위임 업데이트
Azure Lighthouse에 구독(또는 리소스 그룹)을 온보딩한 후에는 변경해야 할 수 있습니다. 예를 들어 고객은 다른 Azure 기본 제공 역할이 필요한 추가 관리 작업을 수행하거나 고객 구독이 위임되는 테넌트를 변경해야 할 수 있습니다.
팁
이 토픽에서는 서비스 공급자 및 고객 관련 내용을 다루지만 여러 테넌트를 관리하는 엔터프라이즈는 같은 프로세스를 사용하여 Azure Lighthouse를 설정하고 관리 환경을 통합할 수 있습니다.
ARM 템플릿(Azure Resource Manager 템플릿)을 통해 고객을 온보딩하는 경우 해당 고객에 대한 새 배포를 수행해야 합니다. 변경 내용에 따라 원래 제품을 업데이트하거나 원래 제품을 제거하고 새 제품을 만들 수 있습니다.
- 권한 부여만 변경하려면 ARM 템플릿의 권한 부여 섹션을 변경하여 위임을 업데이트할 수 있습니다.
- 관리 테넌트를 변경하려면 이전 제품과 다른 mspOfferName 을 사용하여 새 ARM 템플릿을 만들어야 합니다.
ARM 템플릿 업데이트
위임을 업데이트하려면 변경하려는 변경 내용이 포함된 ARM 템플릿을 배포해야 합니다.
권한 부여만 업데이트하는 경우(예: 이전에 포함하지 않은 역할로 새 사용자 그룹 추가 또는 기존 사용자에 대한 역할 변경) 이전 위임에 사용한 ARM 템플릿과 동일한 mspOfferName을 사용할 수 있습니다. 이전 템플릿을 시작 지점으로 사용합니다.. 그런 다음, Azure 기본 제공 역할을 다른 역할로 대체하거나 템플릿에 새 권한 부여를 추가하는 등 필요한 변경을 수행합니다.
대부분의 경우 동일한 고객에게 하나의 mspOfferName만 사용하고 테넌트를 관리하는 것이 좋습니다. 관리 테넌트가 동일하게 유지되는 경우에는 mspOfferName을 변경할 필요가 없습니다. mspOfferName을 변경하면 별도의 새 제품으로 간주됩니다. 다른 관리 테넌트로 전환하는 경우 mspOfferName을 변경해야 합니다.
이전 위임 제거
새 배포를 수행하기 전에 이전 위임에 대한 액세스 권한을 제거하는 것이 좋습니다. 이렇게 하면 모든 이전 권한이 제거되므로 앞으로 적용해야 하는 정확한 사용자/그룹 및 역할로 정리를 시작할 수 있습니다.
관리 테넌트 관리를 변경하는 경우 두 테넌트가 계속 액세스하도록 하려면 이전 제품만 그대로 두어야 합니다. 새 관리 테넌트가 액세스 권한이 있는 유일한 테넌트가 되도록 하려면 이전 제품을 제거해야 합니다. 일반적으로 새 제품을 배포하기 전에 이전 제품을 제거하는 것이 좋습니다.
Important
새 mspOfferName을 사용하고 동일한 principalId 값을 유지하는 경우 새 제안을 배포하기 전에 이전 위임에 대한 액세스 권한을 제거해야 합니다. 이전 제품을 먼저 제거하지 않으면 이전에 권한이 부여된 사용자는 충돌하는 할당으로 인해 액세스 권한이 완전히 손실될 수 있습니다.
권한 부여를 조정하기 위해서만 제품을 업데이트하고 동일한 mspOfferName을 유지하는 경우 이전 위임을 제거할 필요가 없습니다. 새 배포가 이전 위임을 대체하고 최신 템플릿의 권한 부여만 적용됩니다.
위임에 대한 액세스를 제거하는 작업은 원래 위임에서 관리 서비스 등록 할당 삭제 역할이 부여된 관리 테넌트의 모든 사용자가 수행할 수 있습니다. 관리 테넌트에 이 역할이 있는 사용자가 없는 경우 고객에게 Azure Portal의 제안에 대한 액세스 권한을 제거하도록 요청할 수 있습니다.
팁
이전 위임을 제거했지만 새 ARM 템플릿을 배포할 수 없는 경우 이전 등록 정의를 완전히 제거해야 할 수 있습니다. 이 작업은 고객 테넌트에서 Owner와 같이, Microsoft.Authorization/roleAssignments/write
권한이 있는 역할을 가진 모든 사용자가 수행할 수 있습니다.
ARM 템플릿 배포
고객은 이전에 수행한 것과 동일한 방식으로 업데이트된 템플릿을 배포할 수 있습니다. 즉, Azure Portal에서 PowerShell을 사용하거나 Azure CLI를 사용하여 배포할 수 있습니다.
배포가 완료되면 성공했는지 확인합니다. 이 경우 고객이 위임한 구독 또는 리소스 그룹에 대해 업데이트된 권한 부여가 적용됩니다.
관리 서비스 제품 업데이트
Azure Marketplace에 게시된 관리되는 서비스 제안을 통해 고객을 온보딩했고 권한 부여를 업데이트하려는 경우 해당 고객에 대한 플랜의 권한 부여에 대한 업데이트를 포함한 새 버전의 제안을 게시하면 됩니다. 그러면 고객은 Azure Portal에서 변경 내용을 검토하고 업데이트된 버전을 수락할 수 있습니다.
위임에 대한 관리 테넌트를 변경하려면 고객이 수락할 새 관리 서비스 제품을 만들고 게시해야 합니다.
Important
동일한 고객과 테넌트 관리 간에 여러 Managed Service 제품을 사용하지 않는 것이 좋습니다. 동일한 관리 테넌트를 사용하는 현재 고객에 대한 새 제안을 게시하는 경우 고객이 최신 제안을 수락하기 전에 이전 제안이 제거되었는지 확인해야 합니다.
다음 단계
- Azure Portal의 내 고객으로 이동하여 고객을 보고 관리합니다.
- 이전에 등록된 위임에 대한 액세스 권한 제거 방법을 알아봅니다.
- Azure Lighthouse 아키텍처에 대해 자세히 알아봅니다.