Een delegatie bijwerken
Nadat u een abonnement (of resourcegroep) hebt toegevoegd aan Azure Lighthouse, moet u mogelijk wijzigingen aanbrengen. Uw klant wil bijvoorbeeld dat u aanvullende beheertaken uitvoert waarvoor een andere ingebouwde Azure-rol is vereist, of u moet mogelijk de tenant wijzigen waarnaar een klantabonnement is gedelegeerd.
Tip
Hoewel we in dit onderwerp verwijzen naar serviceproviders en klanten, kunnen ondernemingen die meerdere tenants beheren hetzelfde proces gebruiken om Azure Lighthouse in te stellen en hun beheerervaring samen te voegen.
Als u uw klant onboarding hebt uitgevoerd via Arm-sjablonen (Azure Resource Manager-sjablonen), moet er een nieuwe implementatie worden uitgevoerd voor die klant. Afhankelijk van wat u wijzigt, kunt u de oorspronkelijke aanbieding bijwerken of de oorspronkelijke aanbieding verwijderen en een nieuwe aanbieding maken.
- Als u alleen autorisaties wilt wijzigen: u kunt uw delegatie bijwerken door de sectie autorisaties van de ARM-sjabloon te wijzigen.
- Als u de beheertenant wilt wijzigen: u moet een nieuwe ARM-sjabloon maken met een andere mspOfferName van uw vorige aanbieding.
Uw ARM-sjabloon bijwerken
Als u uw delegatie wilt bijwerken, moet u een ARM-sjabloon implementeren die de wijzigingen bevat die u wilt aanbrengen.
Als u alleen autorisaties bijwerkt (zoals het toevoegen van een nieuwe gebruikersgroep met een rol die u niet eerder had opgenomen of de rol voor een bestaande gebruiker wijzigt), kunt u dezelfde mspOfferName gebruiken als in de ARM-sjabloon die u hebt gebruikt voor de vorige delegatie. Gebruik uw vorige sjabloon als uitgangspunt. Breng vervolgens de gewenste wijzigingen aan, zoals het vervangen van een ingebouwde Azure-rol door een andere of het toevoegen van een nieuwe autorisatie aan de sjabloon.
In de meeste gevallen raden we aan slechts één mspOfferName te gebruiken door dezelfde klant en tenant te beheren. U hoeft de mspOfferName niet te wijzigen als de beherende tenant hetzelfde blijft. Als u de mspOfferName wijzigt, wordt dit beschouwd als een nieuwe, afzonderlijke aanbieding. Als u overschakelt naar een andere tenant, is het wijzigen van mspOfferName vereist.
De vorige delegatie verwijderen
Voordat u een nieuwe implementatie uitvoert, wilt u mogelijk de toegang tot de vorige delegatie verwijderen. Dit zorgt ervoor dat alle vorige machtigingen worden verwijderd, zodat u kunt beginnen met het opschonen van de exacte gebruikers/groepen en rollen die in de toekomst van toepassing moeten zijn.
Als u de beheertenant wijzigt, moet u de vorige aanbieding alleen behouden als u wilt dat beide tenants toegang hebben. Als u wilt dat de nieuwe beheertenant de enige tenant is die toegang heeft, moet de eerdere aanbieding worden verwijderd. Over het algemeen raden we u aan de vorige aanbieding te verwijderen voordat u de nieuwe implementeert.
Belangrijk
Als u een nieuwe mspOfferName gebruikt en dezelfde principalId-waarden behoudt, moet u de toegang tot de vorige delegatie verwijderen voordat u de nieuwe aanbieding implementeert. Als u de vorige aanbieding niet eerst verwijdert, hebben gebruikers die eerder machtigingen hadden gekregen mogelijk geen toegang meer als gevolg van conflicterende toewijzingen.
Als u de aanbieding alleen bijwerkt om autorisaties aan te passen en dezelfde mspOfferName te behouden, hoeft u de vorige delegatie niet te verwijderen. De nieuwe implementatie vervangt de vorige delegatie en alleen de autorisaties in de nieuwste sjabloon zijn van toepassing.
Het verwijderen van toegang tot de delegering kan worden uitgevoerd door elke gebruiker in de beherende tenant waaraan de rol Registratietoewijzing voor beheerde services is toegewezen in de oorspronkelijke delegatie. Als er geen gebruiker in uw beheertenant deze rol heeft, kunt u de klant vragen om de toegang tot de aanbieding in Azure Portal te verwijderen.
Tip
Als u de vorige delegatie hebt verwijderd, maar de nieuwe ARM-sjabloon niet kunt implementeren, moet u mogelijk de vorige registratiedefinitie volledig verwijderen. Dit kan worden gedaan door elke gebruiker met een rol die de Microsoft.Authorization/roleAssignments/write
machtiging heeft, zoals Eigenaar, in de tenant van de klant.
De ARM-sjabloon implementeren
Uw klant kan de bijgewerkte sjabloon op dezelfde manier implementeren als voorheen: in Azure Portal, met behulp van PowerShell of met behulp van Azure CLI.
Nadat de implementatie is voltooid, controleert u of deze is geslaagd. Zo ja, dan zijn de bijgewerkte autorisaties van kracht voor het abonnement of de resourcegroep(en) die de klant heeft gedelegeerd.
Aanbiedingen voor beheerde services bijwerken
Als u uw klant hebt toegevoegd via een beheerde-serviceaanbieding die is gepubliceerd naar Azure Marketplace en u autorisaties wilt bijwerken, kunt u dit doen door een nieuwe versie van uw aanbieding te publiceren met updates voor de autorisaties in het plan voor die klant. De klant kan vervolgens de wijzigingen in Azure Portal bekijken en de bijgewerkte versie accepteren.
Als u de tenant voor het beheren van een delegatie wilt wijzigen, moet u een nieuwe aanbieding voor beheerde services maken en publiceren die de klant kan accepteren.
Belangrijk
We raden u aan om te voorkomen dat u meerdere managed service-aanbiedingen hebt tussen dezelfde klant en de tenant beheert. Als u een nieuwe aanbieding publiceert voor een huidige klant die gebruikmaakt van dezelfde beheertenant, moet u ervoor zorgen dat de eerdere aanbieding wordt verwijderd voordat de klant de nieuwere aanbieding accepteert.
Volgende stappen
- Klanten weergeven en beheren door naar Mijn klanten te gaan in Azure Portal.
- Meer informatie over het verwijderen van toegang tot een delegatie die eerder is toegevoegd.
- Meer informatie over Azure Lighthouse-architectuur.