Een delegatie bijwerken
Nadat u een abonnement (of resourcegroep) hebt toegevoegd aan Azure Lighthouse, moet u mogelijk wijzigingen aanbrengen. Uw klant kan bijvoorbeeld extra beheertaken uitvoeren waarvoor een andere ingebouwde Azure-rol is vereist, of mogelijk moet u de tenant wijzigen waarnaar een klantabonnement is gedelegeerd.
Tip
Hoewel we in dit onderwerp verwijzen naar serviceproviders en klanten, kunnen ondernemingen die meerdere tenants beheren hetzelfde proces gebruiken om Azure Lighthouse in te stellen en hun beheerervaring samen te voegen.
Als u uw klant onboarding hebt uitgevoerd via Arm-sjablonen (Azure Resource Manager-sjablonen), moet er een nieuwe implementatie worden uitgevoerd voor die klant. Afhankelijk van wat u wijzigt, kunt u de oorspronkelijke aanbieding bijwerken of de oorspronkelijke aanbieding verwijderen en een nieuwe aanbieding maken.
- Als u alleen autorisaties wijzigt: u kunt uw delegatie bijwerken door de sectie autorisaties van de ARM-sjabloon te wijzigen.
- Als u de beheertenant wijzigt: u moet een nieuwe ARM-sjabloon maken met een andere mspOfferName dan uw vorige aanbieding.
Uw ARM-sjabloon bijwerken
Als u uw delegatie wilt bijwerken, moet u een ARM-sjabloon implementeren die de wijzigingen bevat die u wilt aanbrengen.
Als u alleen autorisaties bijwerkt (zoals het toevoegen van een nieuwe gebruikersgroep met een rol die u nog niet eerder hebt opgenomen of de rol voor een bestaande gebruiker hebt gewijzigd), kunt u dezelfde mspOfferName gebruiken als in de ARM-sjabloon die u hebt gebruikt voor de vorige delegatie. Gebruik uw vorige sjabloon als uitgangspunt. Breng vervolgens de wijzigingen aan die u nodig hebt, zoals het vervangen van een ingebouwde Azure-rol door een andere of het toevoegen van een volledig nieuwe autorisatie aan de sjabloon.
Als u de mspOfferName wijzigt, wordt dit beschouwd als een nieuwe, afzonderlijke aanbieding. Dit is vereist als u de beheertenant wijzigt.
U hoeft de mspOfferName niet te wijzigen als de beherende tenant hetzelfde blijft. In de meeste gevallen raden we aan slechts één mspOfferName te gebruiken door dezelfde klant en tenant te beheren. Als u ervoor kiest om een nieuwe mspOfferName voor uw sjabloon te maken, moet u ervoor zorgen dat de vorige delegatie van de klant wordt verwijderd voordat u de nieuwe implementeert.
De vorige delegatie verwijderen
Voordat u een nieuwe implementatie uitvoert, wilt u mogelijk de toegang tot de vorige delegatie verwijderen. Dit zorgt ervoor dat alle vorige machtigingen worden verwijderd, zodat u kunt beginnen met het opschonen van de exacte gebruikers/groepen en rollen die in de toekomst van toepassing moeten zijn.
Belangrijk
Als u een nieuwe mspOfferName gebruikt en dezelfde principalId-waarden behoudt, moet u de toegang tot de vorige delegatie verwijderen voordat u de nieuwe aanbieding implementeert. Als u de aanbieding niet eerst verwijdert, kunnen gebruikers die eerder toestemming hadden verleend, de toegang mogelijk volledig verliezen vanwege conflicterende toewijzingen.
Als u de beheertenant wijzigt, kunt u de vorige aanbieding behouden als u wilt dat beide tenants toegang hebben. Als u alleen wilt dat de nieuwe beheertenant toegang heeft, moet de eerdere aanbieding worden verwijderd. Dit kan worden gedaan voor of nadat u de nieuwe aanbieding hebt onboardd.
Als u de aanbieding bijwerkt om alleen autorisaties aan te passen en dezelfde mspOfferName te behouden, hoeft u de vorige delegatie niet te verwijderen. De nieuwe implementatie vervangt de vorige delegatie en alleen de autorisaties in de nieuwste sjabloon zijn van toepassing.
Het verwijderen van toegang tot de delegering kan worden uitgevoerd door elke gebruiker in de beherende tenant waaraan de rol Registratietoewijzing voor beheerde services is toegewezen in de oorspronkelijke delegatie. Als er geen gebruiker in uw beheertenant deze rol heeft, kunt u de klant vragen om de toegang tot de aanbieding in Azure Portal te verwijderen.
Tip
Als u de vorige delegatie hebt verwijderd, maar de nieuwe ARM-sjabloon niet kunt implementeren, moet u mogelijk de registratiedefinitie volledig verwijderen. Dit kan worden gedaan door elke gebruiker met een rol die de Microsoft.Authorization/roleAssignments/write machtiging heeft, zoals Eigenaar, in de tenant van de klant.
De ARM-sjabloon implementeren
Uw klant kan de bijgewerkte sjabloon op dezelfde manier implementeren als voorheen: in Azure Portal, met behulp van PowerShell of met behulp van Azure CLI.
Nadat de implementatie is voltooid, controleert u of deze is geslaagd. De bijgewerkte autorisaties zijn vervolgens van kracht voor het abonnement of de resourcegroep(en) die de klant heeft gedelegeerd.
Aanbiedingen voor beheerde services bijwerken
Als u uw klant hebt toegevoegd via een beheerde-serviceaanbieding die is gepubliceerd naar Azure Marketplace en u autorisaties wilt bijwerken, kunt u dit doen door een nieuwe versie van uw aanbieding te publiceren met updates voor de autorisaties in het plan voor die klant. De klant kan vervolgens de wijzigingen in Azure Portal bekijken en de bijgewerkte versie accepteren.
Als u de beheertenant wilt wijzigen, moet u een nieuwe beheerde-serviceaanbieding maken en publiceren die de klant kan accepteren.
Belangrijk
We raden u aan om niet meerdere aanbiedingen te hebben tussen dezelfde klant en tenant te beheren. Als u een nieuwe aanbieding publiceert voor een huidige klant die gebruikmaakt van dezelfde beheertenant, moet u ervoor zorgen dat de eerdere aanbieding wordt verwijderd voordat de klant de nieuwere aanbieding accepteert.
Volgende stappen
- Klanten weergeven en beheren door naar Mijn klanten te gaan in Azure Portal.
- Meer informatie over het verwijderen van toegang tot een delegatie die eerder is toegevoegd.
- Meer informatie over Azure Lighthouse-architectuur.