Atualizar uma delegação
Após integrar uma assinatura (ou grupo de recursos) no Azure Lighthouse, talvez seja preciso fazer alterações. Por exemplo, o cliente pode querer que você faça outras tarefas de gerenciamento que exigem diferentes funções internas do Azure, ou talvez você precise alterar o locatário ao qual a assinatura do cliente foi delegada.
Dica
Embora sejam feitas referências a provedores de serviços e clientes, as empresas que gerenciam vários locatários podem usar o mesmo processo para configurar o Azure Lighthouse e consolidar sua experiência de gerenciamento.
Caso a integração tenha sido feita por modelos do ARM (modelos do Azure Resource Manager), será preciso fazer uma nova implantação para o cliente. Dependendo do que está sendo alterado, talvez você queira atualizar ou remover a oferta original e criar uma nova.
- Para alterar somente autorizações: atualize a delegação alterando a seção Autorizações do modelo do ARM.
- Para alterar o locatário de gerenciamento: você deve criar um novo modelo do ARM com um mspOfferName diferente da oferta anterior.
Atualizar o modelo do ARM
Para atualizar a delegação, é necessário implantar um modelo do ARM que inclui as alterações que você gostaria de fazer.
Se você estiver atualizando somente autorizações (como adicionar um novo grupo de usuários com uma função que não tenha sido incluída anteriormente ou alterar a função de um usuário existente), poderá usar o mesmo mspOfferName que o modelo do ARM usado na delegação anterior. Use o modelo anterior como ponto de partida. Em seguida, faça as alterações necessárias, como substituir uma função interna do Azure por outra ou adicionar uma autorização nova ao modelo.
Na maioria dos casos, é recomendável ter apenas um mspOfferName em uso pelo mesmo cliente e locatário de gerenciamento. Não será necessário alterar mspOfferName se o locatário de gerenciamento permanecer o mesmo. Se você alterar mspOfferName, isso será considerado uma oferta nova e separada. A alteração do mspOfferName será necessária se você estiver mudando para um locatário de gerenciamento diferente.
Remover a delegação anterior
Antes de fazer uma nova implantação, talvez você queira remover o acesso à delegação anterior. Isso garante que todas as permissões anteriores sejam removidas e permite iniciar a limpeza com os usuários/grupos e funções exatos que devem ser usados no futuro.
Se você estiver alterando o locatário de gerenciamento, só deverá deixar a oferta anterior em vigor caso deseje que ambos os locatários continuem a ter acesso. Se você quiser que o novo locatário de gerenciamento seja o único locatário que tenha acesso, a oferta anterior deverá ser removida. Geralmente, recomendamos remover a oferta anterior antes de implantar a nova.
Importante
Se você usar um novo mspOfferName e mantiver qualquer um dos mesmos valores de principalId, deverá remover o acesso à delegação anterior antes de implantar a nova oferta. Se você não remover a oferta anterior primeiro, os usuários que receberam permissão anteriormente poderão perder o acesso completamente devido a atribuições conflitantes.
Se você estiver atualizando a oferta para ajustar somente autorizações e mantiver o mesmo mspOfferName, não precisará remover a delegação anterior. A nova implantação substituirá a delegação anterior e somente as autorizações no modelo mais recente serão aplicadas.
A remoção do acesso à delegação pode ser feita por qualquer usuário no locatário de gerenciamento que recebeu a Função de Exclusão de Atribuição de Registro de Serviços Gerenciados na delegação original. Se nenhum usuário no locatário de gerenciamento tiver essa função, você poderá pedir ao cliente para remover o acesso à oferta no portal do Azure.
Dica
Se você removeu a delegação anterior, mas ainda não consegue implantar o novo modelo do ARM, talvez seja necessário remover a definição de registro anterior por completo. Isso pode ser feito por qualquer usuário com uma função que tenha a permissão Microsoft.Authorization/roleAssignments/write, como Proprietário, no locatário do cliente.
Implantar o modelo do ARM
O cliente pode implantar o modelo atualizado da mesma maneira que fazia anteriormente: no portal do Azure, pelo PowerShell ou pela CLI do Azure.
Após a conclusão da implantação, confirme se ela foi bem-sucedida. Nesse caso, as autorizações atualizadas estarão em vigor para a assinatura ou os grupos de recursos que o cliente tiver delegado.
Atualizar as ofertas de serviço gerenciado
Se você integrou o cliente por meio de uma oferta de Serviço Gerenciado publicada no Azure Marketplace e deseja atualizar as autorizações, faça isso publicando uma nova versão da oferta com atualizações nas autorizações do plano do cliente. Em seguida, o cliente pode examinar as alterações no portal do Azure e aceitar a versão atualizada.
Para alterar o locatário de gerenciamento de uma delegação, você deve criar e publicar uma nova oferta de Serviço Gerenciado para que o cliente aceite.
Importante
Recomendamos que você evite ter várias ofertas de Serviço Gerenciado entre o mesmo cliente e o locatário de gerenciamento. Se você publicar uma nova oferta para o cliente atual que use o mesmo locatário de gerenciamento, remova a oferta anterior antes que o cliente aceite a oferta mais recente.
Próximas etapas
- Exiba e gerencie clientes acessando Meus clientes no portal do Azure.
- Aprenda a remover o acesso a uma delegação que foi integrada anteriormente.
- Saiba mais sobre a arquitetura do Azure Lighthouse.