檢視和管理服務提供者
客戶可以在 Azure 入口網站 中瀏覽服務提供者,以取得其服務提供者使用 Azure Lighthouse 的控制和可見度。 在 服務提供者中,客戶可以委派特定資源、檢閱新的或更新的供應專案、移除服務提供者存取等等。
若要存取 Azure 入口網站 中的服務提供者,請在 Azure 入口網站 頁首的搜尋方塊中輸入「服務提供者」。 您也可以在 Azure 入口網站 中流覽至 Azure Lighthouse,然後選取 [檢視服務提供者供應專案]。
注意
若要檢視 服務提供者,客戶租使用者中的用戶必須具有 讀者內建角色 (或包含讀者存取權的另一個內建角色)。
若要新增或更新供應項目、委派資源和移除供應項目,使用者必須具有一個具備 Microsoft.Authorization/roleAssignments/write 權限的角色,例如擁有者。
服務提供者 只會顯示可透過 Azure Lighthouse 存取客戶訂用帳戶或資源群組之服務提供者的相關信息。 它不會顯示任何未使用 Azure Lighthouse 的其他服務提供者的相關信息。
檢視服務提供者詳細資料
若要檢視使用 Azure Lighthouse 處理客戶租使用者之目前服務提供者的詳細數據,請從服務提供者的服務功能表中選取 [服務提供者供應專案]。
每個供應專案都會顯示服務提供者的名稱和與其相關聯的供應專案。 選取供應專案以檢視描述和其他詳細數據,包括授與服務提供者的角色指派。
在供應專案的 [委派] 數據行中,您可以看到有多少訂用帳戶和/或資源群組已委派給服務提供者。 服務提供者可以根據供應專案中指定的存取層級,處理這些訂用帳戶和/或資源群組。
新增服務提供者供應項目
您可以在服務提供者供應專案中新增服務提供者供應 專案。
若要從市集新增供應專案,請在命令行中選取 [新增供應專案 ],然後選擇 [ 透過市集新增]。 若要檢視 專為客戶發行的受控服務供應 專案,請選取 [私人產品]。 否則,請搜尋公用供應專案。 當您找到您感興趣的供應專案時,請選取它以檢閱詳細數據。 若要新增供應專案,請選取 [建立],然後提供任何必要資訊。
若要從範本新增供應專案,請在命令行中選取 [新增供應專案 ],然後選擇 [ 透過範本新增]。 [ 上傳供應專案範本 ] 窗格隨即出現,可讓您從服務提供者上傳範本,並將訂用帳戶(或資源群組)上線。 如需詳細步驟,請參閱在 Azure 入口網站 中部署。
更新服務提供者供應項目
客戶新增供應項目之後,服務提供者可能會將相同供應專案的更新版本發佈至 Azure Marketplace,例如新增角色定義。 如果發行新版本的供應專案,該供應專案的數據列中會出現「更新」圖示。 選取此圖示以查看目前供應專案版本的變更。
![[更新供應項目] 圖示](../media/update-offer.jpg)
在檢閱變更之後,您可以選擇更新至新版本。 當您這樣做時,新版本中指定的授權和其他設定會套用至先前為該供應專案委派的任何訂用帳戶和/或資源群組。
移除服務提供者供應項目
您可以隨時移除服務提供者供應項目,方法為選取該供應項目資料列中的垃圾桶圖示。
確認刪除之後,服務提供者就無法再存取先前委派給該供應項目的資源。
重要
如果一個訂用帳戶有兩個以上的供應項目來自相同服務提供者,移除其中一個可能會導致某些提供者使用者失去透過其他委派授與的存取權。 只有在多個委派中包含相同的使用者和角色時,才會發生此問題,然後移除其中一個委派。 若要還原存取權, 對於您不想移除的供應專案,應該重複上線程式 。
委派資源
必須先委派一或多個特定訂閱和/或資源群組,服務提供者才能存取及管理客戶的資源。 當客戶新增供應項目而不委派任何資源時,[服務提供者供應項目] 區段頂端會出現附註。 服務提供者無法處理客戶租用戶中的任何資源,直到委派完成為止。
委派訂用帳戶或資源群組:
- 選取包含服務提供者、供應項目與名稱的核取方塊。 然後選取畫面頂端的 [委派資源]。
- 在 [委派資源] 窗格的 [供應專案詳細數據] 區段中,檢閱服務提供者和供應專案的詳細數據。 若要檢閱供應項目的角色指派,請選取 [按一下此處即可查看所選供應項目的詳細資料]。
- 在 [委派] 區段中,選取 [委派訂用帳戶] 或 [委派資源群組]。
- 選擇您想要委派給此供應項目的訂用帳戶和/或資源群組,然後選取 [新增]。
- 選取複選框以確認您想要授與此服務提供者對這些資源的存取權,然後選取 [ 委派]。
檢視委派
委派代表特定客戶資源 (訂用帳戶和/或資源群組) 與將權限授與下列服務提供者的角色指派的關聯:這些資源的服務提供者。 若要檢視委派詳細數據,請從服務功能表中選取 [委派 ]。
窗格頂端的篩選可讓您排序和分組委派資訊。 您也可以依特定服務提供者、供應項目或關鍵字進行篩選。
注意
在檢視 Azure 入口網站 或透過 API 中委派範圍的角色指派時,客戶看不到可透過 Azure Lighthouse 存取之服務提供者租用戶的使用者角色指派。 同樣地,服務提供者租使用者中的用戶無法查看客戶租用戶中使用者的角色指派,無論他們獲指派的角色為何。
客戶租使用者中的傳統系統管理員 指派可能會顯示給管理租使用者中的使用者,或其他方式,因為傳統系統管理員角色不會使用 Resource Manager 部署模型。
稽核和限制您環境中的委派
客戶可能想要檢閱委派給 Azure Lighthouse 的所有訂用帳戶和/或資源群組,或對可委派的租用戶進行限制。 這些選項特別適用於擁有大量訂用帳戶的客戶,或有許多執行管理工作的使用者。
我們提供 Azure 原則內建的原則定義,以稽核管理租用戶的範圍委派。 您可以將此原則指派給管理群組,其中包括您想要稽核的所有訂用帳戶。 當您檢查此原則的合規性時,該管理群組內的任何委派訂用帳戶和/或資源群組會顯示為不符合規範的狀態。 然後,您可以檢閱結果,並確認沒有任何非預期的委派。
另一個內建原則定義可讓您將委派限制為特定的管理租用戶。 此原則可以指派給管理群組,其中包含您想要限制委派的所有訂用帳戶。 部署原則之後,任何嘗試將訂用帳戶委派給您所指定租使用者以外的租用戶,都會遭到拒絕。
如需如何指派原則和檢視合規性狀態結果的詳細資訊,請參閱快速入門:建立原則指派。
下一步
- 深入了解 Azure Lighthouse。
- 了解如何稽核服務提供者活動。
- 瞭解服務提供者如何檢視及管理 Azure 入口網站 中的客戶。
- 了解管理多個租用戶的企業如何使用 Azure Lighthouse 來合併其管理體驗。