Aktualizowanie delegacji

Artykuł
11/05/2024

Po dołączeniu subskrypcji (lub grupy zasobów) do usługi Azure Lighthouse może być konieczne wprowadzenie zmian. Na przykład klient może chcieć wykonać dodatkowe zadania związane z zarządzaniem, które wymagają innej wbudowanej roli platformy Azure, lub może być konieczne zmianę dzierżawy, do której jest delegowana subskrypcja klienta.

Napiwek

Chociaż w tym temacie odwołujemy się do dostawców usług i klientów, przedsiębiorstwa zarządzające wieloma dzierżawami mogą korzystać z tego samego procesu, aby skonfigurować usługę Azure Lighthouse i skonsolidować swoje środowisko zarządzania.

W przypadku dołączenia klienta za pomocą szablonów usługi Azure Resource Manager (ARM) należy wykonać nowe wdrożenie dla tego klienta. W zależności od tego, co zmieniasz, możesz zaktualizować oryginalną ofertę lub usunąć oryginalną ofertę i utworzyć nową.

Jeśli zmieniasz tylko autoryzacje: Możesz zaktualizować delegowanie, zmieniając sekcję autoryzacji szablonu usługi ARM.
Jeśli zmieniasz dzierżawę zarządzaną: musisz utworzyć nowy szablon usługi ARM przy użyciu innego pliku mspOfferName niż poprzednia oferta.

Aktualizowanie szablonu usługi ARM

Aby zaktualizować delegowanie, należy wdrożyć szablon usługi ARM zawierający zmiany, które chcesz wprowadzić.

Jeśli aktualizujesz tylko autoryzacje (takie jak dodanie nowej grupy użytkowników z rolą, która nie została wcześniej dołączona lub zmiana roli dla istniejącego użytkownika), możesz użyć tej samej nazwy mspOfferName co w szablonie usługi ARM, który został użyty do poprzedniego delegowania. Użyj poprzedniego szablonu jako punktu wyjścia. Następnie wprowadź potrzebne zmiany, takie jak zastąpienie jednej wbudowanej roli platformy Azure inną lub dodanie zupełnie nowej autoryzacji do szablonu.

Jeśli zmienisz nazwę mspOfferName, zostanie to uznane za nową, oddzielną ofertę. Jest to wymagane, jeśli zmieniasz dzierżawę zarządzaną.

Nie musisz zmieniać nazwy mspOfferName , jeśli dzierżawa zarządzająca pozostaje taka sama. W większości przypadków zalecamy używanie tylko jednego elementu mspOfferName przez tego samego klienta i zarządzanie dzierżawą. Jeśli zdecydujesz się utworzyć nowy element mspOfferName dla szablonu, przed wdrożeniem nowego upewnij się, że poprzednie delegowanie klienta zostało usunięte.

Usuń poprzednie delegowanie

Przed wykonaniem nowego wdrożenia możesz usunąć dostęp do poprzedniego delegowania. Dzięki temu wszystkie poprzednie uprawnienia zostaną usunięte, co umożliwi rozpoczęcie czyszczenia od dokładnych użytkowników/grup i ról, które powinny być stosowane w przyszłości.

Ważne

Jeśli używasz nowego atrybutu mspOfferName i zachowasz dowolne z tych samych wartości principalId , musisz usunąć dostęp do poprzedniego delegowania przed wdrożeniem nowej oferty. Jeśli nie usuniesz oferty jako pierwszej, użytkownicy, którzy wcześniej przyznali uprawnienie, mogą całkowicie utracić dostęp z powodu konfliktowych przypisań.

Jeśli zmieniasz dzierżawę zarządzaną, możesz pozostawić poprzednią ofertę, jeśli chcesz, aby obie dzierżawy nadal miały dostęp. Jeśli chcesz, aby nowa dzierżawa zarządzająca miała dostęp, należy usunąć wcześniejszą ofertę. Można to zrobić przed lub po dołączeniu nowej oferty.

Jeśli aktualizujesz ofertę w celu dostosowania tylko autoryzacji i zachowasz tę samą nazwę mspOfferName, nie musisz usuwać poprzedniego delegowania. Nowe wdrożenie zastąpi poprzednie delegowanie, a tylko autoryzacje w najnowszym szablonie zostaną zastosowane.

Diagram przedstawiający, kiedy zmienić nazwę mspOfferName i usunąć poprzednie delegowanie.

Usunięcie dostępu do delegowania może odbywać się przez dowolnego użytkownika w dzierżawie zarządzającej, któremu udzielono roli usuwania przypisania rejestracji usług zarządzanych w oryginalnym delegowaniu. Jeśli żaden użytkownik w dzierżawie zarządzającej nie ma tej roli, możesz poprosić klienta o usunięcie dostępu do oferty w witrynie Azure Portal.

Napiwek

Jeśli poprzednie delegowanie zostało usunięte, ale nie można wdrożyć nowego szablonu usługi ARM, może być konieczne całkowite usunięcie definicji rejestracji. Można to zrobić przez dowolnego użytkownika z rolą, która ma Microsoft.Authorization/roleAssignments/write uprawnienia, takie jak Właściciel, w dzierżawie klienta.

Wdrażanie szablonu usługi ARM

Klient może wdrożyć zaktualizowany szablon w taki sam sposób, jak wcześniej: w witrynie Azure Portal, przy użyciu programu PowerShell lub przy użyciu interfejsu wiersza polecenia platformy Azure.

Po zakończeniu wdrażania upewnij się, że zakończyło się pomyślnie. Zaktualizowane autoryzacje będą obowiązywać dla subskrypcji lub grup zasobów delegowanych przez klienta.

Aktualizowanie ofert usługi zarządzanej

Jeśli dołączysz klienta za pośrednictwem oferty usługi zarządzanej opublikowanej w witrynie Azure Marketplace i chcesz zaktualizować autoryzacje, możesz to zrobić, publikując nową wersję oferty z aktualizacjami autoryzacji w planie dla tego klienta. Następnie klient będzie mógł przejrzeć zmiany w witrynie Azure Portal i zaakceptować zaktualizowaną wersję.

Jeśli chcesz zmienić dzierżawę zarządzaną, musisz utworzyć i opublikować nową ofertę usługi zarządzanej, aby klient zaakceptował.

Ważne

Nie zalecamy posiadania wielu ofert między tym samym klientem i zarządzaniem dzierżawą. Jeśli opublikujesz nową ofertę dla bieżącego klienta, który korzysta z tej samej dzierżawy zarządzającej, upewnij się, że wcześniejsza oferta zostanie usunięta, zanim klient zaakceptuje nowszą ofertę.

Następne kroki

Wyświetlanie klientów i zarządzanie nimi, przechodząc do sekcji Moje klienci w witrynie Azure Portal.
Dowiedz się, jak usunąć dostęp do delegowania , które zostało wcześniej dołączone.
Dowiedz się więcej o architekturze usługi Azure Lighthouse.

Udostępnij za pośrednictwem