Eseguire l'onboarding di tutte le sottoscrizioni in un gruppo di gestione

Azure Lighthouse consente di delegare sottoscrizioni e/o gruppi di risorse, ma non gruppi di gestione. Tuttavia, è possibile usare Criteri di Azure per delegare tutte le sottoscrizioni all'interno di un gruppo di gestione a un tenant di gestione.

I criteri usano l'effetto deployIfNotExists per verificare se ogni sottoscrizione all'interno del gruppo di gestione è stata delegata al tenant di gestione specificato. Se una sottoscrizione non è già stata delegata, i criteri creano l'assegnazione di Azure Lighthouse in base ai valori specificati nei parametri. Si avrà quindi accesso a tutte le sottoscrizioni nel gruppo di gestione, proprio come se l’onboarding fosse stato eseguito manualmente.

Quando si usano questi criteri, tenere presente quanto segue:

• Ogni sottoscrizione all'interno del gruppo di gestione avrà lo stesso set di autorizzazioni. Per variare gli utenti e i ruoli a cui viene concesso l'accesso, è necessario eseguire manualmente l'onboarding delle sottoscrizioni.
• Anche se viene eseguito l’onboarding per ogni sottoscrizione nel gruppo di gestione, non è possibile eseguire azioni sulla risorsa del gruppo di gestione tramite Azure Lighthouse. È necessario selezionare le sottoscrizioni da usare, esattamente come se l’onboarding fosse stato eseguito singolarmente.

Se non specificato di seguito, tutti questi passaggi devono essere eseguiti da un utente nel tenant del cliente con le autorizzazioni appropriate.

Suggerimento

Anche se in questo articolo si fa riferimento a provider di servizi e clienti, le aziende che gestiscono più tenant possono usare gli stessi processi.

Registrare il provider di risorse tra le sottoscrizioni

In genere, il provider di risorse Microsoft.ManagedServices viene registrato per una sottoscrizione come parte del processo di onboarding. Quando si usano i criteri per eseguire l'onboarding delle sottoscrizioni in un gruppo di gestione, il provider di risorse deve essere registrato in anticipo. Questa operazione può essere eseguita da un utente con il ruolo di Collaboratore o Proprietario nel tenant del cliente (o da qualsiasi utente che dispone delle autorizzazioni per eseguire l'operazione /register/action per il provider di risorse). Per altre informazioni, vedere Provider e tipi di risorse di Azure.

È possibile usare un'app per la logica di Azure per registrare automaticamente il provider di risorse tra le sottoscrizioni. Questa app per la logica può essere distribuita nel tenant di un cliente con autorizzazioni limitate che consentono di registrare il provider di risorse in ogni sottoscrizione all'interno di un gruppo di gestione.

È anche disponibile un'app per la logica di Azure che può essere distribuita nel tenant del provider di servizi. Questa app per la logica può assegnare il provider di risorse tra le sottoscrizioni in più tenant concedendo all’app per la logica il consenso amministratore a livello di tenant. Per la concessione del consenso amministratore a livello di tenant è necessario accedere come utente autorizzato a concedere il consenso per conto dell'organizzazione. Si noti che anche se si usa questa opzione per registrare il provider in più tenant, sarà comunque necessario distribuire i criteri singolarmente per ogni gruppo di gestione.

Creare il file dei parametri

Per assegnare i criteri, distribuire il file deployLighthouseIfNotExistManagementGroup.json dal repository degli esempi, insieme a un file di parametri deployLighthouseIfNotExistsManagementGroup.parameters.json modificato con i dettagli specifici del tenant e dell'assegnazione. Questi due file contengono gli stessi dettagli che verrebbero usati per eseguire l'onboarding di una singola sottoscrizione.

L'esempio seguente mostra un file di parametri che delega le sottoscrizioni al tenant dei servizi gestiti Relecloud, con accesso concesso a due principalID: uno per il supporto di livello 1, e un account di automazione che può assegnare delegateRoleDefinitionIds alle identità gestite nel tenant del cliente.

{ 
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#", 
    "contentVersion": "1.0.0.0", 
    "parameters": { 
        "managedByName": { 
            "value": "Relecloud Managed Services" 
        }, 
        "managedByDescription": { 
            "value": "Relecloud provides managed services to its customers" 
        }, 
        "managedByTenantId": { 
            "value": "00000000-0000-0000-0000-000000000000" 
        }, 
        "managedByAuthorizations": { 
            "value": [ 
                { 
                    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
                    "principalIdDisplayName": "Tier 1 Support", 
                    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c" 
                }, 
                { 
                    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
                    "principalIdDisplayName": "Automation Account - Full access", 
                    "roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9", 
                    "delegatedRoleDefinitionIds": [ 
                        "b24988ac-6180-42a0-ab88-20f7382dd24c", 
                        "92aaf0da-9dab-42b6-94a3-d43ce8d16293", 
                        "91c1777a-f3dc-4fae-b103-61d183457e46" 
                    ] 
                }                 
            ] 
        } 
    } 
} 

Assegnare i criteri a un gruppo di gestione

Dopo aver modificato i criteri per creare le assegnazioni, è possibile assegnarli a livello di gruppo di gestione. Per informazioni su come assegnare i criteri e visualizzare i risultati dello stato di conformità, vedere Guida introduttiva: Creare un'assegnazione di criteri.

Lo script di PowerShell seguente illustra come aggiungere la definizione dei criteri nel gruppo di gestione specificato tramite il modello e il file di parametri creato. È necessario creare l'attività di assegnazione e correzione per le sottoscrizioni esistenti.

New-AzManagementGroupDeployment -Name <DeploymentName> -Location <location> -ManagementGroupId <ManagementGroupName> -TemplateFile <path to file> -TemplateParameterFile <path to parameter file> -verbose

Verificare che l'onboarding sia riuscito

Esistono diversi modi per verificare che l’onboarding delle sottoscrizioni nel gruppo di gestione sia stato eseguito correttamente. Per altre informazioni, vedere Confermare il completamento dell'onboarding.

Se si mantiene attiva l'app per la logica e i criteri per il gruppo di gestione, l’onboarding verrà eseguito anche per le nuove sottoscrizioni aggiunte al gruppo di gestione.

Passaggi successivi

• Altre informazioni sull'onboarding dei clienti in Azure Lighthouse.
• Informazioni su Criteri di Azure.
• Informazioni su App per la logica di Azure.