Exibir e gerenciar provedores de serviços

A página Provedores de serviços no portal do Azure oferece aos clientes controle e visibilidade para os provedores de serviço que usam o Azure Lighthouse. Os clientes podem delegar recursos específicos, revisar ofertas novas ou atualizadas, remover o acesso do provedor de serviços e muito mais.

Para acessar a página Provedores de serviços no portal do Azure, insira "Provedores de serviços" na caixa de pesquisa perto da parte superior do portal do Azure. Você também pode selecionar Todos os serviços e, em seguida, pesquisar por Azure Lighthouse ou pesquisar por "Azure Lighthouse". Na página do Azure Lighthouse, selecione Exibir ofertas do provedor de serviços.

Observação

Para ver a página Provedores de serviços, um usuário no locatário do cliente precisa ter a função interna do leitor (ou outra função interna que inclua acesso de leitor).

Para adicionar ou atualizar ofertas, delegar recursos e remover ofertas, o usuário precisa ter uma função com a Microsoft.Authorization/roleAssignments/write permissão, como Proprietário.

Tenha em mente que a página Provedores de serviços mostra apenas informações sobre os provedores de serviços que têm acesso às assinaturas ou aos grupos de recursos do cliente por meio do Azure Lighthouse. Ela não mostra informações sobre provedores de serviço adicionais que não usam o Azure Lighthouse.

Exibir detalhes do provedor de serviços

Para ver detalhes sobre os provedores de serviços atuais que usam o Azure Lighthouse para trabalhar no locatário do cliente, selecione Ofertas de provedores de serviços no lado esquerdo da página Provedores de serviços.

Para cada oferta, você verá o nome do provedor de serviço e a oferta associada a ele. Você pode selecionar uma oferta para ver uma descrição e outros detalhes, incluindo as atribuições de função que o provedor de serviços recebeu.

Na coluna Delegações, você pode ver quantas assinaturas e/ou grupos de recursos foram delegados ao provedor de serviços para essa oferta. O provedor de serviços poderá acessar e gerenciar essas assinaturas e/ou grupos de recursos de acordo com os níveis de acesso especificados na oferta.

Adicionar ofertas de provedores de serviços

É possível adicionar uma nova oferta do provedor de serviços da página Ofertas do provedor de serviços.

Para adicionar uma oferta no marketplace, selecione o botão Adicionar oferta no meio da página ou selecione Adicionar oferta perto da parte superior da página e escolha Adicionar por meio do marketplace. Se as Ofertas de Serviço Gerenciado tiverem sido publicadas especificamente para esse cliente, selecione Ofertas privadas para exibi-las. Selecione uma oferta para examinar os detalhes. Para adicionar a oferta, selecione Criar.

Para adicionar uma oferta de um modelo, selecione Adicionar oferta perto da parte superior da página e escolha Adicionar por meio do marketplace. Isso permitirá que você carregue um modelo do provedor de serviços e integre sua assinatura (ou grupo de recursos). Para obter mais informações, confira Implantar no portal do Azure.

Atualizar as ofertas do provedor de serviços

Depois que um cliente adiciona uma oferta, um provedor de serviços pode publicar uma versão atualizada dela no Azure Marketplace, por exemplo, para adicionar uma nova definição de função. Se uma nova versão da oferta tiver sido publicada, a página Ofertas do provedor de serviços mostrará um ícone "atualizar" na linha dessa oferta. Selecione esse ícone para ver as diferenças entre a versão atual da oferta e a nova.

Ícone Atualizar oferta

Depois de examinar as alterações, é possível optar por atualizar para a nova versão. As autorizações e outras configurações especificadas na nova versão serão aplicadas a assinaturas e/ou grupos de recursos que tenham sido delegados a essa oferta.

Remover ofertas de provedores de serviços

Você pode remover uma oferta de provedor de serviços a qualquer momento selecionando o ícone de lixeira na linha dessa oferta.

Depois que você confirmar a exclusão, esse provedor de serviços não terá mais acesso aos recursos que antes eram delegados para essa oferta.

Importante

Se uma assinatura tiver duas ou mais ofertas do mesmo provedor de serviços, a remoção de uma delas poderá fazer com que alguns usuários do provedor de serviços percam o acesso concedido através das outras delegações. Isso só ocorre quando o mesmo usuário e função são incluídos em várias delegações e então uma das delegações é removida. Para corrigir isso, o processo de integração deve ser repetido nas ofertas que você não está removendo.

Delegar recursos

Antes que um provedor de serviços possa acessar e gerenciar recursos do cliente, uma ou mais assinaturas e/ou grupos de recursos específicos precisam ser delegados. Quando um cliente adiciona uma oferta sem delegar recursos, uma observação aparece na parte superior da seção Ofertas do provedor de serviços. O provedor de serviços não poderá trabalhar em nenhum recurso no locatário do cliente até que a delegação seja concluída.

Para delegar assinaturas ou grupos de recursos:

  1. Marque a caixa para a linha que contém o provedor de serviços, a oferta e o nome. Em seguida, selecione Recursos delegados na parte superior da tela.
  2. Na seção Detalhes da oferta da página Recursos delegados, examine os detalhes sobre o provedor de serviços e a oferta. Para examinar as atribuições de função da oferta, selecione Clique aqui para ver os detalhes da oferta selecionada.
  3. Na seção Delegar, selecione Delegar assinaturas ou Delegar grupos de recursos.
  4. Escolha as assinaturas e/ou grupos de recursos que você gostaria de delegar para essa oferta e selecione Adicionar.
  5. Marque a caixa de seleção na parte inferior da página para confirmar que você deseja conceder a esse provedor de serviços acesso a esses recursos e, em seguida, selecione Delegar.

Exibir delegações

As delegações representam uma associação de recursos específicos do cliente (assinaturas e/ou grupos de recursos) com atribuições de função que concedem permissões ao provedor de serviços para esses recursos. Para exibir essas informações, selecione Delegações no lado esquerdo da página Provedores de serviços.

Os filtros na parte superior da página permitem classificar e agrupar as informações de delegação. Você também pode filtrar por provedores de serviços, ofertas ou palavras-chave específicas.

Observação

Ao visualizar as atribuições de função do escopo delegado no portal do Azure ou por meio de APIs, os clientes não verão atribuições de função a usuários do locatário do provedor de serviços que tenham acesso por meio do Azure Lighthouse. Da mesma forma, os usuários no locatário do provedor de serviços não verão atribuições de função para usuários no locatário de um cliente, independentemente da função atribuída.

Observe que as atribuições de administrador clássico em um locatário do cliente podem estar visíveis para os usuários no locatário de gerenciamento ou o contrário, porque as funções de administrador clássico não usam o modelo de implantação do Resource Manager.

Auditar delegações restritas no ambiente

Os clientes podem analisar as assinaturas e/ou os grupos de recursos que foram delegados ao Azure Lighthouse. Isso é especialmente útil para os clientes com muitas assinaturas ou que têm muitos usuários que executam tarefas de gerenciamento.

Fornecemos uma definição de política interna do Azure Policy para auditar a delegação de escopos para um locatário de gerenciamento. Você pode atribuir essa política a um grupo de gerenciamento que inclui todas as assinaturas que você deseja auditar. Quando você marca a conformidade com essa política, as assinaturas e/ou grupos de recursos delegados (dentro do grupo de gerenciamento ao qual a política é atribuída) serão mostrados em um estado sem conformidade. Você pode examinar os resultados e confirmar que não há delegações inesperadas.

Outra definição de política interna permite restringir as delegações a locatários de gerenciamento específicos. Essa política pode ser aplicada a um grupo de gerenciamento que inclua todas as assinaturas às quais você deseja limitar as delegações. Depois que a política for implantada, as tentativas de delegar uma assinatura a um locatário fora daqueles que você especificar será negada.

Para obter mais informações sobre como atribuir uma política e ver os resultados do estado de conformidade, confira Guia de início rápido: Criar uma atribuição de política.

Próximas etapas