Integrar todas as subscrições num grupo de gestão
O Azure Lighthouse permite a delegação de assinaturas e/ou grupos de recursos, mas não grupos de gerenciamento. No entanto, você pode usar uma Política do Azure para delegar todas as assinaturas dentro de um grupo de gerenciamento a um locatário de gerenciamento.
A política usa o efeito deployIfNotExists para verificar se cada assinatura dentro do grupo de gerenciamento foi delegada ao locatário de gerenciamento especificado. Se uma assinatura ainda não estiver delegada, a política criará a atribuição do Azure Lighthouse com base nos valores fornecidos nos parâmetros. Em seguida, você terá acesso a todas as assinaturas do grupo de gerenciamento, como se cada uma delas tivesse sido integrada manualmente.
Ao usar esta política, tenha em mente:
- Cada assinatura dentro do grupo de gerenciamento terá o mesmo conjunto de autorizações. Para variar os usuários e funções aos quais é concedido acesso, você terá que integrar assinaturas manualmente.
- Embora todas as assinaturas do grupo de gerenciamento sejam integradas, você não pode executar ações no recurso do grupo de gerenciamento por meio do Azure Lighthouse. Terá de selecionar subscrições para trabalhar, tal como faria se fossem integradas individualmente.
A menos que especificado abaixo, todas essas etapas devem ser executadas por um usuário no locatário do cliente com as permissões apropriadas.
Gorjeta
Embora nos referimos a provedores de serviços e clientes neste tópico, as empresas que gerenciam vários locatários podem usar os mesmos processos.
Registrar o provedor de recursos em assinaturas
Normalmente, o provedor de recursos Microsoft.ManagedServices é registrado para uma assinatura como parte do processo de integração. Ao usar a política para integrar assinaturas em um grupo de gerenciamento, o provedor de recursos deve ser registrado com antecedência. Isso pode ser feito por um usuário Colaborador ou Proprietário no locatário do cliente (ou qualquer usuário que tenha permissões para fazer a /register/action
operação para o provedor de recursos). Para obter mais informações, consulte Tipos e provedores de recursos do Azure.
Você pode usar um Aplicativo Lógico do Azure para registrar automaticamente o provedor de recursos entre assinaturas. Este Aplicativo Lógico pode ser implantado no locatário de um cliente com permissões limitadas que permitem registrar o provedor de recursos em cada assinatura dentro de um grupo de gerenciamento.
Também fornecemos um Aplicativo Lógico do Azure que pode ser implantado no locatário do provedor de serviços. Este Aplicativo Lógico pode atribuir o provedor de recursos entre assinaturas em vários locatários concedendo consentimento de administrador para todo o locatário ao Aplicativo Lógico. Para dar consentimento do administrador ao nível do inquilino, precisará iniciar sessão como utilizador autorizado a consentir em nome da organização, Observe que, mesmo se você usar essa opção para registrar o provedor em vários locatários, ainda precisará implantar a política individualmente para cada grupo de gerenciamento.
Crie seu arquivo de parâmetros
Para atribuir a política, implante o arquivo de deployLighthouseIfNotExistManagementGroup.json de nosso repositório de exemplos, juntamente com um arquivo de parâmetros de deployLighthouseIfNotExistsManagementGroup.parameters.json que você edita com seus detalhes específicos de locatário e atribuição. Esses dois arquivos contêm os mesmos detalhes que seriam usados para integrar uma assinatura individual.
O exemplo abaixo mostra um arquivo de parâmetros que delegará as assinaturas ao locatário do Relecloud Managed Services, com acesso concedido a dois principaisIDs: um para Suporte de Nível 1 e uma conta de automação que pode atribuir o delegateRoleDefinitionIds a identidades gerenciadas no locatário do cliente.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"managedByName": {
"value": "Relecloud Managed Services"
},
"managedByDescription": {
"value": "Relecloud provides managed services to its customers"
},
"managedByTenantId": {
"value": "00000000-0000-0000-0000-000000000000"
},
"managedByAuthorizations": {
"value": [
{
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"principalIdDisplayName": "Tier 1 Support",
"roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
},
{
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"principalIdDisplayName": "Automation Account - Full access",
"roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"delegatedRoleDefinitionIds": [
"b24988ac-6180-42a0-ab88-20f7382dd24c",
"92aaf0da-9dab-42b6-94a3-d43ce8d16293",
"91c1777a-f3dc-4fae-b103-61d183457e46"
]
}
]
}
}
}
Atribuir a política a um grupo de gerenciamento
Depois de editar a política para criar suas atribuições, você pode atribuí-la no nível do grupo de gerenciamento. Para saber como atribuir uma política e exibir os resultados do estado de conformidade, consulte Guia de início rápido: criar uma atribuição de política.
O script do PowerShell abaixo mostra como adicionar a definição de política no grupo de gerenciamento especificado, usando o modelo e o arquivo de parâmetro que você criou. Você precisa criar a tarefa de atribuição e correção para assinaturas existentes.
New-AzManagementGroupDeployment -Name <DeploymentName> -Location <location> -ManagementGroupId <ManagementGroupName> -TemplateFile <path to file> -TemplateParameterFile <path to parameter file> -verbose
Confirme a integração bem-sucedida
Há várias maneiras de verificar se as assinaturas no grupo de gerenciamento foram integradas com êxito. Para obter mais informações, consulte Confirmar integração bem-sucedida.
Se você mantiver o Aplicativo Lógico e a política ativos para seu grupo de gerenciamento, todas as novas assinaturas adicionadas ao grupo de gerenciamento também serão integradas.
Próximos passos
- Saiba mais sobre a integração de clientes no Azure Lighthouse.
- Saiba mais sobre a Política do Azure.
- Saiba mais sobre os Aplicativos Lógicos do Azure.