Dołączanie wszystkich subskrypcji w grupie zarządzania
Usługa Azure Lighthouse umożliwia delegowanie subskrypcji i/lub grup zasobów, ale nie grup zarządzania. Można jednak użyć usługi Azure Policy , aby delegować wszystkie subskrypcje w grupie zarządzania do dzierżawy zarządzającej.
Zasady używają efektu deployIfNotExists , aby sprawdzić, czy każda subskrypcja w grupie zarządzania została delegowana do określonej dzierżawy zarządzania. Jeśli subskrypcja nie jest jeszcze delegowana, zasady tworzą przypisanie usługi Azure Lighthouse na podstawie wartości podanych w parametrach. Następnie będziesz mieć dostęp do wszystkich subskrypcji w grupie zarządzania, tak jak gdyby każda z nich została dołączona ręcznie.
Podczas korzystania z tych zasad należy pamiętać:
- Każda subskrypcja w grupie zarządzania będzie mieć ten sam zestaw autoryzacji. Aby zmienić użytkowników i role, którym udzielono dostępu, musisz ręcznie dołączyć subskrypcje.
- Podczas gdy każda subskrypcja w grupie zarządzania zostanie dołączona, nie można podjąć działań na zasobie grupy zarządzania za pośrednictwem usługi Azure Lighthouse. Musisz wybrać subskrypcje, nad którymi chcesz pracować, tak jak w przypadku ich dołączenia osobno.
O ile nie określono poniżej, wszystkie te kroki muszą zostać wykonane przez użytkownika w dzierżawie klienta z odpowiednimi uprawnieniami.
Napiwek
Chociaż w tym temacie odwołujemy się do dostawców usług i klientów, przedsiębiorstwa zarządzające wieloma dzierżawami mogą używać tych samych procesów.
Rejestrowanie dostawcy zasobów w subskrypcjach
Zazwyczaj dostawca zasobów Microsoft.ManagedServices jest zarejestrowany dla subskrypcji w ramach procesu dołączania. W przypadku używania zasad do dołączania subskrypcji w grupie zarządzania dostawca zasobów musi być zarejestrowany z wyprzedzeniem. Można to zrobić za pomocą użytkownika Współautor lub Właściciel w dzierżawie klienta (lub dowolnego użytkownika, który ma uprawnienia do wykonania /register/action operacji dla dostawcy zasobów). Aby uzyskać więcej informacji, zobacz Dostawcy zasobów i typy platformy Azure.
Za pomocą aplikacji logiki platformy Azure możesz automatycznie zarejestrować dostawcę zasobów w ramach subskrypcji. Tę aplikację logiki można wdrożyć w dzierżawie klienta z ograniczonymi uprawnieniami, które umożliwiają jej zarejestrowanie dostawcy zasobów w każdej subskrypcji w grupie zarządzania.
Udostępniamy również aplikację logiki platformy Azure, którą można wdrożyć w dzierżawie dostawcy usług. Ta aplikacja logiki może przypisać dostawcę zasobów między subskrypcjami w wielu dzierżawach, udzielając zgody administratora dla całej dzierżawy na aplikację logiki. Udzielenie zgody administratora dla całej dzierżawy wymaga zalogowania się jako użytkownik, który jest autoryzowany do udzielania zgody w imieniu organizacji. Należy pamiętać, że nawet jeśli używasz tej opcji do zarejestrowania dostawcy w wielu dzierżawach, nadal musisz wdrożyć zasady indywidualnie dla każdej grupy zarządzania.
Tworzenie pliku parametrów
Aby przypisać zasady, wdróż plik deployLighthouseIfNotExistManagementGroup.json z repozytorium przykładów wraz z plikiem parametrów deployLighthouseIfNotExistsManagementGroup.parameters.json edytowanym za pomocą szczegółowych informacji o określonej dzierżawie i przypisaniu. Te dwa pliki zawierają te same szczegóły, które będą używane do dołączania indywidualnej subskrypcji.
W poniższym przykładzie przedstawiono plik parametrów, który deleguje subskrypcje do dzierżawy usług zarządzanych Relecloud z dostępem udzielonym dwóm identyfikatorom principalID: jeden dla obsługi warstwy 1 i jednym kontem automatyzacji, które może przypisać identyfikatory delegateRoleDefinitionId do tożsamości zarządzanych w dzierżawie klienta.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"managedByName": {
"value": "Relecloud Managed Services"
},
"managedByDescription": {
"value": "Relecloud provides managed services to its customers"
},
"managedByTenantId": {
"value": "00000000-0000-0000-0000-000000000000"
},
"managedByAuthorizations": {
"value": [
{
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"principalIdDisplayName": "Tier 1 Support",
"roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
},
{
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"principalIdDisplayName": "Automation Account - Full access",
"roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"delegatedRoleDefinitionIds": [
"b24988ac-6180-42a0-ab88-20f7382dd24c",
"92aaf0da-9dab-42b6-94a3-d43ce8d16293",
"91c1777a-f3dc-4fae-b103-61d183457e46"
]
}
]
}
}
}
Przypisywanie zasad do grupy zarządzania
Po zmodyfikowaniu zasad w celu utworzenia przypisań można przypisać je na poziomie grupy zarządzania. Aby dowiedzieć się, jak przypisać zasady i wyświetlić wyniki stanu zgodności, zobacz Szybki start: tworzenie przypisania zasad.
Poniższy skrypt programu PowerShell pokazuje, jak dodać definicję zasad w określonej grupie zarządzania przy użyciu utworzonego szablonu i pliku parametrów. Musisz utworzyć zadanie przypisania i korygowania dla istniejących subskrypcji.
New-AzManagementGroupDeployment -Name <DeploymentName> -Location <location> -ManagementGroupId <ManagementGroupName> -TemplateFile <path to file> -TemplateParameterFile <path to parameter file> -verbose
Potwierdzanie pomyślnego dołączenia
Istnieje kilka sposobów sprawdzenia, czy subskrypcje w grupie zarządzania zostały pomyślnie dołączone. Aby uzyskać więcej informacji, zobacz Potwierdzanie pomyślnego dołączenia.
Jeśli aplikacja logiki i zasady będą aktywne dla grupy zarządzania, wszystkie nowe subskrypcje dodane do grupy zarządzania również zostaną dołączone.
Następne kroki
- Dowiedz się więcej o dołączaniu klientów do usługi Azure Lighthouse.
- Dowiedz się więcej o usłudze Azure Policy.
- Dowiedz się więcej o usłudze Azure Logic Apps.