Memperbarui delegasi
Setelah Anda melakukan onboarding langganan (atau grup sumber daya) ke Azure Lighthouse, Anda mungkin perlu membuat perubahan. Misalnya, pelanggan Anda mungkin ingin Anda mengambil tugas manajemen tambahan yang memerlukan peran bawaan Azure yang berbeda, atau Anda mungkin perlu mengubah penyewa tempat langganan pelanggan didelegasikan.
Tip
Meskipun kami merujuk pada penyedia layanan dan pelanggan dalam topik ini, perusahaan yang mengelola beberapa penyewa dapat menggunakan proses yang sama untuk menyiapkan Azure Lighthouse dan mengkonsolidasikan pengalaman manajemen mereka.
Jika Anda menyetorkan pelanggan melalui templat Azure Resource Manager (templat ARM), Anda perlu melakukan penyebaran baru untuk pelanggan tersebut. Bergantung pada apa yang Anda ubah, Anda mungkin ingin memperbarui penawaran asli, atau menghapus penawaran asli dan membuat yang baru.
- Untuk mengubah otorisasi saja: Anda dapat memperbarui delegasi dengan mengubah bagian otorisasi templat ARM.
- Untuk mengubah penyewa pengelola: Anda harus membuat templat ARM baru dengan mspOfferName yang berbeda dari penawaran Anda sebelumnya.
Memperbarui templat ARM Anda
Untuk memperbarui delegasi, Anda perlu menyebarkan templat ARM yang menyertakan perubahan yang ingin Anda buat.
Jika Anda hanya memperbarui otorisasi (seperti menambahkan grup pengguna baru dengan peran yang sebelumnya tidak Anda sertakan, atau mengubah peran untuk pengguna yang sudah ada), Anda dapat menggunakan mspOfferName yang sama seperti di templat ARM yang Anda gunakan untuk delegasi sebelumnya. Gunakan templat Anda sebelumnya sebagai titik awal. Kemudian, buat perubahan yang Anda butuhkan, seperti mengganti satu peran bawaan Azure dengan peran lain, atau menambahkan otorisasi baru ke templat.
Dalam kebanyakan kasus, disarankan agar hanya satu mspOfferName yang digunakan oleh penyewa pengelola dan pelanggan yang sama. Anda tidak perlu mengubah mspOfferName jika penyewa pengelola tetap sama. Jika Anda mengubah mspOfferName, ini akan dianggap sebagai penawaran baru yang terpisah. Mengubah mspOfferName diperlukan jika Anda beralih ke penyewa pengelola yang berbeda.
Menghapus delegasi sebelumnya
Sebelum melakukan penyebaran baru, Anda mungkin perlu menghapus akses ke delegasi sebelumnya. Tindakan ini memastikan bahwa semua izin sebelumnya dihapus, memungkinkan Anda untuk memulai awal yang baru dengan pengguna/grup dan peran yang tepat yang akan diterapkan dari sekarang.
Jika Anda mengubah penyewa pengelola, Anda hanya boleh membiarkan penawaran sebelumnya jika Anda ingin kedua penyewa terus memiliki akses. Jika Anda ingin penyewa pengelola baru menjadi satu-satunya penyewa yang memiliki akses, penawaran sebelumnya harus dihapus. Kami umumnya menyarankan untuk menghapus penawaran sebelumnya sebelum Anda menyebarkan yang baru.
Penting
Jika Anda menggunakan mspOfferName baru dan menyimpan salah satu nilai principalId yang sama, Anda harus menghapus akses ke delegasi sebelumnya sebelum menerapkan penawaran baru. Jika Anda tidak menghapus penawaran sebelumnya terlebih dahulu, pengguna yang sebelumnya telah diberikan izin dapat kehilangan akses sepenuhnya karena penetapan yang bertentangan.
Jika Anda memperbarui penawaran hanya untuk menyesuaikan otorisasi, dan menyimpan mspOfferName yang sama, Anda tidak perlu menghapus delegasi sebelumnya. Penyebaran baru akan mengganti delegasi sebelumnya, dan hanya otorisasi di templat terbaru yang akan berlaku.
Menghapus akses ke delegasi dapat dilakukan oleh pengguna mana pun di penyewa pengelola yang diberi Peran Penghapusan Penugasan Layanan Terkelola dalam delegasi asli. Jika tidak ada pengguna di penyewa pengelola Anda yang memiliki peran ini, minta pelanggan untuk menghapus akses ke penawaran di portal Azure.
Tip
Jika Anda menghapus delegasi sebelumnya tetapi tidak dapat menyebarkan templat ARM baru, Anda mungkin perlu menghapus definisi pendaftaran sebelumnya sepenuhnya. Tindakan ini dapat dilakukan oleh setiap pengguna dengan peran yang memiliki izin Microsoft.Authorization/roleAssignments/write
, seperti Pemilik, di penyewa pelanggan.
Menyebarkan templat ARM
Pelanggan Anda dapat menyebarkan templat yang diperbarui dengan cara yang sama seperti sebelumnya: di portal Azure, dengan menggunakan PowerShell, atau dengan menggunakan Azure CLI.
Setelah penyebaran selesai, konfirmasikan bahwa penyebaran berhasil. Jika demikian, otorisasi yang diperbarui berlaku untuk langganan atau grup sumber daya yang telah didelegasikan pelanggan.
Memperbarui penawaran Layanan Terkelola
Jika Anda menyetorkan pelanggan melalui penawaran Layanan Terkelola yang diterbitkan ke Azure Marketplace, dan ingin memperbarui otorisasi, Anda dapat melakukannya dengan menerbitkan versi baru penawaran Anda dengan pembaruan otorisasi dalam paket untuk pelanggan tersebut. Pelanggan kemudian dapat meninjau perubahan dalam portal Azure dan menerima versi yang diperbarui.
Untuk mengubah penyewa pengelola untuk delegasi, Anda harus membuat dan menerbitkan penawaran Layanan Terkelola baru untuk diterima pelanggan.
Penting
Kami menyarankan agar Anda menghindari memiliki beberapa penawaran Layanan Terkelola antara pelanggan yang sama dan mengelola penyewa. Jika Anda menerbitkan penawaran baru untuk pelanggan saat ini yang menggunakan penyewa pengelola yang sama, pastikan bahwa penawaran sebelumnya dihapus sebelum pelanggan menerima penawaran yang lebih baru.
Langkah berikutnya
- Menampilkan dan mengelola pelanggan dengan masuk ke Pelanggan aaya di portal Microsoft Azure.
- Pelajari cara menghapus akses ke delegasi yang sebelumnya disetor.
- Pelajari selengkapnya tentang arsitektur Azure Lighthouse.