Exibir e gerenciar provedores de serviços

Os clientes podem visitar Provedores de serviços no Portal do Azure para controlar e ter visibilidade dos seus provedores de serviços que usam o Azure Lighthouse. Em Provedores de serviços, os clientes podem delegar recursos específicos, revisar ofertas novas ou atualizadas, remover o acesso do provedor de serviços e muito mais.

Para acessar Provedores de serviços no portal do Azure, insira "Provedores de serviços" na caixa de pesquisa no cabeçalho da página do portal do Azure. Você também pode navegar até o Azure Lighthouse no portal do Azure e selecionar Exibir ofertas de provedores de serviços.

Observação

Para exibir Provedores de serviços, um usuário no locatário do cliente deve ter a função interna Leitor (ou outra função interna que inclua acesso de Leitor).

Para adicionar ou atualizar ofertas, delegar recursos e remover ofertas, o usuário precisa ter uma função com a Microsoft.Authorization/roleAssignments/write permissão, como Proprietário.

Provedores de serviços mostra apenas informações sobre os provedores de serviços que têm acesso às assinaturas ou aos grupos de recursos do cliente por meio do Azure Lighthouse. Não mostra informações sobre provedores de serviços adicionais que não usam o Azure Lighthouse.

Exibir detalhes do provedor de serviços

Para ver detalhes sobre os provedores de serviços atuais que usam o Azure Lighthouse para trabalhar no locatário do cliente, selecione Ofertas de provedores de serviços no menu de serviços de Provedores de serviços.

Cada oferta mostra o nome do provedor de serviços e a oferta associada a ele. Selecione uma oferta para exibir uma descrição e outros detalhes, incluindo as atribuições de função concedidas ao provedor de serviços.

Na coluna Delegações de uma oferta, você pode ver quantas assinaturas e/ou grupos de recursos foram delegados ao provedor de serviços. O provedor de serviços pode trabalhar nessas assinaturas e/ou grupos de recursos de acordo com os níveis de acesso especificados na oferta.

Adicionar ofertas de provedores de serviços

Você pode adicionar uma nova oferta de provedor de serviços em Ofertas de provedores de serviços.

Para adicionar uma oferta do marketplace, selecione Adicionar oferta na barra de comandos e escolha Adicionar via marketplace. Para exibir Ofertas de Serviço Gerenciado que foram publicadas especificamente para um cliente, selecione Produtos privados. Caso contrário, procure uma oferta pública. Quando encontrar a oferta desejada, selecione-a para revisar os detalhes. Para adicionar a oferta, selecione Criar e forneça as informações necessárias.

Para adicionar uma oferta de um modelo, selecione Adicionar oferta na barra de comandos e escolha Adicionar via modelo. O painel Upload de Modelo de Oferta é exibido, permitindo que você carregue um modelo do seu provedor de serviços e integre sua assinatura (ou grupo de recursos). Para obter etapas detalhadas, consulte Implantar no portal do Azure.

Atualizar as ofertas do provedor de serviços

Depois que um cliente adicionar uma oferta, um provedor de serviços poderá publicar uma versão atualizada da mesma oferta no Azure Marketplace, como para adicionar uma nova definição de função. Se uma nova versão da oferta for publicada, um ícone de "atualização" será exibido na linha dessa oferta. Selecione este ícone para ver as alterações na versão atual da oferta.

Depois de examinar as alterações, é possível optar por atualizar para a nova versão. Ao fazer isso, as autorizações e outras configurações especificadas na nova versão se aplicam a quaisquer assinaturas e/ou grupos de recursos que foram previamente delegados para essa oferta.

Remover ofertas de provedores de serviços

Você pode remover uma oferta de provedor de serviços a qualquer momento selecionando o ícone de lixeira na linha dessa oferta.

Depois que você confirmar a exclusão, esse provedor de serviços não poderá mais acessar os recursos que foram anteriormente delegados para essa oferta.

Importante

Se uma assinatura tiver duas ou mais ofertas do mesmo provedor de serviços, a remoção de uma delas poderá fazer com que alguns usuários do provedor de serviços percam o acesso concedido através das outras delegações. Esse problema só ocorre quando o mesmo usuário e função estão incluídos em várias delegações e uma das delegações é removida. Para restaurar o acesso, o processo de integração deve ser repetido para as ofertas que você não deseja remover.

Delegar recursos

Antes que um provedor de serviços possa acessar e gerenciar recursos do cliente, uma ou mais assinaturas e/ou grupos de recursos específicos precisam ser delegados. Quando um cliente adiciona uma oferta sem delegar recursos, uma observação aparece na parte superior da seção Ofertas do provedor de serviços. O provedor de serviços não poderá trabalhar em nenhum recurso no locatário do cliente até que a delegação seja concluída.

Para delegar assinaturas ou grupos de recursos:

1. Marque a caixa para a linha que contém o provedor de serviços, a oferta e o nome. Em seguida, selecione Recursos delegados na parte superior da tela.
2. Na seção Detalhes da oferta do painel Delegar recursos, revise os detalhes sobre o provedor de serviços e a oferta. Para examinar as atribuições de função da oferta, selecione Clique aqui para ver os detalhes da oferta selecionada.
3. Na seção Delegar, selecione Delegar assinaturas ou Delegar grupos de recursos.
4. Escolha as assinaturas e/ou grupos de recursos que você gostaria de delegar para essa oferta e selecione Adicionar.
5. Marque a caixa de seleção para confirmar que você deseja conceder a este provedor de serviços acesso a estes recursos e, em seguida, selecione Delegar.

Exibir delegações

As delegações representam uma associação de recursos específicos do cliente (assinaturas e/ou grupos de recursos) com atribuições de função que concedem permissões ao provedor de serviços para esses recursos. Para exibir detalhes da delegação, selecione Delegações no menu de serviços.

Os filtros na parte superior do painel permitem classificar e agrupar suas informações de delegação. Você também pode filtrar por provedores de serviços, ofertas ou palavras-chave específicas.

Observação

Ao exibir atribuições de função para o escopo delegado no portal do Azure ou por meio de APIs, os clientes não podem ver as atribuições de função para usuários do locatário do provedor de serviços que têm acesso por meio do Azure Lighthouse. Da mesma forma, os usuários no locatário do provedor de serviços não podem ver as atribuições de função para usuários no locatário do cliente, independentemente da função que lhes foi atribuída.

Atribuições de Administrador clássico em um locatário do cliente podem ser visíveis para usuários no locatário de gerenciamento ou vice-versa, porque as funções de administrador clássico não usam o modelo de implantação do Resource Manager.

Auditar delegações restritas no ambiente

Os clientes podem querer revisar todas as assinaturas e/ou grupos de recursos que são delegados ao Azure Lighthouse ou impor restrições aos locatários aos quais podem ser delegados. Essas opções são especialmente úteis para clientes com um grande número de assinaturas ou que têm muitos usuários que executam tarefas de gerenciamento.

Fornecemos uma definição de política interna do Azure Policy para auditar a delegação de escopos para um locatário de gerenciamento. Você pode atribuir essa política a um grupo de gerenciamento que inclui todas as assinaturas que você deseja auditar. Ao verificar a conformidade com esta política, todas as assinaturas e/ou grupos de recursos delegados nesse grupo de gerenciamento são mostrados em estado sem conformidade. Você pode examinar os resultados e confirmar que não há delegações inesperadas.

Outra definição de política interna permite restringir as delegações a locatários de gerenciamento específicos. Esta política pode ser atribuída a um grupo de gerenciamento que inclua todas as assinaturas para as quais você deseja limitar as delegações. Depois que a política for implantada, todas as tentativas de delegar uma assinatura a um locatário fora dos especificados serão negadas.

Para obter mais informações sobre como atribuir uma política e ver os resultados do estado de conformidade, confira Guia de início rápido: Criar uma atribuição de política.

Próximas etapas

• Saiba mais sobre o Azure Lighthouse.
• Saiba como auditar a atividade do provedor de serviços.
• Saiba como os provedores de serviços podem exibir e gerenciar clientes no portal do Azure.
• Saiba como as empresas que gerenciam vários locatários podem usar o Azure Lighthouse para consolidar a experiência de gerenciamento delas.