Eseguire l'onboarding di tutte le sottoscrizioni in un gruppo di gestione

Azure Lighthouse consente di delegare sottoscrizioni e/o gruppi di risorse, ma non gruppi di gestione. Tuttavia, è possibile usare Criteri di Azure per delegare tutte le sottoscrizioni all'interno di un gruppo di gestione a un tenant di gestione.

Il criterio usa l'effetto deployIfNotExists per verificare se ogni sottoscrizione all'interno del gruppo di gestione viene delegata al tenant di gestione specificato. Se una sottoscrizione non è già delegata, il criterio crea l'assegnazione di Azure Lighthouse in base ai valori specificati nei parametri. Si avrà quindi accesso a tutte le sottoscrizioni nel gruppo di gestione, proprio come se fossero state caricate manualmente.

Quando si usano questi criteri, tenere presente quanto segue:

• Ogni sottoscrizione all'interno del gruppo di gestione avrà lo stesso set di autorizzazioni. Per variare gli utenti e i ruoli a cui viene concesso l'accesso, è necessario eseguire manualmente l'onboarding delle sottoscrizioni.
• Anche se ogni sottoscrizione nel gruppo di gestione verrà eseguita l'onboarding, non è possibile eseguire azioni sull'intera risorsa del gruppo di gestione tramite Azure Lighthouse. È necessario selezionare le sottoscrizioni da usare, esattamente come se l’onboarding fosse stato eseguito singolarmente.

Se non specificato, tutti questi passaggi devono essere eseguiti da un utente nel tenant del cliente con le autorizzazioni appropriate.

Suggerimento

Anche se in questo articolo si fa riferimento a provider di servizi e clienti, le aziende che gestiscono più tenant possono usare gli stessi processi.

Registrare il provider di risorse tra le sottoscrizioni

In genere, il provider di risorse Microsoft.ManagedServices viene registrato per una sottoscrizione come parte del processo di onboarding. Quando si usano i criteri per eseguire l'onboarding delle sottoscrizioni in un gruppo di gestione, il provider di risorse deve essere registrato in anticipo. La registrazione può essere eseguita da un utente collaboratore o proprietario nel tenant del cliente (o da qualsiasi utente che dispone delle autorizzazioni per eseguire l'operazione /register/action per il provider di risorse). Per altre informazioni, vedere Provider e tipi di risorse di Azure.

È possibile usare un'app per la logica di Azure per registrare automaticamente il provider di risorse tra le sottoscrizioni. Questa app per la logica può essere distribuita nel tenant di un cliente con autorizzazioni limitate che consentono di registrare il provider di risorse in ogni sottoscrizione all'interno di un gruppo di gestione.

È anche disponibile un'app per la logica di Azure che può essere distribuita nel tenant del provider di servizi. Questa app per la logica può assegnare il provider di risorse tra le sottoscrizioni in più tenant concedendo all’app per la logica il consenso amministratore a livello di tenant. Per la concessione del consenso amministratore a livello di tenant è necessario accedere come utente autorizzato a concedere il consenso per conto dell'organizzazione. Se si usa questa opzione per registrare il provider in più tenant, è comunque necessario distribuire i criteri singolarmente per ogni gruppo di gestione.

Creare il file dei parametri

Per assegnare i criteri, distribuire il file deployLighthouseIfNotExistManagementGroup.json dal repository degli esempi, insieme a un file di parametri deployLighthouseIfNotExistsManagementGroup.parameters.json modificato con i dettagli specifici del tenant e dell'assegnazione. Questi due file contengono gli stessi dettagli che verrebbero usati per eseguire l'onboarding di una singola sottoscrizione.

Questo esempio mostra un file di parametri che delega le sottoscrizioni al tenant di Servizi gestiti Relecloud, con accesso concesso a due principalID valori: uno per il supporto di livello 1 e un account di automazione che può assegnare delegateRoleDefinitionIds a identità gestite nel tenant del cliente.

{ 
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#", 
    "contentVersion": "1.0.0.0", 
    "parameters": { 
        "managedByName": { 
            "value": "Relecloud Managed Services" 
        }, 
        "managedByDescription": { 
            "value": "Relecloud provides managed services to its customers" 
        }, 
        "managedByTenantId": { 
            "value": "00000000-0000-0000-0000-000000000000" 
        }, 
        "managedByAuthorizations": { 
            "value": [ 
                { 
                    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
                    "principalIdDisplayName": "Tier 1 Support", 
                    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c" 
                }, 
                { 
                    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
                    "principalIdDisplayName": "Automation Account - Full access", 
                    "roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9", 
                    "delegatedRoleDefinitionIds": [ 
                        "b24988ac-6180-42a0-ab88-20f7382dd24c", 
                        "92aaf0da-9dab-42b6-94a3-d43ce8d16293", 
                        "91c1777a-f3dc-4fae-b103-61d183457e46" 
                    ] 
                }                 
            ] 
        } 
    } 
} 

Assegnare i criteri a un gruppo di gestione

Dopo aver modificato i criteri per creare le assegnazioni, è possibile assegnarlo a livello di gruppo di gestione. Per informazioni su come assegnare i criteri e visualizzare i risultati dello stato di conformità, vedere Guida introduttiva: Creare un'assegnazione di criteri.

Questo script di PowerShell illustra come aggiungere la definizione dei criteri nel gruppo di gestione specificato usando il modello e il file di parametri creato. È necessario creare l'attività di assegnazione e correzione per le sottoscrizioni esistenti.

New-AzManagementGroupDeployment -Name <DeploymentName> -Location <location> -ManagementGroupId <ManagementGroupName> -TemplateFile <path to file> -TemplateParameterFile <path to parameter file> -verbose

Verificare che l'onboarding sia riuscito

Esistono diversi modi per verificare che l’onboarding delle sottoscrizioni nel gruppo di gestione sia stato eseguito correttamente. Per altre informazioni, vedere Confermare il completamento dell'onboarding.

Se si mantiene attiva l'app per la logica e i criteri per il gruppo di gestione, l’onboarding verrà eseguito anche per le nuove sottoscrizioni aggiunte al gruppo di gestione.

Passaggi successivi

• Altre informazioni sull'onboarding dei clienti in Azure Lighthouse.
• Informazioni su Criteri di Azure.
• Informazioni su App per la logica di Azure.