Подключение всех подписок в группе управления
Azure Lighthouse позволяет делегировать подписки и (или) группы ресурсов, но не группы управления. Однако вы можете использовать Политика Azure для делегирования всех подписок в группе управления клиенту управления.
Политика использует эффект deployIfNotExists для проверки делегирования каждой подписки в группе управления указанному клиенту управления. Если подписка еще не делегирована, политика создает назначение Azure Lighthouse на основе значений, указанных в параметрах. Затем у вас будет доступ ко всем подпискам в группе управления, как если бы они были подключены вручную.
При использовании такой политики учитывайте следующее:
- Каждая подписка в группе управления будет иметь одинаковый набор авторизаций. Чтобы изменить пользователей и роли, которым предоставлен доступ, необходимо вручную подключить подписки.
- Несмотря на то что каждая подписка в группе управления будет подключена, вы не можете выполнить действия по всему ресурсу группы управления через Azure Lighthouse. Вам нужно выбрать подписки для работы, так же, как если бы они были подключены по отдельности.
Если это не указано, все эти действия должны выполняться пользователем в клиенте клиента с соответствующими разрешениями.
Совет
Хотя в этом разделе мы будем упоминать поставщиков услуг и их заказчиков, предприятия, управляющие несколькими клиентами, могут использовать такие же процессы.
Регистрация поставщика ресурсов в нескольких подписках
Обычно поставщик ресурсов Microsoft.ManagedServices регистрируется для подписки при регистрации. Но при использовании политики для регистрации подписок в группе управления этот поставщик ресурсов нужно зарегистрировать заранее. Регистрация может выполняться пользователем участника или владельца в клиенте клиента (или любым пользователем, у которого есть разрешения на /register/action операцию для поставщика ресурсов). Дополнительные сведения см. в разделе "Поставщики и типы ресурсов Azure".
С помощью приложения логики Azure вы можете автоматически зарегистрировать поставщик ресурсов в разных подписках. Приложение логики можно развернуть в арендаторе клиента с ограниченными разрешениями, которые позволяют регистрировать поставщик ресурсов в каждой подписке в группе управления.
Также мы предоставляем приложение логики Azure, которое можно развернуть в арендаторе поставщика службы. Это приложение логики может назначать поставщик ресурсов разным подпискам в разных арендаторах, предоставляя приложению логики согласие администратора на уровне арендатора. Для предоставления согласия администратора на уровне клиента необходимо войти в систему как пользователь, имеющий право давать согласие от имени организации. Если этот параметр используется для регистрации поставщика в нескольких клиентах, необходимо развернуть политику по отдельности для каждой группы управления.
Создание файла параметров
Чтобы назначить политику, разверните файл deployLighthouseIfNotExistManagementGroup.json из репозитория примеров, а также файл параметров deployLighthouseIfNotExistsManagementGroup.parameters.json, который вы редактируете с конкретным клиентом и сведениями о назначении. Эти два файла содержат одинаковые сведения, которые можно использовать для подключения отдельной подписки.
В этом примере показан файл параметров, который делегирует подписки клиенту Relecloud Managed Services с доступом к двум principalID значениям: одному для поддержки уровня 1 и одной учетной записи службы автоматизации, которая может назначать delegateRoleDefinitionIds управляемые удостоверения в клиенте клиента.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"managedByName": {
"value": "Relecloud Managed Services"
},
"managedByDescription": {
"value": "Relecloud provides managed services to its customers"
},
"managedByTenantId": {
"value": "00000000-0000-0000-0000-000000000000"
},
"managedByAuthorizations": {
"value": [
{
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"principalIdDisplayName": "Tier 1 Support",
"roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
},
{
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"principalIdDisplayName": "Automation Account - Full access",
"roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"delegatedRoleDefinitionIds": [
"b24988ac-6180-42a0-ab88-20f7382dd24c",
"92aaf0da-9dab-42b6-94a3-d43ce8d16293",
"91c1777a-f3dc-4fae-b103-61d183457e46"
]
}
]
}
}
}
Назначение политики группе управления
После изменения политики для создания назначений его можно назначить на уровне группы управления. Сведения о назначении политики и просмотре результатов состояния соответствия см . в кратком руководстве по созданию назначения политики.
В этом скрипте PowerShell показано, как добавить определение политики в указанную группу управления, используя созданный шаблон и файл параметров. Вам потребуется создать задачу назначения и исправления для существующих подписок.
New-AzManagementGroupDeployment -Name <DeploymentName> -Location <location> -ManagementGroupId <ManagementGroupName> -TemplateFile <path to file> -TemplateParameterFile <path to parameter file> -verbose
Подтверждение успешного подключения
Существует несколько способов проверки успешности подключения подписок в группе управления. Дополнительные сведения см. в разделе Подтверждение успешного подключения.
Если вы сохраните настроенное приложение логики и политику активными для группы управления, все новые подписки, которые вы добавите в эту группу управления, будут подключаться автоматически.
Следующие шаги
- См. дополнительные сведения о подключении клиентов к Azure Lighthouse.
- Сведения о службе Политика Azure.
- См. дополнительные сведения об Azure Logic Apps.