Integre todas as assinaturas em um grupo de gerenciamento
O Azure Lighthouse permite a delegação de assinaturas e/ou grupos de recursos, mas não dos grupos de gerenciamento. No entanto, você pode usar uma Azure Policy (Política do Azure) para delegar todas as assinaturas em um grupo de gerenciamento a um locatário de gerenciamento.
A política usa o efeito deployIfNotExists para verificar se as assinaturas no grupo de gerenciamento é delegada ao locatário de gerenciamento especificado. Se uma assinatura ainda não estiver delegada, a política criará a atribuição do Azure Lighthouse com base nos valores fornecidos nos parâmetros. Em seguida, você terá acesso a todas as assinaturas no grupo de gerenciamento, assim como se cada uma fosse integrada manualmente.
Ao usar essa política, tenha em mente:
- Cada assinatura dentro do grupo de gerenciamento terá o mesmo conjunto de autorizações. Para variar os usuários e as funções que têm acesso concedido, você terá de integrar uma assinatura manualmente.
- Embora todas as assinaturas do grupo de gerenciamento sejam integradas, você não pode executar ações no recurso do grupo de gerenciamento pelo Azure Lighthouse. Você precisará selecionar as assinaturas para trabalhar, assim como faria se elas fossem integradas individualmente.
A menos que especificado, todas essas etapas devem ser executadas por um usuário no locatário do cliente com as permissões apropriadas.
Dica
Embora estejamos nos referindo a provedores de serviços e clientes neste tópico, as empresas que gerenciam vários locatários podem usar os mesmos processos.
Registrar o provedor de recursos nas assinaturas
Normalmente, o provedor de recursos Microsoft.ManagedServices é registrado para uma assinatura como parte do processo de integração. Ao usar a política para integração de assinaturas em um grupo de gerenciamento, o provedor de recursos deve ser registrado com antecedência. O registro pode ser feito por um usuário colaborador ou proprietário no locatário do cliente (ou qualquer usuário que tenha permissões para fazer a operação /register/action para o provedor de recursos). Confira mais informações em Tipos e provedores de recursos do Azure.
Você pode usar um Aplicativo Lógico do Azure para registrar automaticamente o provedor de recursos nas assinaturas. Esse Aplicativo Lógico pode ser implantado no locatário do cliente com permissões limitadas que permitem registrar o provedor de recursos em cada assinatura em um grupo de gerenciamento.
Também fornecemos um Aplicativo Lógico do Azure que pode ser implantado no locatário do provedor de serviços. Esse Aplicativo Lógico pode atribuir o provedor de recursos nas assinaturas em vários locatários garantindo consentimento de administrador em todo o locatário ao Aplicativo Lógico. Conceder consentimento de administrador em todo o locatário exige que você entre como um usuário autorizado a consentir em nome da organização. Se você usar essa opção para registrar o provedor em vários locatários, ainda precisará implantar a política individualmente em cada grupo de gerenciamento.
Criar seu arquivo de parâmetros
Para atribuir a política, você implanta o arquivo deployLighthouseIfNotExistManagementGroup.json do nosso repositório de amostras, junto com um arquivo de parâmetros deployLighthouseIfNotExistsManagementGroup.parameters.json que você edita com os detalhes específico do locatário e da atribuição. Esses dois arquivos contêm os mesmos detalhes que seriam usados para integrar uma assinatura individual.
Este exemplo mostra um arquivo de parâmetros que delega as assinaturas ao locatário dos Serviços Gerenciados do Relecloud, com acesso concedido a dois valores de principalID: um para suporte de camada 1 e uma conta de automação que pode atribuir o delegateRoleDefinitionIds nas identidades gerenciadas no locatário do cliente.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"managedByName": {
"value": "Relecloud Managed Services"
},
"managedByDescription": {
"value": "Relecloud provides managed services to its customers"
},
"managedByTenantId": {
"value": "00000000-0000-0000-0000-000000000000"
},
"managedByAuthorizations": {
"value": [
{
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"principalIdDisplayName": "Tier 1 Support",
"roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
},
{
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"principalIdDisplayName": "Automation Account - Full access",
"roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"delegatedRoleDefinitionIds": [
"b24988ac-6180-42a0-ab88-20f7382dd24c",
"92aaf0da-9dab-42b6-94a3-d43ce8d16293",
"91c1777a-f3dc-4fae-b103-61d183457e46"
]
}
]
}
}
}
Atribuir a política a um grupo de gerenciamento
Depois de editar a política para criar suas atribuições, você pode atribuí-la no nível do grupo de gerenciamento. Para saber mais sobre como atribuir uma política e ver os resultados do estado de conformidade, confira Início Rápido: criar uma atribuição de política.
Esse script do PowerShell mostra como adicionar a definição de política no grupo de gerenciamento especificado, usando o modelo e o arquivo de parâmetro que você criou. Você precisa criar a tarefa de atribuição e correção para as assinaturas existentes.
New-AzManagementGroupDeployment -Name <DeploymentName> -Location <location> -ManagementGroupId <ManagementGroupName> -TemplateFile <path to file> -TemplateParameterFile <path to parameter file> -verbose
Confirmar integração bem-sucedida
Há várias maneiras de verificar se as assinaturas no grupo de gerenciamento foram integradas com êxito. Para saber mais, confira Confirmar integração bem-sucedida.
Se você manter o Aplicativo Lógico e a política ativos para o grupo de gerenciamento, todas as novas assinaturas adicionadas ao grupo de gerenciamento também serão integradas.
Próximas etapas
- Saiba mais sobre integração de clientes no Azure Lighthouse.
- Saiba mais sobre o Azure Policy.
- Saiba mais sobre os Aplicativos Lógicos do Azure.