Mettre à jour une délégation
Une fois que vous avez intégré un abonnement (ou un groupe de ressources) à Azure Lighthouse, vous risquez de devoir apporter des modifications. Par exemple, votre client vous demandera peut-être d’assumer des tâches de gestion supplémentaires qui nécessitent un rôle intégré Azure différent, ou vous aurez peut-être besoin de changer le locataire auquel un abonnement client est délégué.
Conseil
Même si nous faisons ici référence aux fournisseurs de services et aux clients, les entreprises gérant plusieurs locataires peuvent suivre le même processus pour configurer Azure Lighthouse et consolider leur expérience de gestion.
Si vous avez intégré votre client via des modèles Azure Resource Manager (modèles ARM), un nouveau déploiement doit être effectué pour ce client. En fonction de ce que vous changez, vous souhaiterez peut-être mettre à jour l’offre d’origine ou la supprimer pour en créer une nouvelle.
- Pour changer uniquement les autorisations : Vous pouvez mettre à jour votre délégation en modifiant la section Autorisations du modèle ARM.
- Pour changer le locataire gestionnaire : Vous devez créer un nouveau modèle ARM en utilisant un mspOfferName différent de votre offre précédente.
Mettre à jour votre modèle ARM
Pour mettre à jour votre délégation, vous devez déployer un modèle ARM qui comprend les modifications que vous souhaitez apporter.
Si vous mettez uniquement à jour les autorisations (comme l’ajout d’un nouveau groupe d’utilisateurs avec un rôle que vous n’aviez pas inclus précédemment ou le changement du rôle d’un utilisateur existant), vous pouvez utiliser le même mspOfferName que dans le modèle ARM que vous avez utilisé pour la délégation précédente. Utilisez votre modèle précédent comme point de départ. Apportez ensuite les modifications nécessaires, par exemple en remplaçant un rôle intégré Azure par un autre ou en ajoutant une nouvelle autorisation au modèle.
Dans la plupart des cas, nous vous recommandons de n’avoir qu’un seul mspOfferName utilisé par le même client et le même locataire gestionnaire. Vous n’avez pas besoin de modifier le mspOfferName si le locataire gestionnaire reste le même. Si vous changez effectivement le mspOfferName, cela sera considéré comme une nouvelle offre distincte. Le changement du mspOfferName est nécessaire si vous basculez sur un autre locataire gestionnaire.
Supprimer la délégation précédente
Avant d’effectuer un nouveau déploiement, vous pouvez supprimer l’accès à la délégation précédente. Cela permet de s’assurer que toutes les autorisations précédentes sont supprimées, ce qui vous permet de commencer proprement avec les utilisateurs/groupes et les rôles exacts qui doivent s’appliquer à l’avenir.
Si vous changez le locataire gestionnaire, vous devez laisser l’offre précédente en place seulement si vous souhaitez que les deux locataires continuent à y avoir accès. Si vous souhaitez que le nouveau locataire gestionnaire soit le seul locataire à avoir accès, l’offre précédente doit être supprimée. Nous vous recommandons généralement de supprimer l’offre précédente avant de déployer la nouvelle.
Important
Si vous utilisez un nouveau mspOfferName et que vous conservez les mêmes valeurs de principalId, vous devez supprimer l’accès à la délégation précédente avant de déployer la nouvelle offre. Si vous ne supprimez pas d’abord l’offre précédente, les utilisateurs qui avaient précédemment reçu des autorisations peuvent perdre leur accès en raison d’attributions conflictuelles.
Si vous mettez à jour l’offre uniquement pour ajuster les autorisations et que vous conservez le même mspOfferName, vous n’êtes pas obligé de supprimer la délégation précédente. Le nouveau déploiement remplacera la délégation précédente, et seules les autorisations du modèle le plus récent s’appliqueront.
La suppression de l’accès à la délégation peut être effectuée par n’importe quel utilisateur du locataire gestionnaire qui a reçu le rôle Suppression de l’attribution d’inscription de services gérés dans la délégation d’origine. Si aucun utilisateur de votre locataire gestionnaire n’a ce rôle, vous pouvez demander au client de supprimer l’accès à l’offre dans le portail Azure.
Conseil
Si vous avez supprimé la délégation précédente mais que vous ne parvenez toujours pas à déployer le nouveau modèle ARM, vous risquez de devoir supprimer complètement la définition d’inscription précédente. Tout utilisateur disposant d’un rôle ayant l’autorisation Microsoft.Authorization/roleAssignments/write, telle que Propriétaire, dans le locataire client peut le faire.
Déployer le modèle ARM
Votre client peut déployer le modèle mis à jour de la même manière qu’auparavant : dans le portail Azure, à l’aide de PowerShell ou à l’aide d’Azure CLI.
Une fois le déploiement terminé, vérifiez qu’il a réussi. Si c’est le cas, les autorisations mises à jour prennent effet pour l’abonnement ou le ou les groupes de ressources que le client a délégués.
Mettre à jour des offres de service géré
Si vous avez intégré votre client via une offre de service géré publiée sur Place de marché Azure et que vous souhaitez mettre à jour les autorisations, vous pouvez le faire en publiant une nouvelle version de votre offre avec les mises à jour des autorisations dans le plan de ce client. Le client peut ensuite passer en revue les modifications dans le portail Azure et accepter la version mise à jour.
Pour changer le locataire gestionnaire pour une délégation, vous devez créer et publier une nouvelle offre de service géré que le client doit accepter.
Important
Nous vous recommandons d’éviter d’avoir plusieurs offres de service géré différentes entre le même client et le même locataire gestionnaire. Si vous publiez une nouvelle offre pour un client qui utilise le même locataire gestionnaire, assurez-vous que l’offre précédente est supprimée avant que le client accepte la nouvelle offre.
Étapes suivantes
- Affichez et gérez les clients en accédant à Mes clients sur le portail Azure.
- Découvrez comment supprimer l’accès à une délégation qui a été intégrée.
- Apprenez-en davantage sur l’architecture d’Azure Lighthouse.