Registrera alla prenumerationer i en hanteringsgrupp
Azure Lighthouse tillåter delegering av prenumerationer och/eller resursgrupper, men inte hanteringsgrupper. Du kan dock använda en Azure Policy för att delegera alla prenumerationer i en hanteringsgrupp till en hanterande klientorganisation.
Principen använder effekten deployIfNotExists för att kontrollera om varje prenumeration i hanteringsgruppen har delegerats till den angivna hanteringsklientorganisationen. Om en prenumeration inte redan har delegerats skapar principen Azure Lighthouse-tilldelningen baserat på de värden som du anger i parametrarna. Sedan har du åtkomst till alla prenumerationer i hanteringsgruppen, precis som om de hade registrerats manuellt.
När du använder den här principen bör du tänka på:
- Varje prenumeration i hanteringsgruppen har samma uppsättning auktoriseringar. Om du vill variera de användare och roller som beviljas åtkomst måste du registrera prenumerationer manuellt.
- Alla prenumerationer i hanteringsgruppen registreras, men du kan inte vidta åtgärder för hanteringsgruppens resurs via Azure Lighthouse. Du måste välja prenumerationer att arbeta med, precis som du skulle göra om de registrerades individuellt.
Om inte anges nedan måste alla dessa steg utföras av en användare i kundens klientorganisation med lämpliga behörigheter.
Dricks
Även om vi refererar till tjänsteleverantörer och kunder i det här avsnittet kan företag som hanterar flera klienter använda samma processer.
Registrera resursprovidern mellan prenumerationer
Vanligtvis registreras Resursprovidern Microsoft.ManagedServices för en prenumeration som en del av registreringsprocessen. När du använder principen för att registrera prenumerationer i en hanteringsgrupp måste resursprovidern registreras i förväg. Detta kan göras av en deltagare eller ägare i kundens klientorganisation (eller någon användare som har behörighet att utföra /register/action åtgärden för resursprovidern). Mer information finns i Azure-resursprovidrar och typer.
Du kan använda en Azure Logic App för att automatiskt registrera resursprovidern mellan prenumerationer. Den här logikappen kan distribueras i en kunds klientorganisation med begränsad behörighet som gör att den kan registrera resursprovidern i varje prenumeration i en hanteringsgrupp.
Vi tillhandahåller också en Azure Logic App som kan distribueras i tjänstleverantörens klientorganisation. Den här logikappen kan tilldela resursprovidern mellan prenumerationer i flera klientorganisationer genom att ge administratörsmedgivande för hela klientorganisationen till logikappen. Om du vill bevilja administratörsmedgivande för hela klientorganisationen måste du logga in som en användare med behörighet att godkänna för organisationens räkning. Observera att även om du använder det här alternativet för att registrera providern för flera klienter måste du fortfarande distribuera principen individuellt för varje hanteringsgrupp.
Skapa parameterfilen
Om du vill tilldela principen distribuerar du deployLighthouseIfNotExistManagementGroup.json-filen från vår exempelrepo, tillsammans med en deployLighthouseIfNotExistsManagementGroup.parameters.json parameterfil som du redigerar med din specifika klient- och tilldelningsinformation. Dessa två filer innehåller samma information som skulle användas för att registrera en enskild prenumeration.
Exemplet nedan visar en parameterfil som delegerar prenumerationerna till Relecloud Managed Services-klientorganisationen, med åtkomst beviljad till två principalID: en för support på nivå 1 och ett automationskonto som kan tilldela delegateRoleDefinitionIds till hanterade identiteter i kundklientorganisationen.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"managedByName": {
"value": "Relecloud Managed Services"
},
"managedByDescription": {
"value": "Relecloud provides managed services to its customers"
},
"managedByTenantId": {
"value": "00000000-0000-0000-0000-000000000000"
},
"managedByAuthorizations": {
"value": [
{
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"principalIdDisplayName": "Tier 1 Support",
"roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
},
{
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"principalIdDisplayName": "Automation Account - Full access",
"roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"delegatedRoleDefinitionIds": [
"b24988ac-6180-42a0-ab88-20f7382dd24c",
"92aaf0da-9dab-42b6-94a3-d43ce8d16293",
"91c1777a-f3dc-4fae-b103-61d183457e46"
]
}
]
}
}
}
Tilldela principen till en hanteringsgrupp
När du har redigerat principen för att skapa dina tilldelningar kan du tilldela den på hanteringsgruppsnivå. Information om hur du tilldelar en princip och visar resultat av efterlevnadstillstånd finns i Snabbstart: Skapa en principtilldelning.
PowerShell-skriptet nedan visar hur du lägger till principdefinitionen under den angivna hanteringsgruppen med hjälp av mallen och parameterfilen som du skapade. Du måste skapa tilldelnings- och reparationsuppgiften för befintliga prenumerationer.
New-AzManagementGroupDeployment -Name <DeploymentName> -Location <location> -ManagementGroupId <ManagementGroupName> -TemplateFile <path to file> -TemplateParameterFile <path to parameter file> -verbose
Bekräfta lyckad registrering
Det finns flera sätt att kontrollera att prenumerationerna i hanteringsgruppen har registrerats. Mer information finns i Bekräfta lyckad registrering.
Om du håller logikappen och principen aktiv för hanteringsgruppen registreras även alla nya prenumerationer som läggs till i hanteringsgruppen.
Nästa steg
- Läs mer om att registrera kunder i Azure Lighthouse.
- Läs mer om Azure Policy.
- Läs mer om Azure Logic Apps.