Aggiornare una delega
Dopo aver eseguito l'onboarding di una sottoscrizione (o di un gruppo di risorse) in Azure Lighthouse, potrebbe essere necessario apportare modifiche. Ad esempio, il cliente potrebbe voler eseguire attività di gestione aggiuntive che richiedono un ruolo predefinito di Azure diverso oppure potrebbe essere necessario modificare il tenant a cui è delegata una sottoscrizione del cliente.
Suggerimento
Benché si faccia riferimento ai provider di servizi e ai clienti in questo articolo, le aziende che gestiscono più tenant possono seguire lo stesso processo per configurare Azure Lighthouse e consolidare la loro esperienza di gestione.
Se è stato eseguito l'onboarding del cliente tramite i modelli di Azure Resource Manager (modelli ARM),è necessario eseguire una nuova distribuzione per il cliente. A seconda di ciò che si sta modificando, è possibile aggiornare l'offerta originale o rimuovere l'offerta originale e crearne una nuova.
- Per modificare solo le autorizzazioni: è possibile aggiornare la delega modificando la sezione delle autorizzazioni del modello di Resource Manager.
- Per modificare il tenant di gestione: è necessario creare un nuovo modello di Resource Manager con un mspOfferName diverso dall'offerta precedente.
Aggiornare il modello di Azure Resource Manager
Per aggiornare la delega, è necessario distribuire un modello di Resource Manager che includa le modifiche da apportare.
Se si aggiornano solo le autorizzazioni , ad esempio l'aggiunta di un nuovo gruppo di utenti con un ruolo non incluso in precedenza o la modifica del ruolo per un utente esistente, è possibile usare lo stesso mspOfferName del modello di Resource Manager usato per la delega precedente. Usare il modello precedente come punto di partenza. Apportare quindi le modifiche necessarie, ad esempio sostituendo un ruolo predefinito di Azure con un altro o aggiungendo una nuova autorizzazione al modello.
Nella maggior parte dei casi, è consigliabile che lo stesso cliente e lo stesso tenant di gestione usino un solo mspOfferName. Non è necessario modificare mspOfferName se il tenant di gestione rimane invariato. Se si modifica mspOfferName, questa verrà considerata una nuova offerta separata. Se si passa a un tenant di gestione diverso, è necessario modificare mspOfferName.
Rimuovere la delega precedente
Prima di eseguire una nuova distribuzione, è opportuno rimuovere l'accesso alla delega precedente. Ciò garantisce che tutte le autorizzazioni precedenti vengano rimosse e che sia possibile iniziare a eseguire la pulizia con gli utenti/gruppi e i ruoli esatti che devono essere applicati in futuro.
Se si modifica il tenant di gestione, è consigliabile lasciare attiva l'offerta precedente solo se si vuole che entrambi i tenant continuino ad avere accesso. Se si vuole che il nuovo tenant di gestione sia l'unico tenant che ha accesso, è necessario rimuovere l'offerta precedente. È in genere consigliabile rimuovere l'offerta precedente prima di distribuirne una nuova.
Importante
Se si usa un nuovo mspOfferName e si mantiene uno degli stessi valori principalId, è necessario rimuovere l'accesso alla delega precedente prima di distribuire la nuova. Se non si rimuove prima l'offerta precedente, gli utenti che in precedenza avevano concesso le autorizzazioni potrebbero perdere completamente l'accesso a causa di assegnazioni in conflitto.
Se si aggiorna l'offerta solo per modificare le autorizzazioni e mantenere lo stesso mspOfferName, non è necessario rimuovere la delega precedente. La nuova distribuzione sostituirà quella precedente e verranno applicate solo le autorizzazioni nel modello più recente.
La rimozione dell'accesso alla delega può essere eseguita da qualsiasi utente nel tenant di gestione a cui è stato concesso il ruolo con i privilegi di eliminazione delle assegnazione della registrazione dei Servizi gestiti nella delega originale. Se nessun utente nel tenant di gestione dispone questo ruolo, è possibile chiedere al cliente di rimuovere l'accesso all'offerta nel portale di Azure.
Suggerimento
Se la delega precedente è stata rimossa ma non è possibile distribuire il nuovo modello di Resource Manager, potrebbe essere necessario rimuovere completamente la definizione di registrazione precedente. Questa operazione può essere eseguita da qualsiasi utente con un ruolo con l'autorizzazione Microsoft.Authorization/roleAssignments/write, ad esempio Proprietario, nel tenant del cliente.
Distribuire il modello di Resource Manager
Il cliente può distribuire il modello aggiornato con la stessa procedura usata in precedenza, ossia nel portale di Azure, tramite PowerShell o l'interfaccia della riga di comando di Azure.
Al termine della distribuzione, verificare che sia stato eseguito correttamente. In tal caso, le autorizzazioni aggiornate sono effettive per la sottoscrizione o i gruppi di risorse delegati dal cliente.
Aggiornare le offerte del servizio gestito
Se l'onboarding del cliente è stato eseguito tramite un'offerta di Servizio gestito pubblicata in Azure Marketplace e si vogliono aggiornare le autorizzazioni, è possibile farlo pubblicando una nuova versione dell'offerta con aggiornamenti alle autorizzazioni nel piano per il cliente. Il cliente può quindi esaminare le modifiche nel portale di Azure e accettare la versione aggiornata.
Per modificare il tenant di gestione per una delega, è necessario creare e pubblicare una nuova offerta di servizio gestito per consentire al cliente di accettare.
Importante
È consigliabile evitare di avere più offerte di servizi gestiti tra lo stesso cliente e il tenant di gestione. Se si pubblica una nuova offerta per un cliente corrente che usa lo stesso tenant di gestione, assicurarsi che l'offerta precedente venga rimossa prima che il cliente accetti l'offerta più recente.
Passaggi successivi
- Visualizzare e gestire i clienti passando a Clienti personali nel portale di Azure.
- Informazioni su come rimuovere l'accesso a una delega di cui in precedenza è stato eseguito l'onboarding.
- Altre informazioni sull'architettura di Azure Lighthouse.