Aracılığıyla paylaş

Tüm abonelikleri bir yönetim grubuna ekleme

  • Makale

Azure Lighthouse aboneliklerin ve/veya kaynak gruplarının temsil edilmesini sağlar, ancak yönetim gruplarının temsil edilmesini sağlar. Ancak, bir yönetim grubu içindeki tüm abonelikleri yöneten bir kiracıya temsilci olarak atamak için bir Azure İlkesi kullanabilirsiniz.

İlke, yönetim grubundaki her aboneliğin belirtilen yönetim kiracısına temsilci olarak atanıp atanmadığını denetlemek için deployIfNotExists etkisini kullanır. Bir abonelik henüz temsilci olarak atanmadıysa ilke, parametrelerde sağladığınız değerlere göre Azure Lighthouse atamasını oluşturur. Ardından yönetim grubundaki tüm aboneliklere, her biri el ile eklenmiş gibi erişebilirsiniz.

Bu ilkeyi kullanırken şunları aklınızda bulundurun:

  • Yönetim grubundaki her abonelik aynı yetkilendirme kümesine sahip olur. Erişim verilen kullanıcıları ve rolleri değiştirmek için abonelikleri el ile eklemeniz gerekir.
  • Yönetim grubundaki tüm abonelikler eklenirken, Azure Lighthouse aracılığıyla yönetim grubu kaynağının tamamında işlem yapamazsınız. Ayrı ayrı eklenen abonelikler gibi üzerinde çalışmak için abonelikleri seçmeniz gerekir.

Belirtilmediği sürece, bu adımların tümü müşterinin kiracısında uygun izinlere sahip bir kullanıcı tarafından gerçekleştirilmelidir.

İpucu

Bu konu başlığında hizmet sağlayıcılarına ve müşterilere başvursak da, birden çok kiracıyı yöneten kuruluşlar aynı işlemleri kullanabilir.

Kaynak sağlayıcısını abonelikler arasında kaydetme

Genellikle Microsoft.ManagedServices kaynak sağlayıcısı, ekleme işleminin bir parçası olarak bir abonelik için kaydedilir. İlkeyi kullanarak abonelikleri bir yönetim grubuna eklerken kaynak sağlayıcısının önceden kaydedilmesi gerekir. Kayıt, müşterinin kiracısında bir Katkıda Bulunan veya Sahip kullanıcısı (veya kaynak sağlayıcısı için işlemi yapma /register/action izni olan herhangi bir kullanıcı) tarafından yapılabilir. Daha fazla bilgi için bkz . Azure kaynak sağlayıcıları ve türleri.

Kaynak sağlayıcısını abonelikler arasında otomatik olarak kaydetmek için bir Azure Logic App kullanabilirsiniz. Bu Mantıksal Uygulama, bir müşterinin kiracısında, kaynak sağlayıcısını bir yönetim grubundaki her aboneliğe kaydetmesine izin veren sınırlı izinlere sahip olarak dağıtılabilir.

Hizmet sağlayıcısının kiracısında dağıtılabilir bir Azure Logic App de sağlıyoruz. Bu Mantıksal Uygulama, Mantıksal Uygulamaya kiracı genelinde yönetici onayı vererek birden çok kiracıdaki abonelikler arasında kaynak sağlayıcısı atayabilir. Kiracı genelinde yönetici onayı verme işlemi, kuruluş adına onay verme yetkisi olan bir kullanıcı olarak oturum açmanızı gerektirir. Sağlayıcıyı birden çok kiracıya kaydetmek için bu seçeneği kullanırsanız, ilkeyi her yönetim grubu için ayrı ayrı dağıtmanız gerekir.

Parametre dosyanızı oluşturma

İlkeyi atamak için, örnek depomuzdan deployLighthouseIfNotExistManagementGroup.json dosyasını ve belirli kiracınız ve atama ayrıntılarınızla düzenlediğiniz bir deployLighthouseIfNotExistsManagementGroup.parameters.json parametre dosyasını dağıtın. Bu iki dosya, tek bir aboneliği eklemek için kullanılacak ayrıntıları içerir.

Bu örnekte, abonelikleri Relecloud Managed Services kiracısına devreden ve biri Katman 1 Desteği için olmak üzere iki principalID değere erişim izni verilen bir parametre dosyası ve müşteri kiracısında yönetilen kimliklere atanabilen delegateRoleDefinitionIds bir otomasyon hesabı gösterilmektedir.

{ 
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#", 
    "contentVersion": "1.0.0.0", 
    "parameters": { 
        "managedByName": { 
            "value": "Relecloud Managed Services" 
        }, 
        "managedByDescription": { 
            "value": "Relecloud provides managed services to its customers" 
        }, 
        "managedByTenantId": { 
            "value": "00000000-0000-0000-0000-000000000000" 
        }, 
        "managedByAuthorizations": { 
            "value": [ 
                { 
                    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
                    "principalIdDisplayName": "Tier 1 Support", 
                    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c" 
                }, 
                { 
                    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
                    "principalIdDisplayName": "Automation Account - Full access", 
                    "roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9", 
                    "delegatedRoleDefinitionIds": [ 
                        "b24988ac-6180-42a0-ab88-20f7382dd24c", 
                        "92aaf0da-9dab-42b6-94a3-d43ce8d16293", 
                        "91c1777a-f3dc-4fae-b103-61d183457e46" 
                    ] 
                }                 
            ] 
        } 
    } 
}

İlkeyi bir yönetim grubuna atama

Atamalarınızı oluşturmak için ilkeyi düzenledikten sonra, ilkeyi yönetim grubu düzeyinde atayabilirsiniz. İlke atamayı ve uyumluluk durumu sonuçlarını görüntülemeyi öğrenmek için bkz . Hızlı Başlangıç: İlke ataması oluşturma.

Bu PowerShell betiği, oluşturduğunuz şablon ve parametre dosyasını kullanarak ilke tanımının belirtilen yönetim grubu altına nasıl ekleneceğini gösterir. Mevcut abonelikler için atama ve düzeltme görevini oluşturmanız gerekir.

New-AzManagementGroupDeployment -Name <DeploymentName> -Location <location> -ManagementGroupId <ManagementGroupName> -TemplateFile <path to file> -TemplateParameterFile <path to parameter file> -verbose

Ekleme işleminin başarılı olduğunu onaylayın

Yönetim grubundaki aboneliklerin başarıyla eklendiğini doğrulamanın birkaç yolu vardır. Daha fazla bilgi için bkz . Eklemenin başarılı olduğunu onaylama.

Mantıksal Uygulamayı ve ilkeyi yönetim grubunuz için etkin tutarsanız, yönetim grubuna eklenen tüm yeni abonelikler de eklenir.

Sonraki adımlar