Visualizzare e gestire i provider di servizi

I clienti possono visitare i provider di servizi nel portale di Azure per controllare e visualizzare i provider di servizi che usano Azure Lighthouse. In Provider di servizi i clienti possono delegare risorse specifiche, esaminare offerte nuove o aggiornate, rimuovere l'accesso al provider di servizi e altro ancora.

Per accedere ai provider di servizi nella portale di Azure, immettere "Provider di servizi" nella casella di ricerca nell'intestazione della pagina portale di Azure. È anche possibile passare ad Azure Lighthouse nella portale di Azure e quindi selezionare Visualizza offerte del provider di servizi.

Nota

Per visualizzare i provider di servizi, un utente nel tenant del cliente deve avere il ruolo predefinito Lettore (o un altro ruolo predefinito che include l'accesso in lettura).

Per aggiungere o aggiornare offerte, delegare risorse e rimuovere offerte, è necessario che l'utente disponga di un ruolo con l'autorizzazione Microsoft.Authorization/roleAssignments/write, ad esempio Proprietario.

I provider di servizi mostrano solo informazioni sui provider di servizi che hanno accesso alle sottoscrizioni o ai gruppi di risorse del cliente tramite Azure Lighthouse. Non mostra informazioni su altri provider di servizi che non usano Azure Lighthouse.

Visualizzare i dettagli dei provider di servizi

Per visualizzare i dettagli sui provider di servizi correnti che usano Azure Lighthouse per lavorare nel tenant del cliente, selezionare Provider di servizi dal menu del servizio dei provider di servizi.

Ogni offerta mostra il nome del provider di servizi e l'offerta associata. Selezionare un'offerta per visualizzare una descrizione e altri dettagli, incluse le assegnazioni di ruolo concesse dal provider di servizi.

Nella colonna Delega per un'offerta è possibile visualizzare il numero di sottoscrizioni e/o gruppi di risorse delegati al provider di servizi. Il provider di servizi può lavorare su queste sottoscrizioni e/o gruppi di risorse in base ai livelli di accesso specificati nell'offerta.

Aggiunger offerte del provider di servizi

È possibile aggiungere una nuova offerta del provider di servizi nelle offerte del provider di servizi.

Per aggiungere un'offerta dal marketplace, selezionare Aggiungi offerta nella barra dei comandi e quindi scegliere Aggiungi tramite marketplace. Per visualizzare le offerte del servizio gestito pubblicate in modo specifico per un cliente, selezionare Prodotti privati. In caso contrario, cercare un'offerta pubblica. Quando trovi l'offerta che ti interessa, selezionala per esaminare i dettagli. Per aggiungere l'offerta, selezionare Crea, quindi specificare le informazioni necessarie.

Per aggiungere un'offerta da un modello, selezionare Aggiungi offerta nella barra dei comandi e quindi scegliere Aggiungi tramite modello. Viene visualizzato il riquadro Carica modello di offerta , che consente di caricare un modello dal provider di servizi ed eseguire l'onboarding della sottoscrizione (o del gruppo di risorse). Per i passaggi dettagliati, vedere Distribuire nel portale di Azure.

Aggiornare le offerte dei provider di servizi

Dopo che un cliente ha aggiunto un'offerta, un provider di servizi può pubblicare una versione aggiornata della stessa offerta in Azure Marketplace, ad esempio per aggiungere una nuova definizione di ruolo. Se viene pubblicata una nuova versione dell'offerta, viene visualizzata un'icona di "aggiornamento" nella riga dell'offerta. Selezionare questa icona per visualizzare le modifiche nella versione corrente dell'offerta.

Dopo aver controllato le modifiche, il cliente può scegliere di eseguire l'aggiornamento alla nuova versione. In questo caso, le autorizzazioni e altre impostazioni specificate nella nuova versione si applicano a tutte le sottoscrizioni e/o i gruppi di risorse precedentemente delegati per tale offerta.

Rimuovere le offerte del provider di servizi

È possibile rimuovere un'offerta del provider di servizi in qualsiasi momento selezionando l'icona del cestino nella riga relativa all'offerta.

Dopo aver confermato l'eliminazione, il provider di servizi non può più accedere alle risorse precedentemente delegate per l'offerta.

Importante

Se una sottoscrizione include due o più offerte dello stesso provider di servizi, la rimozione di una di queste potrebbe causare la perdita dell'accesso concesso ad alcuni utenti del provider di servizi tramite le altre deleghe. Questo problema si verifica solo quando lo stesso utente e lo stesso ruolo sono inclusi in più deleghe, quindi una delle deleghe viene rimossa. Per ripristinare l'accesso, il processo di onboarding deve essere ripetuto per le offerte che non si desidera rimuovere.

Delegare le risorse

Prima che un provider di servizi possa accedere alle risorse di un cliente e gestirle, è necessario delegare una o più sottoscrizioni specifiche e/o gruppi di risorse. Quando un cliente aggiunge un'offerta senza delegare alcuna risorsa, viene visualizzata una nota nella parte superiore della sezione Offerte del provider di servizi. Il provider di servizi non potrà lavorare su alcuna risorsa nel tenant del cliente fino al completamento della delega.

Per delegare sottoscrizioni o gruppi di risorse:

1. Selezionare la casella relativa alla riga contenente il provider di servizi, l'offerta e il nome. Selezionare quindi Delega risorse nella parte superiore della schermata.
2. Nella sezione Dettagli offerta del riquadro Delega risorse esaminare i dettagli relativi al provider di servizi e all'offerta. Per esaminare le assegnazioni di ruolo per l'offerta, selezionare Fare clic qui per visualizzare i dettagli dell'offerta selezionata.
3. Nella sezione Delega selezionare Delega sottoscrizioni o Delega gruppi di risorse.
4. Scegliere le sottoscrizioni e/o i gruppi di risorse che si vuole delegare per questa offerta, quindi selezionare Aggiungi.
5. Selezionare la casella di controllo per confermare che si vuole concedere a questo provider di servizi l'accesso a queste risorse, quindi selezionare Delega.

Visualizzare le deleghe

Le deleghe rappresentano un'associazione di risorse specifiche dei clienti (sottoscrizioni e/o gruppi di risorse) ad assegnazioni di ruolo che concedono autorizzazioni al provider di servizi per tali risorse. Per visualizzare i dettagli della delega, selezionare Delega dal menu del servizio.

I filtri nella parte superiore del riquadro consentono di ordinare e raggruppare le informazioni sulla delega. È anche possibile filtrare in base a provider di servizi, offerte o parole chiave specifici.

Nota

Quando si visualizzano le assegnazioni di ruolo per l'ambito delegato nella portale di Azure o tramite LE API, i clienti non possono visualizzare le assegnazioni di ruolo per gli utenti del tenant del provider di servizi che hanno accesso tramite Azure Lighthouse. Analogamente, gli utenti nel tenant del provider di servizi non possono visualizzare le assegnazioni di ruolo per gli utenti nel tenant di un cliente, indipendentemente dal ruolo assegnato.

Le assegnazioni di amministratore classico in un tenant del cliente possono essere visibili agli utenti nel tenant di gestione o in altro modo, perché i ruoli di amministratore classici non usano il modello di distribuzione Resource Manager.

Controllare e limitare le deleghe nell'ambiente

I clienti possono voler esaminare tutte le sottoscrizioni e/o i gruppi di risorse delegati ad Azure Lighthouse o applicare restrizioni ai tenant a cui possono essere delegati. Queste opzioni sono particolarmente utili per i clienti con un numero elevato di sottoscrizioni o che hanno molti utenti che eseguono attività di gestione.

Viene fornita una definizione di criterio predefinita di Criteri di Azure per controllare la delega degli ambiti a un tenant di gestione. È possibile assegnare questo criterio a un gruppo di gestione che include tutte le sottoscrizioni da controllare. Quando si verifica la conformità a questo criterio, tutte le sottoscrizioni delegate e/o i gruppi di risorse all'interno di tale gruppo di gestione vengono visualizzate in uno stato non conforme. È quindi possibile esaminare i risultati e confermare che non sono presenti deleghe impreviste.

Un'altra definizione di criteri predefinita consente di limitare le deleghe a tenant di gestione specifici. Questo criterio può essere assegnato a un gruppo di gestione che include tutte le sottoscrizioni per cui si desidera limitare le deleghe. Dopo la distribuzione dei criteri, tutti i tentativi di delegare una sottoscrizione a un tenant al di fuori di quelli specificati vengono negati.

Per informazioni su come assegnare i criteri e visualizzare i risultati dello stato di conformità, vedere Guida introduttiva: Creare un'assegnazione di criteri.

Passaggi successivi

• Altre informazioni su Azure Lighthouse.
• Informazioni su come controllare l'attività del provider di servizi.
• Informazioni su come i provider di servizi possono visualizzare e gestire i clienti nel portale di Azure.
• Informazioni su come le aziende che gestiscono più tenant possono usare Azure Lighthouse per consolidare l'esperienza di gestione.