Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Po dołączeniu subskrypcji (lub grupy zasobów) do usługi Azure Lighthouse może być konieczne wprowadzenie zmian. Na przykład klient może chcieć, abyś podjął dodatkowe zadania związane z zarządzaniem, które wymagają innej wbudowanej roli platformy Azure, lub może być konieczna zmiana dzierżawy, do której jest delegowana subskrypcja klienta.
Napiwek
Chociaż w tym temacie odwołujemy się do dostawców usług i klientów, przedsiębiorstwa zarządzające wieloma dzierżawami mogą korzystać z tego samego procesu, aby skonfigurować usługę Azure Lighthouse i skonsolidować swoje środowisko zarządzania.
W przypadku dołączenia klienta za pomocą szablonów usługi Azure Resource Manager (ARM) należy wykonać nowe wdrożenie dla tego klienta. W zależności od tego, co zmieniasz, możesz zaktualizować oryginalną ofertę lub usunąć oryginalną ofertę i utworzyć nową.
- Aby zmienić tylko uprawnienia: Możesz zaktualizować delegację, zmieniając sekcję uprawnień w szablonie ARM.
- Aby zmienić zarządzającego dzierżawą: musisz utworzyć nowy szablon ARM z inną nazwą mspOfferName niż w poprzedniej ofercie.
Aktualizowanie szablonu usługi ARM
Aby zaktualizować ustawienia delegowania, należy wdrożyć szablon ARM zawierający zmiany, które chciałbyś wprowadzić.
Jeśli aktualizujesz tylko autoryzacje (takie jak dodanie nowej grupy użytkowników z rolą, której wcześniej nie uwzględniono, lub zmiana roli dla istniejącego użytkownika), możesz użyć tego samego mspOfferName, tak jak w szablonie usługi ARM, który został użyty do poprzedniego delegowania. Użyj poprzedniego szablonu jako punktu wyjścia. Następnie wprowadź potrzebne zmiany, takie jak zastąpienie jednej wbudowanej roli platformy Azure inną lub dodanie nowej autoryzacji do szablonu.
W większości przypadków zalecamy używanie tylko jednego mspOfferName przez tego samego klienta i administratora dzierżawy. Nie musisz zmieniać mspOfferName, jeśli dzierżawa zarządzająca pozostaje taka sama. Jeśli zmienisz wartość mspOfferName, zostanie to uznane za nową, oddzielną ofertę. Zmiana mspOfferName jest wymagana, jeśli przełączasz się na innego zarządzającego dzierżawcę.
Usuń poprzednie delegowanie
Przed wykonaniem nowego wdrożenia możesz usunąć dostęp do poprzedniego delegowania. Dzięki temu wszystkie poprzednie uprawnienia zostaną usunięte, co umożliwi rozpoczęcie czyszczenia od dokładnych użytkowników/grup i ról, które powinny być stosowane w przyszłości.
Jeśli zmieniasz zarządzającego najemcę, pozostaw poprzednią ofertę w mocy tylko wtedy, gdy chcesz, aby obaj najemcy nadal mieli dostęp. Jeśli chcesz, aby nowy zarządzający najemca był jedynym najemcą, który ma dostęp, należy usunąć wcześniejszą ofertę. Zazwyczaj zalecamy usunięcie poprzedniej oferty przed wdrożeniem nowej.
Ważne
Jeśli używasz nowego atrybutu mspOfferName i zachowasz dowolne z tych samych wartości principalId , musisz usunąć dostęp do poprzedniego delegowania przed wdrożeniem nowej oferty. Jeśli nie dokonasz usunięcia poprzedniej oferty, użytkownicy, którzy wcześniej uzyskali zezwolenia, mogą całkowicie stracić dostęp z powodu rozbieżnych przydziałów.
Jeśli aktualizujesz ofertę tylko w celu dostosowania autoryzacji i zachowujesz tę samą mspOfferName, nie musisz usuwać poprzedniej delegacji. Nowe wdrożenie zastąpi poprzednie delegowanie, a tylko autoryzacje w najnowszym szablonie zostaną zastosowane.
Usunięcie dostępu do delegowania może odbywać się przez dowolnego użytkownika w dzierżawie zarządzającej, któremu udzielono roli usuwania przypisania rejestracji usług zarządzanych w oryginalnym delegowaniu. Jeśli żaden użytkownik w dzierżawie zarządzającej nie ma tej roli, możesz poprosić klienta o usunięcie dostępu do oferty w witrynie Azure Portal.
Napiwek
Jeśli usunąłeś poprzednią delegację, ale nie możesz wdrożyć nowego szablonu ARM, może być konieczne całkowite usunięcie poprzedniej definicji rejestracji. Można to zrobić przez dowolnego użytkownika z rolą, która ma uprawnienia Microsoft.Authorization/roleAssignments/write, Microsoft.Authorization/roleAssignments/delete i Microsoft.Authorization/roleAssignments/read, takie jak Właściciel, w dzierżawie klienta.
Wdróż szablon ARM
Klient może wdrożyć zaktualizowany szablon w taki sam sposób, jak wcześniej: w witrynie Azure Portal, przy użyciu programu PowerShell lub przy użyciu interfejsu wiersza polecenia platformy Azure.
Po zakończeniu wdrażania upewnij się, że zakończyło się pomyślnie. Jeśli tak, zaktualizowane autoryzacje obowiązują dla subskrypcji lub grup zasobów delegowanych przez klienta.
Aktualizowanie ofert usługi zarządzanej
Jeśli dołączysz klienta za pośrednictwem oferty usługi zarządzanej opublikowanej w witrynie Azure Marketplace i chcesz zaktualizować autoryzacje, możesz to zrobić, publikując nową wersję oferty z aktualizacjami autoryzacji w planie dla tego klienta. Klient może następnie przejrzeć zmiany w witrynie Azure Portal i zaakceptować zaktualizowaną wersję.
Aby zmienić dzierżawcę zarządzającego w przypadku delegacji, należy utworzyć i opublikować nową ofertę usługi zarządzanej, aby klient ją zaakceptował.
Ważne
Zalecamy unikanie wielu ofert zarządzanych usług między tym samym klientem a dzierżawcą zarządzającym. Jeśli opublikujesz nową ofertę dla bieżącego klienta, który korzysta z tej samej dzierżawy zarządzającej, upewnij się, że wcześniejsza oferta zostanie usunięta, zanim klient zaakceptuje nowszą ofertę.
Następne kroki
- Wyświetlanie klientów i zarządzanie nimi, przechodząc do sekcji Moje klienci w witrynie Azure Portal.
- Dowiedz się, jak usunąć dostęp do delegowania , które zostało wcześniej dołączone.
- Dowiedz się więcej o architekturze usługi Azure Lighthouse.