Delegálás frissítése
Előfordulhat, hogy módosítania kell az előfizetést (vagy erőforráscsoportot) az Azure Lighthouse-ban. Előfordulhat például, hogy az ügyfél további felügyeleti feladatokat szeretne elvégezni, amelyekhez egy másik beépített Azure-szerepkör szükséges, vagy esetleg módosítania kell azt a bérlőt, amelyre az ügyfél-előfizetés delegálva van.
Tipp.
Bár ebben a témakörben a szolgáltatókra és ügyfelekre hivatkozunk, a több bérlőt kezelő vállalatok ugyanezt a folyamatot használhatják az Azure Lighthouse beállításához és a felügyeleti élményük konszolidálásához.
Ha Azure Resource Manager-sablonokon (ARM-sablonokon) keresztül előkészítette az ügyfelet, új üzembe helyezést kell végrehajtania az adott ügyfél számára. Attól függően, hogy mit módosít, érdemes lehet frissíteni az eredeti ajánlatot, vagy eltávolítani az eredeti ajánlatot, és létrehozni egy újat.
- Csak az engedélyek módosításához: Az ARM-sablon engedélyezési szakaszának módosításával frissítheti a delegálást.
- A kezelő bérlő módosításához létre kell hoznia egy új ARM-sablont az előző ajánlattól eltérő mspOfferName névvel .
ARM-sablon frissítése
A delegálás frissítéséhez telepítenie kell egy ARM-sablont, amely tartalmazza a kívánt módosításokat.
Ha csak az engedélyeket frissíti (például új felhasználói csoportot ad hozzá olyan szerepkörrel, amelyet korábban nem vett fel, vagy egy meglévő felhasználó szerepkörét módosítja), ugyanazt az mspOfferName nevet használhatja, mint az előző delegáláshoz használt ARM-sablonban. Használja az előző sablont kiindulási pontként. Ezután végezze el a szükséges módosításokat, például cserélje le az egyik Beépített Azure-szerepkört egy másikra, vagy adjon hozzá egy új engedélyezést a sablonhoz.
A legtöbb esetben azt javasoljuk, hogy csak egy mspOfferName legyen használatban ugyanaz az ügyfél és a bérlő kezelése. Nem kell módosítania az mspOfferName nevet , ha a kezelő bérlő változatlan marad. Ha módosítja az mspOfferName nevet, ez egy új, különálló ajánlatnak minősül. Az mspOfferName módosítására akkor van szükség, ha másik, a kezelő bérlőre vált.
Az előző delegálás eltávolítása
Az új üzembe helyezés végrehajtása előtt érdemes lehet eltávolítani az előző delegáláshoz való hozzáférést. Ez biztosítja, hogy az összes korábbi engedély el legyen távolítva, így megkezdheti a tiszta műveletet a pontos felhasználókkal/csoportokkal és szerepkörökkel, amelyeket a jövőben alkalmaznia kell.
Ha módosítja a kezelő bérlőt, csak akkor hagyja érvényben az előző ajánlatot, ha azt szeretné, hogy mindkét bérlő továbbra is rendelkezzen hozzáféréssel. Ha azt szeretné, hogy az új kezelő bérlő legyen az egyetlen hozzáféréssel rendelkező bérlő, a korábbi ajánlatot el kell távolítani. Általában azt javasoljuk, hogy az új ajánlat üzembe helyezése előtt távolítsa el az előző ajánlatot.
Fontos
Ha új mspOfferName nevet használ, és megtartja ugyanazokat a principalId értékeket, az új ajánlat üzembe helyezése előtt el kell távolítania a hozzáférést az előző delegáláshoz. Ha először nem távolítja el az előző ajánlatot, a korábban engedélyekkel rendelkező felhasználók az ütköző hozzárendelések miatt teljesen elveszíthetik a hozzáférést.
Ha az ajánlatot csak az engedélyek módosítására frissíti, és megtartja ugyanazt az mspOfferName nevet, akkor nem kell eltávolítania az előző delegálást. Az új üzembe helyezés lecseréli az előző delegálást, és csak a legújabb sablonban lévő engedélyek lesznek érvényesek.
A delegáláshoz való hozzáférés eltávolítását a felügyelt bérlő bármely olyan felhasználója végezheti el, aki az eredeti delegálásban megkapta a Felügyelt szolgáltatások regisztrációs hozzárendelésének törlési szerepkörét . Ha a kezelő bérlő egyik felhasználója sem rendelkezik ezzel a szerepkörsel, megkérheti az ügyfelet, hogy távolítsa el az ajánlathoz való hozzáférést az Azure Portalon.
Tipp.
Ha eltávolította az előző delegálást, de nem tudja üzembe helyezni az új ARM-sablont, előfordulhat, hogy teljesen el kell távolítania az előző regisztrációs definíciót. Ezt bármely olyan felhasználó elvégezheti, aki rendelkezik engedéllyel Microsoft.Authorization/roleAssignments/write (például Tulajdonos) az ügyfélbérlében.
Az ARM-sablon üzembe helyezése
Az ügyfél ugyanúgy helyezheti üzembe a frissített sablont , mint korábban: az Azure Portalon, a PowerShell használatával vagy az Azure CLI használatával.
Az üzembe helyezés befejezése után győződjön meg arról, hogy sikeres volt. Ha igen, a frissített engedélyek érvényben vannak az ügyfél által delegált előfizetés vagy erőforráscsoport(ok) esetében.
Felügyelt szolgáltatásajánlatok frissítése
Ha egy, az Azure Marketplace-en közzétett felügyeltszolgáltatás-ajánlaton keresztül vezette be az ügyfelet, és frissíteni szeretné az engedélyeket, ezt úgy teheti meg, hogy közzéteszi az ajánlat új verzióját, és frissíti az adott ügyfél tervében szereplő engedélyeket . Az ügyfél ezután áttekintheti a módosításokat az Azure Portalon, és elfogadhatja a frissített verziót.
Ha módosítani szeretné a delegáláshoz tartozó felügyelt bérlőt, létre kell hoznia és közzé kell tennie egy új felügyeltszolgáltatás-ajánlatot az ügyfél számára, hogy elfogadhassa.
Fontos
Javasoljuk, hogy ne használjon több felügyeltszolgáltatás-ajánlatot ugyanazon ügyfél és a bérlő kezelése között. Ha új ajánlatot tesz közzé egy olyan aktuális ügyfél számára, amely ugyanazt a kezelő bérlőt használja, győződjön meg arról, hogy a korábbi ajánlat el lesz távolítva, mielőtt az ügyfél elfogadja az újabb ajánlatot.
Következő lépések
- Az ügyfelek megtekintéséhez és kezeléséhez lépjen a Saját ügyfelek elemre az Azure Portalon.
- Megtudhatja, hogyan távolíthatja el a korábban előkészített delegálások hozzáférését.
- További információ az Azure Lighthouse architektúrájáról.