Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
После подключения подписки (или группы ресурсов) к Azure Lighthouse может потребоваться внести изменения. Например, клиент может потребовать выполнения дополнительных задач управления, требующих другой встроенной роли Azure, или может потребоваться изменить арендатора, на который делегирована подписка клиента.
Совет
В этой статье будет идти речь о поставщиках услуг и клиентах, но предприятия, управляющие несколькими арендаторами, могут использовать тот же процесс для настройки Azure Lighthouse и консолидации своих возможностей управления.
Если вы подключали клиента с помощью шаблонов Azure Resource Manager (ARM), для него необходимо выполнить новое развертывание. В зависимости от того, что вы изменяете, может потребоваться обновить исходное предложение или удалить исходное предложение и создать новое.
- Чтобы изменить только авторизацию: вы можете обновить делегирование, изменив раздел авторизации шаблона ARM.
- Чтобы изменить управляющего арендатора: необходимо создать новый шаблон ARM с другим mspOfferName, отличающийся от предлагаемого ранее.
Обновление шаблона ARM
Чтобы обновить делегирование, необходимо развернуть шаблон ARM, содержащий изменения, которые вы хотите внести.
Если вы обновляете только авторизацию (например, добавление новой группы пользователей с ранее не включенной ролью или изменение роли для существующего пользователя), можно использовать ту же mspOfferName , что и в шаблоне ARM, используемом для предыдущего делегирования. Используйте предыдущий шаблон в качестве отправной точки. Затем внесите необходимые изменения, например заменить одну встроенную роль Azure другой или добавить новую авторизацию в шаблон.
В большинстве случаев мы рекомендуем использовать одно имя mspOfferName для одного клиента и управляющего арендатора. Не нужно изменять имя mspOfferName, если управляющий арендатор остается тем же. Если изменить mspOfferName, это будет считаться новым, отдельным предложением. При переключении на другого управляющего арендатора требуется изменение mspOfferName.
Удаление предыдущего делегирования
Перед выполнением нового развертывания может потребоваться удалить доступ к предыдущему делегированию. Это гарантирует, что все предыдущие разрешения будут удалены, позволяя начать с чистого листа с конкретными пользователями, группами и ролями, которые должны применяться в дальнейшем.
Если вы изменяете управляющего арендатора, вы должны оставить предыдущее предложение только в том случае, если хотите, чтобы оба арендатора продолжали иметь доступ. Если вы хотите, чтобы новый клиент управления был единственным клиентом с доступом, необходимо удалить более раннее предложение. Как правило, мы рекомендуем удалить предыдущее предложение перед развертыванием нового.
Внимание
Если вы используете новое имя mspOfferName и сохраняете те же значения principalId, то перед развертыванием нового предложения нужно удалить доступ к предыдущему делегированию. Если вы не удалите предыдущее предложение, пользователи, которым ранее было предоставлено разрешение, могут полностью потерять доступ из-за конфликтующих назначений.
Если вы обновляете предложение только для настройки авторизации и сохраняете то же mspOfferName, вам не нужно удалить предыдущее делегирование. Новое развертывание заменит предыдущее делегирование, и будут применены только разрешения из последнего шаблона.
Доступ к делегированию может удалять любой пользователь в управляющем арендаторе, которому в исходном делегировании была предоставлена роль для удаления назначения регистрации управляемых служб. Если в вашем управляющем арендаторе ни одному пользователю не назначена такая роль, вы можете попросить клиента удалить доступ к предложению на портале Azure.
Совет
Если вы удалили предыдущее делегирование, но не можете развернуть новый шаблон ARM, возможно, потребуется полностью удалить определение предыдущей регистрации. Это может сделать любой пользователь с ролью, которая имеет разрешения Microsoft.Authorization/roleAssignments/write, Microsoft.Authorization/roleAssignments/delete и Microsoft.Authorization/roleAssignments/read, такие как владелец, в клиентском тенанте.
Развертывание шаблона ARM
Клиент может развернуть обновленный шаблон так же, как и раньше: на портале Azure, с помощью PowerShell или Azure CLI.
После завершения развертывания убедитесь, что оно выполнено успешно. Если да, обновлённые авторизации действуют для подписки или группы ресурсов, делегированных клиентом.
Обновление предложений управляемых услуг
При подключении клиента с помощью предложения Управляемой службы, опубликованного в Microsoft Marketplace, и вы хотите обновить авторизацию, вы можете сделать это, публикуя новую версию предложения с обновлениями авторизации в плане этого клиента. Затем клиент может просмотреть изменения в портал Azure и принять обновленную версию.
Чтобы изменить управляющего арендатора для делегирования, необходимо создать и опубликовать новое предложение управляемой службы, чтобы клиент мог принять его.
Внимание
Рекомендуется избежать нескольких предложений управляемой службы между тем же клиентом и управлением клиентом. Если вы публикуете новое предложение для клиента, который использует тот же управляющий арендатор, убедитесь, что предыдущее предложение удалено, прежде чем он примет новое.
Следующие шаги
- Просматривайте клиентов и управляйте ими, перейдя в раздел Мои клиенты на портале Azure.
- Узнайте, как удалить доступ к делегированию, подключенному ранее.
- Узнайте больше об архитектуре Azure Lighthouse.