Atualizar uma delegação

Depois de integrar uma assinatura (ou grupo de recursos) ao Azure Lighthouse, talvez seja necessário fazer alterações. Por exemplo, seu cliente pode querer que você assuma tarefas de gerenciamento adicionais que exigem uma função interna diferente do Azure ou talvez seja necessário alterar o locatário ao qual uma assinatura de cliente é delegada.

Gorjeta

Embora nos referimos a provedores de serviços e clientes neste tópico, as empresas que gerenciam vários locatários podem usar o mesmo processo para configurar o Azure Lighthouse e consolidar sua experiência de gerenciamento.

Se você integrou seu cliente por meio de modelos do Azure Resource Manager (modelos ARM), uma nova implantação deverá ser executada para esse cliente. Dependendo do que você está alterando, convém atualizar a oferta original ou remover a oferta original e criar uma nova.

• Para alterar apenas autorizações: você pode atualizar sua delegação alterando a seção de autorizações do modelo ARM.
• Para alterar o locatário de gerenciamento: você deve criar um novo modelo ARM com um mspOfferName diferente da sua oferta anterior.

Atualize seu modelo ARM

Para atualizar sua delegação, você precisa implantar um modelo ARM que inclua as alterações que deseja fazer.

Se você estiver apenas atualizando autorizações (como adicionar um novo grupo de usuários com uma função que não havia incluído anteriormente ou alterar a função para um usuário existente), poderá usar o mesmo mspOfferName que no modelo ARM usado para a delegação anterior. Use seu modelo anterior como ponto de partida. Em seguida, faça as alterações necessárias, como substituir uma função interna do Azure por outra ou adicionar uma nova autorização ao modelo.

Na maioria dos casos, recomendamos ter apenas um mspOfferName em uso pelo mesmo cliente e locatário de gerenciamento. Você não precisará alterar o mspOfferName se o locatário gerente permanecer o mesmo. Se você alterar o mspOfferName, isso será considerado uma nova oferta separada. Alterar o mspOfferName é necessário se você estiver mudando para um locatário gerenciando diferente.

Remover a delegação anterior

Antes de executar uma nova implantação, convém remover o acesso à delegação anterior. Isso garante que todas as permissões anteriores sejam removidas, permitindo que você comece a limpar com os usuários/grupos e funções exatos que devem ser aplicados no futuro.

Se estiver a alterar o inquilino gestor, só deve deixar a oferta anterior em vigor se pretender que ambos os inquilinos continuem a ter acesso. Se pretender que o novo inquilino gestor seja o único inquilino com acesso, a oferta anterior tem de ser removida. Geralmente, recomendamos remover a oferta anterior antes de implantar a nova.

Importante

Se você usar um novo mspOfferName e mantiver qualquer um dos mesmos valores principalId , deverá remover o acesso à delegação anterior antes de implantar a nova oferta. Se você não remover a oferta anterior primeiro, os usuários que receberam permissões anteriormente podem perder o acesso completamente devido a atribuições conflitantes.

Se você estiver atualizando a oferta apenas para ajustar as autorizações e mantendo o mesmo mspOfferName, não será necessário remover a delegação anterior. A nova implantação substituirá a delegação anterior e apenas as autorizações no modelo mais recente serão aplicadas.

A remoção do acesso à delegação pode ser feita por qualquer usuário no locatário de gerenciamento que recebeu a Função de Exclusão de Atribuição de Registro de Serviços Gerenciados na delegação original. Se nenhum usuário em seu locatário de gerenciamento tiver essa função, você poderá solicitar ao cliente que remova o acesso à oferta no portal do Azure.

Gorjeta

Se você removeu a delegação anterior, mas não consegue implantar o novo modelo ARM, talvez seja necessário remover completamente a definição de registro anterior. Isso pode ser feito por qualquer usuário com uma função que tenha a Microsoft.Authorization/roleAssignments/write permissão, como Proprietário, no locatário do cliente.

Implementar o modelo do Resource Manager

Seu cliente pode implantar o modelo atualizado da mesma maneira que fazia anteriormente: no portal do Azure, usando o PowerShell ou a CLI do Azure.

Após a conclusão da implantação, confirme se ela foi bem-sucedida. Em caso afirmativo, as autorizações atualizadas estão em vigor para a assinatura ou grupo(s) de recursos que o cliente delegou.

Atualizar ofertas do Serviço Gerenciado

Se você integrou seu cliente por meio de uma oferta de Serviço Gerenciado publicada no Azure Marketplace e deseja atualizar autorizações, poderá fazê-lo publicando uma nova versão da sua oferta com atualizações para as autorizações no plano para esse cliente. O cliente pode então rever as alterações no portal do Azure e aceitar a versão atualizada.

Para alterar o locatário de gerenciamento de uma delegação, você deve criar e publicar uma nova oferta de Serviço Gerenciado para o cliente aceitar.

Importante

Recomendamos que você evite ter várias ofertas de Serviço Gerenciado entre o mesmo cliente e o locatário gestor. Se você publicar uma nova oferta para um cliente atual que usa o mesmo locatário de gerenciamento, certifique-se de que a oferta anterior seja removida antes que o cliente aceite a oferta mais recente.

Próximos passos

• Exiba e gerencie clientes acessando Meus clientes no portal do Azure.
• Saiba como remover o acesso a uma delegação que foi integrada anteriormente.
• Saiba mais sobre a arquitetura do Azure Lighthouse.