Visualizzare e gestire i provider di servizi
La pagina Provider di servizi nel portale di Azure offre ai clienti il controllo e la visibilità dei provider di servizi che usano Azure Lighthouse. I clienti possono delegare risorse specifiche, esaminare offerte nuove o aggiornate, rimuovere l'accesso al provider di servizi e altro ancora.
Per accedere alla pagina Provider di servizi nel portale di Azure, immettere "Provider di servizi" nella casella di ricerca nella parte superiore del portale di Azure. È anche possibile selezionare Tutti i servizi, quindi cercare Azure Lighthouse o cercare "Azure Lighthouse". Nella pagina Azure Lighthouse selezionare Visualizza offerte dei provider di servizi.
Nota
Per visualizzare la pagina Provider di servizi, è necessario assegnare a un utente nel tenant del cliente il ruolo predefinito di Lettore (o un altro ruolo predefinito che includa l'accesso in lettura).
Per aggiungere o aggiornare offerte, delegare risorse e rimuovere offerte, è necessario che l'utente disponga di un ruolo con l'autorizzazione Microsoft.Authorization/roleAssignments/write, ad esempio Proprietario.
Tenere presente che la pagina Provider di servizi visualizza solo le informazioni sui provider di servizi che hanno accesso alle sottoscrizioni o ai gruppi di risorse del cliente tramite Azure Lighthouse. Non vengono visualizzate informazioni su altri provider di servizi che non usano Azure Lighthouse.
Visualizzare i dettagli dei provider di servizi
Per visualizzare i dettagli sui provider di servizi correnti che usano Azure Lighthouse per lavorare nel tenant del cliente, selezionare Offerte del provider di servizi sul lato sinistro della pagina Provider di servizi.
Per ogni offerta, verranno visualizzati il nome del provider di servizi e l'offerta associata. È possibile selezionare un'offerta per visualizzare una descrizione e altri dettagli, incluse le assegnazioni di ruolo concesse dal provider di servizi.
Nella colonna Deleghe è possibile specificare quante sottoscrizioni e/o gruppi di risorse sono stati delegati al provider di servizi per tale offerta. Il provider di servizi potrà accedere a queste sottoscrizioni e/o gruppi di risorse e gestirli a seconda dei livelli di accesso specificati nell'offerta.
Aggiunger offerte del provider di servizi
È possibile aggiungere una nuova offerta del provider di servizi dalla pagina Offerte del provider di servizi.
Per aggiungere un'offerta dal marketplace, selezionare il pulsante Aggiungi offerta al centro della pagina oppure selezionare Aggiungi offerta nella parte superiore della pagina e quindi scegliere Aggiungi tramite il marketplace. Se le offerte del Servizio gestito sono state pubblicate in modo specifico per questo cliente, selezionare Offerte private per visualizzarle. Selezionare un'offerta per esaminare i dettagli. Per aggiungere l'offerta, selezionare Crea.
Per aggiungere un'offerta da un modello, selezionare Aggiungi offerta nella parte superiore della pagina e quindi scegliere Aggiungi tramite il marketplace. In questo modo sarà possibile caricare un modello dal provider di servizi ed eseguire l'onboarding della sottoscrizione (o del gruppo di risorse). Per altre informazioni, vedere Eseguire la distribuzione tramite il portale di Azure.
Aggiornare le offerte dei provider di servizi
Dopo che un cliente ha aggiunto un'offerta, è possibile che un provider di servizi pubblichi una versione aggiornata della stessa offerta in Azure Marketplace, ad esempio per aggiungere una nuova definizione del ruolo. Se è stata pubblicata una nuova versione dell'offerta, la pagina Offerte del provider di servizi visualizzerà un'icona di “aggiornamento” nella riga relativa all'offerta. Selezionare questa icona per visualizzare le differenze tra la versione corrente e la nuova versione dell'offerta.
Dopo aver controllato le modifiche, il cliente può scegliere di eseguire l'aggiornamento alla nuova versione. Le autorizzazioni e le altre impostazioni specificate nella nuova versione verranno applicate a tutte le sottoscrizioni e/o ai gruppi di risorse delegati per l'offerta.
Rimuovere le offerte del provider di servizi
È possibile rimuovere un'offerta del provider di servizi in qualsiasi momento selezionando l'icona del cestino nella riga relativa all'offerta.
Dopo la conferma dell'eliminazione, il provider di servizi non avrà più accesso alle risorse precedentemente delegate per l'offerta.
Importante
Se una sottoscrizione include due o più offerte dello stesso provider di servizi, la rimozione di una di queste potrebbe causare la perdita dell'accesso concesso ad alcuni utenti del provider di servizi tramite le altre deleghe. Ciò si verifica solo quando la stessa combinazione di utente e ruolo viene inclusa in più deleghe e quindi una delle deleghe viene rimossa. Per risolvere questo problema, è necessario ripetere il processo di onboarding per le offerte che non vengono rimosse.
Delegare le risorse
Prima che un provider di servizi possa accedere alle risorse di un cliente e gestirle, è necessario delegare una o più sottoscrizioni specifiche e/o gruppi di risorse. Quando un cliente aggiunge un'offerta senza delegare alcuna risorsa, viene visualizzata una nota nella parte superiore della sezione Offerte del provider di servizi. Il provider di servizi non potrà lavorare su alcuna risorsa nel tenant del cliente fino al completamento della delega.
Per delegare sottoscrizioni o gruppi di risorse:
- Selezionare la casella relativa alla riga contenente il provider di servizi, l'offerta e il nome. Selezionare quindi Delega risorse nella parte superiore della schermata.
- Nella sezione Dettagli offerta della pagina Delega risorse esaminare i dettagli del provider di servizi e dell'offerta. Per esaminare le assegnazioni di ruolo per l'offerta, selezionare Fare clic qui per visualizzare i dettagli dell'offerta selezionata.
- Nella sezione Delega selezionare Delega sottoscrizioni o Delega gruppi di risorse.
- Scegliere le sottoscrizioni e/o i gruppi di risorse che si vuole delegare per questa offerta, quindi selezionare Aggiungi.
- Selezionare la casella di controllo nella parte inferiore della pagina per confermare che si vuole concedere a questo provider di servizi l'accesso a tali risorse, quindi selezionare Delega.
Visualizzare le deleghe
Le deleghe rappresentano un'associazione di risorse specifiche dei clienti (sottoscrizioni e/o gruppi di risorse) ad assegnazioni di ruolo che concedono autorizzazioni al provider di servizi per tali risorse. Per visualizzare i dettagli della delega, selezionare Deleghe sul lato sinistro della pagina Provider di servizi.
I filtri nella parte superiore della pagina consentono di ordinare e raggruppare le informazioni sulla delega. È anche possibile filtrare in base a provider di servizi, offerte o parole chiave specifici.
Nota
Quando si visualizzano le assegnazioni di ruolo per l'ambito delegato nel portale di Azure o tramite le API, i clienti non vedranno le assegnazioni di ruolo per gli utenti del tenant del provider di servizi che hanno accesso tramite Azure Lighthouse. Analogamente, gli utenti nel tenant del provider di servizi non vedranno le assegnazioni di ruolo per gli utenti nel tenant di un cliente, indipendentemente dal ruolo assegnato.
Si noti che le assegnazioni di amministratore classico in un tenant del cliente possono essere visibili agli utenti nel tenant di gestione o viceversa, perché i ruoli di amministratore classici non usano il modello di distribuzione Resource Manager.
Controllare e limitare le deleghe nell'ambiente
I clienti possono voler esaminare tutte le sottoscrizioni e/o i gruppi di risorse delegati ad Azure Lighthouse. Ciò è particolarmente utile per i clienti con un numero elevato di sottoscrizioni o con molti utenti che eseguono attività di gestione.
Viene fornita una definizione di criterio predefinita di Criteri di Azure per controllare la delega degli ambiti a un tenant di gestione. È possibile assegnare questo criterio a un gruppo di gestione che include tutte le sottoscrizioni da controllare. Quando si verifica la conformità a questo criterio, tutte le sottoscrizioni e/o i gruppi di risorse delegati (all'interno del gruppo di gestione a cui è assegnato il criterio) vengono visualizzati con uno stato non conforme. È quindi possibile esaminare i risultati e confermare che non sono presenti deleghe impreviste.
Un'altra definizione di criteri predefinita consente di limitare le deleghe a tenant di gestione specifici. Questo criterio può essere assegnato a un gruppo di gestione che include tutte le sottoscrizioni per cui si vuole limitare le deleghe. Dopo la distribuzione del criterio, verranno negati tutti i tentativi di delegare una sottoscrizione a un tenant al di fuori di quelli specificati.
Per informazioni su come assegnare i criteri e visualizzare i risultati dello stato di conformità, vedere Guida introduttiva: Creare un'assegnazione di criteri.
Passaggi successivi
- Altre informazioni su Azure Lighthouse.
- Informazioni su come controllare l'attività del provider di servizi.
- Informazioni su come i provider di servizi possono visualizzare e gestire i clienti nella pagina Clienti personali nel portale di Azure.
- Informazioni su come le aziende che gestiscono più tenant possono usare Azure Lighthouse per consolidare l'esperienza di gestione.