你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

查看和管理服务提供商

客户可在 Azure 门户中访问“服务提供商”,以控制和查看使用 Azure Lighthouse 的服务提供商。 在“服务提供商”中,客户可委托特定资源、查看新的或更新的产品/服务以及删除服务提供商访问权限等

若要在 Azure 门户中访问“服务提供商”,在 Azure 门户页面页眉的搜索框中输入“服务提供商”。 还可在 Azure 门户中导航到“Azure Lighthouse”,然后选择“查看服务提供商产品/服务”

注意

若要查看“服务提供商”,客户租户中的用户必须具有读者内置角色(或其他包含读者访问权限的内置角色)。

若要添加或更新产品/服务、委派资源和删除产品/服务,用户必须具有拥有 Microsoft.Authorization/roleAssignments/write 权限的角色,如所有者

“服务提供商”仅显示有关可通过 Azure Lighthouse 访问客户的订阅或资源组的服务提供商的信息。 它不会显示有关任何不使用 Azure Lighthouse 的其他服务提供商的信息。

查看服务提供商详情

若要查看有关使用 Azure Lighthouse 来处理客户租户的当前服务提供商的详细信息,请从“服务提供商”的服务菜单中选择“服务提供商产品/服务”

每个产品/服务显示服务提供商的名称和与之关联的产品/服务。 选择一个产品/服务以查看描述和其他详细信息,包括已授予服务提供商的角色分配。

在一个产品/服务的“委托”列中,可看到委托给服务提供商的订阅数和/或资源组数。 服务提供商可根据产品/服务中指定的访问级别处理这些订阅和/或资源组。

添加服务提供商产品/服务

可在“服务提供商产品/服务”中添加新的服务提供商产品/服务。

若要从市场添加产品/服务,请在命令栏中选择“添加产品/服务”,然后选择“通过市场添加”。 若要查看专门为客户发布的托管服务产品/服务,请选择“专用产品”。 否则,搜索公用产品/服务。 找到感兴趣的产品/服务时,选择它可查看详细信息。 若要添加产品/服务,请选择“创建”,然后提供任何必要的信息

若要从模板添加产品/服务,请在命令栏中选择“添加产品/服务”,然后选择“通过模板添加”。 “上传产品/服务模板”窗格随即显示,使你能够从服务提供商上传模板并加入你的订阅(或资源组)。 有关详细步骤,请参阅在 Azure 门户中部署

更新服务提供商提供的服务

客户添加产品/服务后,服务提供商可将同一产品/服务的更新版本发布到 Azure 市场,例如添加新的角色定义。 如果发布了新版本的产品/服务,则该产品/服务的行中会显示一个“更新”图标。 选择此图标可查看当前产品/服务版本的更改。

更新产品/服务图标

查看更改后,你可以选择更新为新版本。 执行此操作时,在新版本中指定的授权和其他设置适用于以前为该产品/服务委托的所有订阅和/或资源组。

删除服务提供商产品/服务

可以通过选择该产品/服务行中的“回收站”图标随时删除服务提供商的产品/服务。

确认删除后,该服务提供商无法再访问之前为该产品/服务委托的资源。

重要

如果某个订阅有两个或两个以上的产品/服务来自同一服务提供商,则移除其中一个产品/服务可能会导致某些服务提供商用户失去通过其他委派授予的访问权限。 仅当多个委托中包含同一用户和角色,然后删除其中一个委托时,才会出现此问题。 若要还原访问权限,应对不想删除的产品/服务重复加入过程

委派资源

在服务提供商可以访问和管理客户资源之前,必须委派一个或多个特定的订阅和/或资源组。 当客户在不委派任何资源的情况下添加产品/服务时,服务提供商产品/服务部分顶部会显示一条便笺。 在委派完成之前,服务提供商无法处理客户租户中的任何资源。

委派订阅或资源组:

  1. 选中包含服务提供商、产品/服务和名称的行的复选框。 然后选择屏幕顶部的“委派资源”
  2. 在“委托资源”窗格的“产品/服务详细信息”部分中,查看有关服务提供商和产品/服务的详细信息。 要查看产品/服务的角色分配,请选择“单击此处查看所选产品/服务的详情信息”
  3. 在“委派”部分中,选择“委派订阅”或“委派资源组”
  4. 选择要为此产品/服务委派的订阅和/或资源组,然后选择“添加”
  5. 选中该复选框,确认你想要授予此服务提供商对所选资源的访问权限,然后选择“委托”

查看委派

委派代表特定客户资源(订阅和/或资源组)与角色分配的关联,这些角色分配向服务提供商授予对这些资源的权限。 若要查看委托详细信息,请从服务菜单中选择“委托”

可通过窗格顶部的筛选器对委托信息进行排序和分组。 还可按特定服务提供商、产品/服务或关键字进行筛选。

注意

在 Azure 门户中查看委托范围的角色分配或通过 API 查看时,客户无法查看服务提供商租户中通过 Azure Lighthouse 获得访问权限的用户的角色分配。 同样,无论已分配有什么角色,服务提供商租户中的用户都无法查看用户在客户租户中的角色分配。

客户租户中的经典管理员分配可能对管理租户中的用户可见,或反之,因为经典管理员角色未使用资源管理器部署模型。

审核并限制环境中的委派

客户可能想要查看委托给 Azure Lighthouse 的所有订阅和/或资源组,或对它们可委托到的租户施加限制。 对于具有大量订阅的客户,或者拥有执行管理任务的多个用户的客户,这些选项特别有用。

我们提供了 Azure Policy 内置策略定义,用于审核范围限定到管理租户的委派。 可以将此策略分配到包含要审核的所有订阅的管理组。 在你检查是否符合此策略时,该管理组内任何委托的订阅和/或资源组均显示为不符合状态。 然后,可以查看结果,并确认没有任何意外委派。

另一个内置策略定义使你能够将委派限制到特定的管理租户。 可将此策略分配给包含所有要限制委托的订阅的管理组。 部署策略后,任何尝试将订阅委托给指定租户以外的租户的行为都会被拒绝。

有关如何分配策略和查看符合性状态结果的详细信息,请参阅快速入门:创建策略分配

后续步骤