通过

加入 Microsoft Azure 订阅

  • 项目

本文介绍如何在权限管理中加入一个或多个 Microsoft Azure 订阅。 加入订阅会创建一个新的授权系统来表示权限管理中的 Azure 订阅。

注意

你必须是权限管理管理员才能执行本文中的任务。

说明

权限管理服务基于 Azure 构建,如果要加入 Azure 订阅使其受监视和管理,只需配置少量移动部件,即可完成设置。 以下是配置加入的必需项:

  • 加入租户后,租户中会创建一个应用程序。
  • 此应用需要对订阅具有“读取者”权限
  • 对于控制器功能,应用需要“用户访问管理员”来创建和实现适合的角色

先决条件

要将权限管理添加到 Microsoft Entra 租户,请执行以下操作:

  • 你必须在系统上具有 Microsoft Entra 用户帐户和 Azure 命令行接口 (Azure CLI),或者具有 Azure 订阅。 如果还没有帐户,请创建一个免费帐户
  • 必须在订阅或管理组范围内拥有 Microsoft.Authorization/roleAssignments/write 权限才能执行这些任务。 如果不具备此权限,可让拥有此权限的人员执行这些任务。

如何加入 Azure 订阅

  1. 如果权限管理启动时未显示“数据收集器”仪表板:

    • 在权限管理主页中,选择“设置”(右上角齿轮图标),然后选择“数据收集器”子选项卡。

  2. 在“数据收集器”仪表板中,选择“Azure”,然后选择“创建配置”。

1. 添加 Azure 订阅详细信息

从三个选项中选择一个来管理 Azure 订阅。

选项 1:自动管理

通过此选项可自动检测和监视订阅,无需额外操作。 自动管理的主要好处是能够自动加入已发现的任何当前或将来的订阅。 检测订阅列表并加入集合的步骤如下所示:

  • 首先,在管理组或订阅范围向云基础结构权利管理应用程序授予读取者角色。 为此,请按以下步骤操作:

  1. 在 EPM 门户中,左键单击右上角的齿轮。

  2. 转至“数据收集器”选项卡

  3. 请确保选定“Azure”。

  4. 单击“创建配置”。

  5. 对于加入模式,请选择“自动管理”。

    注意

    屏幕上列出的步骤概述了如何为云基础架构权利管理应用程序创建角色分配。 可在 Microsoft Entra ID 控制台中手动执行此操作,也可使用 PowerShell 或 Azure CLI 以编程方式执行。

  • 完成后,单击“立即验证并保存”

保存配置后查看加入状态:

  1. 现在将列出收集器并通过状态类型进行更改。 对于所列状态为“已收集清单”的每个收集器,单击该状态可查看更多信息。
  2. 然后,可在“进行中”页面上查看订阅。

选项 2:进入授权系统

你可指定只使用权限管理来管理和监视特定订阅(每个收集器最多 100 个)。 请按照以下步骤配置这些要监视的订阅:

  1. 对于要管理的每个订阅,请确保已将“读取者”角色授予订阅的云基础结构权利管理应用程序。
  2. 在 EPM 门户中,单击右上角的齿轮。
  3. 转至“数据收集器”选项卡
  4. 请确保选定“Azure”
  5. 单击“创建配置”
  6. 选择“进入授权系统”
  7. 在“订阅 ID”部分下,在输入框中输入所需的订阅 ID。 再单击“+”符号最多 9 次,将单个订阅 ID 放入每个相应的输入框中。
  8. 输入所有所需的订阅后,单击“下一步”
  9. 单击“立即验证并保存”
  10. 验证读取和收集数据的访问权限后,就会开始收集。

保存配置后查看加入状态:

  1. 转至“数据收集器”选项卡。
  2. 单击数据收集器的状态。
  3. 在“进行中”页面上查看订阅。

选项 3:选择授权系统

此选项会检测云基础结构权利管理应用程序可访问的所有订阅。

  • 首先,在管理组或订阅范围向云基础结构权利管理应用程序授予读取者角色。

  1. 在“权限管理”门户中,单击右上角的齿轮。

  2. 转至“数据收集器”选项卡。

  3. 请确保选定“Azure”。

  4. 单击“创建配置”。

  5. 对于加入模式,请选择“自动管理”。

    注意

    屏幕上列出的步骤概述了如何为云基础架构权利管理应用程序创建角色分配。 可在 Microsoft Entra ID 控制台中手动执行此操作,也可使用 PowerShell 或 Azure CLI 以编程方式执行。

  • 完成后,单击“立即验证并保存”

保存配置后查看加入状态:

  1. 转到 Azure 数据收集器下新创建的“数据收集器”行。
  2. 当行的状态为“挂起”时,单击“状态”列
  3. 要加入并开始收集,请从检测到的列表中选择特定的订阅,并同意进行收集。

2. 查看并保存。

  1. 在“权限管理加入 - 摘要”页中,查看已添加的信息,然后选择“立即验证并保存”

    此时将显示以下消息:已成功创建配置。

    在“数据收集器”选项卡中,“最近上传日期”列显示“正在收集”。 “最近转换日期”列显示“正在处理”。

    权限管理 UI 中的状态列显示你处于哪个数据收集步骤:

    • 挂起:权限管理尚未开始检测或加入。
    • 发现:权限管理正在检测授权系统。
    • 正在进行:权限管理已完成对授权系统的检测,并且正在加入。
    • 加入:数据收集已完成,所有检测到的授权系统都已加入权限管理。

3. 查看数据。

  1. 若要查看数据,请选择“授权系统”选项卡。

    表中的“状态”列显示“正在收集数据”。

    数据收集过程需要一些时间,在大多数情况下大约每隔 4-5 小时进行一次。 时间范围取决于你拥有的授权系统的规模以及可用于收集的数据量。

后续步骤