Aktualizowanie delegacji

Artykuł
01/18/2025

Po dołączeniu subskrypcji (lub grupy zasobów) do usługi Azure Lighthouse może być konieczne wprowadzenie zmian. Na przykład klient może chcieć wykonać dodatkowe zadania związane z zarządzaniem, które wymagają innej wbudowanej roli platformy Azure, lub może być konieczne zmianę dzierżawy, na którą jest delegowana subskrypcja klienta.

Napiwek

Chociaż w tym temacie odwołujemy się do dostawców usług i klientów, przedsiębiorstwa zarządzające wieloma dzierżawami mogą korzystać z tego samego procesu, aby skonfigurować usługę Azure Lighthouse i skonsolidować swoje środowisko zarządzania.

W przypadku dołączenia klienta za pomocą szablonów usługi Azure Resource Manager (ARM) należy wykonać nowe wdrożenie dla tego klienta. W zależności od tego, co zmieniasz, możesz zaktualizować oryginalną ofertę lub usunąć oryginalną ofertę i utworzyć nową.

Aby zmienić tylko autoryzacje: Możesz zaktualizować delegowanie, zmieniając sekcję autoryzacji szablonu usługi ARM.
Aby zmienić dzierżawę zarządzaną: musisz utworzyć nowy szablon usługi ARM z inną nazwą mspOfferName z poprzedniej oferty.

Diagram przedstawiający, kiedy zmienić nazwę mspOfferName i usunąć poprzednie delegowanie.

Aktualizowanie szablonu usługi ARM

Aby zaktualizować delegowanie, należy wdrożyć szablon usługi ARM zawierający zmiany, które chcesz wprowadzić.

Jeśli aktualizujesz tylko autoryzacje (takie jak dodanie nowej grupy użytkowników z rolą, która nie została wcześniej dołączona lub zmiana roli dla istniejącego użytkownika), możesz użyć tej samej nazwy mspOfferName , jak w szablonie usługi ARM, który został użyty do poprzedniego delegowania. Użyj poprzedniego szablonu jako punktu wyjścia. Następnie wprowadź potrzebne zmiany, takie jak zastąpienie jednej wbudowanej roli platformy Azure inną lub dodanie nowej autoryzacji do szablonu.

W większości przypadków zalecamy używanie tylko jednego elementu mspOfferName przez tego samego klienta i zarządzanie dzierżawą. Nie musisz zmieniać nazwy mspOfferName , jeśli dzierżawa zarządzająca pozostaje taka sama. Jeśli zmienisz wartość mspOfferName, zostanie to uznane za nową, oddzielną ofertę. Zmiana mspOfferName jest wymagana, jeśli przełączasz się na inną dzierżawę zarządzaną.

Usuń poprzednie delegowanie

Przed wykonaniem nowego wdrożenia możesz usunąć dostęp do poprzedniego delegowania. Dzięki temu wszystkie poprzednie uprawnienia zostaną usunięte, co umożliwi rozpoczęcie czyszczenia od dokładnych użytkowników/grup i ról, które powinny być stosowane w przyszłości.

Jeśli zmieniasz dzierżawę zarządzaną, pozostaw poprzednią ofertę tylko wtedy, gdy chcesz, aby obie dzierżawy nadal miały dostęp. Jeśli chcesz, aby nowa dzierżawa zarządzająca był jedyną dzierżawą, która ma dostęp, należy usunąć wcześniejszą ofertę. Zazwyczaj zalecamy usunięcie poprzedniej oferty przed wdrożeniem nowej.

Ważne

Jeśli używasz nowego atrybutu mspOfferName i zachowasz dowolne z tych samych wartości principalId , musisz usunąć dostęp do poprzedniego delegowania przed wdrożeniem nowej oferty. Jeśli nie usuniesz poprzedniej oferty, użytkownicy, którzy wcześniej otrzymali uprawnienia, mogą całkowicie utracić dostęp z powodu konfliktowych przypisań.

Jeśli aktualizujesz ofertę tylko w celu dostosowania autoryzacji i zachowasz tę samą nazwę mspOfferName, nie musisz usuwać poprzedniego delegowania. Nowe wdrożenie zastąpi poprzednie delegowanie, a tylko autoryzacje w najnowszym szablonie zostaną zastosowane.

Usunięcie dostępu do delegowania może odbywać się przez dowolnego użytkownika w dzierżawie zarządzającej, któremu udzielono roli usuwania przypisania rejestracji usług zarządzanych w oryginalnym delegowaniu. Jeśli żaden użytkownik w dzierżawie zarządzającej nie ma tej roli, możesz poprosić klienta o usunięcie dostępu do oferty w witrynie Azure Portal.

Napiwek

Jeśli poprzednie delegowanie zostało usunięte, ale nie można wdrożyć nowego szablonu usługi ARM, może być konieczne całkowite usunięcie poprzedniej definicji rejestracji. Można to zrobić przez dowolnego użytkownika z rolą, która ma Microsoft.Authorization/roleAssignments/write uprawnienia, takie jak Właściciel, w dzierżawie klienta.

Wdrażanie szablonu usługi ARM

Klient może wdrożyć zaktualizowany szablon w taki sam sposób, jak wcześniej: w witrynie Azure Portal, przy użyciu programu PowerShell lub przy użyciu interfejsu wiersza polecenia platformy Azure.

Po zakończeniu wdrażania upewnij się, że zakończyło się pomyślnie. Jeśli tak, zaktualizowane autoryzacje obowiązują dla subskrypcji lub grup zasobów delegowanych przez klienta.

Aktualizowanie ofert usługi zarządzanej

Jeśli dołączysz klienta za pośrednictwem oferty usługi zarządzanej opublikowanej w witrynie Azure Marketplace i chcesz zaktualizować autoryzacje, możesz to zrobić, publikując nową wersję oferty z aktualizacjami autoryzacji w planie dla tego klienta. Klient może następnie przejrzeć zmiany w witrynie Azure Portal i zaakceptować zaktualizowaną wersję.

Aby zmienić dzierżawę zarządzaną dla delegowania, należy utworzyć i opublikować nową ofertę usługi zarządzanej, aby klient zaakceptował.

Ważne

Zalecamy unikanie wielu ofert usługi zarządzanej między tym samym klientem i zarządzaniem dzierżawą. Jeśli opublikujesz nową ofertę dla bieżącego klienta, który korzysta z tej samej dzierżawy zarządzającej, upewnij się, że wcześniejsza oferta zostanie usunięta, zanim klient zaakceptuje nowszą ofertę.

Następne kroki

Wyświetlanie klientów i zarządzanie nimi, przechodząc do sekcji Moje klienci w witrynie Azure Portal.
Dowiedz się, jak usunąć dostęp do delegowania , które zostało wcześniej dołączone.
Dowiedz się więcej o architekturze usługi Azure Lighthouse.

Udostępnij za pośrednictwem