicio rápido: Creación de una asignación de directiva.

Pasos siguientes

• Más información acerca de Azure Lighthouse.
• Aprenda a auditar la actividad del proveedor de servicios.
• Descubra cómo los proveedores de servicios pueden ver y administrar sus clientes en Azure Portal.
• Obtenga información sobre cómo las empresas que administran varios inquilinos pueden usar Azure Lighthouse para consolidar su experiencia de administración.