Обновление делегирования

Статья
01/17/2025

После подключения подписки (или группы ресурсов) к Azure Lighthouse может потребоваться внести изменения. Например, клиент может потребовать выполнения дополнительных задач управления, требующих другой встроенной роли Azure, или может потребоваться изменить клиент, на который делегирована подписка клиента.

Совет

В этой статье будет идти речь о поставщиках услуг и клиентах, но предприятия, управляющие несколькими арендаторами, могут использовать тот же процесс для настройки Azure Lighthouse и консолидации своих возможностей управления.

Если вы подключали клиента с помощью шаблонов Azure Resource Manager (ARM), для него необходимо выполнить новое развертывание. В зависимости от того, что вы изменяете, может потребоваться обновить исходное предложение или удалить исходное предложение и создать новое.

Чтобы изменить только авторизацию: вы можете обновить делегирование, изменив раздел авторизации шаблона ARM.
Чтобы изменить управляемый клиент: необходимо создать новый шаблон ARM с другим mspOfferName из предыдущего предложения.

Схема, показывающая, в каких случаях следует изменить имя mspOfferName и удалить предыдущее делегирование.

Обновление шаблона ARM

Чтобы обновить делегирование, необходимо развернуть шаблон ARM, содержащий внесенные изменения.

Если вы обновляете только авторизацию (например, добавление новой группы пользователей с ранее не включенной ролью или изменение роли для существующего пользователя), можно использовать ту же mspOfferName , что и в шаблоне ARM, используемом для предыдущего делегирования. Используйте предыдущий шаблон в качестве отправной точки. Затем внесите необходимые изменения, например заменить одну встроенную роль Azure другой или добавить новую авторизацию в шаблон.

В большинстве случаев мы рекомендуем использовать одно имя mspOfferName для одного клиента и управляющего арендатора. Имя mspOfferName изменять не нужно, если управляющий арендатор остается прежним. Если изменить mspOfferName, это будет считаться новым, отдельным предложением. При переключении на другой клиент управления требуется изменение mspOfferName .

Удаление предыдущего делегирования

Перед выполнением нового развертывания может потребоваться удалить доступ к предыдущему делегированию. Так все предыдущие разрешения будут удалены, что позволит начать очистку с нужными пользователями, группами и ролями, которые необходимо применить в дальнейшем.

Если вы изменяете управляющий клиент, вы должны оставить только предыдущее предложение, если вы хотите, чтобы оба клиента продолжали иметь доступ. Если вы хотите, чтобы новый клиент управления был единственным клиентом с доступом, необходимо удалить более раннее предложение. Как правило, перед развертыванием нового рекомендуется удалить предыдущее предложение.

Внимание

Если вы используете новое имя mspOfferName и сохраняете те же значения principalId, то перед развертыванием нового предложения нужно удалить доступ к предыдущему делегированию. Если вы не удалите предыдущее предложение, пользователи, которым ранее было предоставлено разрешение, могут полностью потерять доступ из-за конфликтующих назначений.

Если вы обновляете предложение только для настройки авторизации и сохраняете то же mspOfferName, вам не нужно удалить предыдущее делегирование. Новое развертывание заменит предыдущее делегирование, и будут применены только разрешения из последнего шаблона.

Доступ к делегированию может удалять любой пользователь в управляющем арендаторе, которому в исходном делегировании была предоставлена роль для удаления назначения регистрации управляемых служб. Если в вашем управляющем арендаторе ни одному пользователю не назначена такая роль, вы можете попросить клиента удалить доступ к предложению на портале Azure.

Совет

Если вы удалили предыдущее делегирование, но не сможете развернуть новый шаблон ARM, возможно, потребуется полностью удалить предыдущее определение регистрации. Это может сделать любой пользователь с ролью, имеющей в клиентском арендаторе разрешение Microsoft.Authorization/roleAssignments/write, например Владелец.

Развертывание шаблона ARM

Клиент может развернуть обновленный шаблон так же, как и раньше: на портале Azure, с помощью PowerShell или Azure CLI.

После завершения развертывания убедитесь, что оно выполнено успешно. Если да, обновленные авторизация действует для подписки или групп ресурсов, делегированных клиентом.

Обновление предложений управляемой службы

Если вы подключили клиента с помощью предложения управляемой службы, опубликованного в Azure Marketplace, и хотите обновить авторизации, это можно сделать, опубликовав новую версию своего предложения с запланированными для этого клиента авторизациями. Затем клиент может просмотреть изменения в портал Azure и принять обновленную версию.

Чтобы изменить управляемый клиент для делегирования, необходимо создать и опубликовать новое предложение Управляемой службы, чтобы клиент принял.

Внимание

Рекомендуется избежать нескольких предложений управляемой службы между тем же клиентом и управлением клиентом. Если вы публикуете новое предложение для клиента, который использует тот же управляющий арендатор, убедитесь, что предыдущее предложение удалено, прежде чем он примет новое.

Следующие шаги

Просматривайте клиентов и управляйте ими, перейдя в раздел Мои клиенты на портале Azure.
Узнайте, как удалить доступ к делегированию, подключенному ранее.
Узнайте больше об архитектуре Azure Lighthouse.

Поделиться через