تهيئة عميل لخدمة Azure Lighthouse
توضح المقالة كيف يمكنك، كموفر خدمة، تهيئة عميل لخدمة Azure Lighthouse. عند القيام بذلك، يمكن إدارة الموارد المفوضة (الاشتراكات و/أو مجموعات الموارد) في مستأجر Microsoft Entra للعميل من قبل المستخدمين في المستأجر الخاص بك من خلال إدارة الموارد المفوضة من Azure.
تلميح
على الرغم من أننا نشير إلى موفري الخدمات والعملاء في هذا الموضوع، يمكن للشركات التي تدير العديد من المستأجرين استخدام نفس العملية لإنشاء Azure Lighthouse وتعزيز تجربتها الإدارية.
يمكنك التكرار لعملية التهيئة للعديد من العملاء. عندما يقوم المستخدم الذي لديه الأذونات المناسبة بتسجيل الدخول إلى المستأجر الإداري الخاص بك، يُفوض المستخدم بتنفيذ عمليات الإدارة عبر نطاقات إيجار العملاء، دون الحاجة إلى تسجيل الدخول إلى كل مستأجر عميل فردي.
إشعار
يمكن تهيئة العملاء بالتناوب لخدمة Azure Lighthouse عند شراء عرض خدمة مُدارة (عامة أو خاصة) تنشره على Azure Marketplace. يمكنك أيضاً استخدام عملية التهيئة الموضحة هنا بالتزامن مع العروض المنشورة على Azure Marketplace.
تتطلب عملية التهيئة اتخاذ الإجراءات من داخل كل من مستأجر موفر الخدمة ومن مستأجر العميل. توصف كل الخطوات في هذه المقالة.
تجميع التفاصيل الخاصة بالمستأجر والاشتراك
لتهيئة مستأجر العميل، يجب أن يكون لديه اشتراك Azure نشط. عند إنشاء قالب يدوياً، ستحتاج إلى معرفة ما يلي:
- معرّف المستأجر لمستأجر موفر الخدمة (حيث ستقوم بإدارة موارد العميل).
- معرّف المستأجر لمستأجر العميل (الذي سيكون لديه موارد يديرها موفر الخدمة).
- معرّفات الاشتراك لكل اشتراك محددة في مستأجر العميل الذي سيديره موفر الخدمة (أو الذي يحتوي على مجموعة (مجموعات) الموارد التي سيديرها موفر الخدمة).
إذا كنت لا تعرف معرّف المستأجر، يمكنك استرداده باستخدام مدخل Microsoft Azure أو Azure PowerShell أو Azure CLI.
إذا قمت بإنشاء القالب الخاص بك في مدخل Microsoft Azure، يتم توفير معرّف المستأجر تلقائياً. ليس عليك معرفة التفاصيل الخاصة بالمستأجر أو الاشتراك للعميل من أجل إنشاء القالب الخاص بك في مدخل Microsoft Azure. ومع ذلك، إذا كنت تخطط لتهيئة مجموعة موارد واحدة أو أكثر في مستأجر العميل (بدلا من الاشتراك بأكمله)، فستحتاج إلى معرفة أسماء كل مجموعة موارد.
تحديد الأدوار والأذونات
كموفر خدمة، قد تحتاج إلى تنفيذ مهام متعددة لعميل واحد، ما يتطلب وصولاً مختلفاً لنطاقات مختلفة. يمكنك تحديد العديد من التخويلات التي تحتاجها من أجل تعيين الأدوار المضمنة المناسبة في Azure. يتضمن principalId كل تخويل الذي يشير إلى مستخدم Microsoft Entra أو مجموعة أو كيان خدمة في المستأجر الإداري.
إشعار
يمكن تطبيق الإشارات إلى "مستخدم" في وثائق Azure Lighthouse على مستخدم Microsoft Entra أو مجموعة أو كيان خدمة في تخويل ما ما لم يتم تحديده صراحة.
لتعريف التخويلات في القالب الخاص بك، يجب تضمين قيم المعرّف لكل مستخدم أو مجموعة مستخدمين أو كيان خدمة في المستأجر الإداري الذي تريد منح حق الوصول إليه. سوف تحتاج أيضاً إلى تضمين معرّف تعريف الدور لكل دور مضمن تريد تعيينه. عند إنشاء القالب الخاص بك في مدخل Microsoft Azure، يمكنك تحديد حساب المستخدم ودوره، وستتم إضافة قيم المعرّف تلقائياً. إذا كنت تقوم بإنشاء قالب يدوي، يمكنك استرداد المعرّفات الخاصة بالمستخدم باستخدام مدخل Microsoft Azure أو Azure PowerShell أو Azure CLI من داخل المستأجر الإداري.
تلميح
نوصي بتعيين دور حذف تعيين تسجيل الخدمات المُدارة عند تهيئة العميل، بحيث يمكن للمستخدمين في المستأجر إزالة الوصول إلى التفويض لاحقاً إذا لزم الأمر. في حال عدم تعيين هذا الدور، فلا يمكن إزالة الموارد المفوضة إلا من قِبل مستخدم في مستأجر العميل.
كلما أمكن، نوصي باستخدام مجموعات مستخدمي Microsoft Entra لكل تعيين كلما أمكن ذلك، بدلا من المستخدمين الفرديين. يمنحك المرونة لإضافة مستخدمين فرديين أو إزالتهم إلى المجموعة التي لديها حق الوصول، حتى لا تضطر إلى تكرار عملية التهيئة لإجراء التغييرات على المستخدم. يمكنك تعيين أدوار إلى كيان خدمة أيضاً، والتي يمكن أن تكون مفيدة لسيناريوهات التنفيذ التلقائي.
هام
لإضافة أذونات لمجموعة Microsoft Entra، يجب تعيين نوع المجموعة إلى الأمان. يتم تحديد هذا الخيار عند إنشاء المجموعة. لمزيد من المعلومات، راجع إنشاء مجموعة أساسية وإضافة أعضاء باستخدام معرف Microsoft Entra.
عند تحديد التفويضات الخاصة بك، تأكد من اتباع مبدأ الامتياز الأقل بحيث يكون لدى المستخدمين الأذونات اللازمة لإكمال عملهم فقط. للحصول على معلومات حول الأدوار المدعومة وأفضل الممارسات، اطلع على المستأجرين والمستخدمين والأدوار في سيناريوهات خدمة Azure Lighthouse.
تلميح
يمكنك أيضاً إنشاء التخويلات المؤهلة التي تسمح للمستخدمين في المستأجر الإداري برفع دورهم مؤقتاً. تحتوي هذه الميزة على متطلبات ترخيص محددة. لمزيد من المعلومات، راجع إنشاء تراخيص مؤهلة.
لتعقب تأثيرك عبر تفاعلات العملاء وتلقي التعرف، قم بإقران معرف برنامج شركاء Microsoft Cloud بحساب مستخدم واحد على الأقل لديه حق الوصول إلى كل اشتراك من اشتراكاتك المإلحاقة. ستحتاج إلى تنفيذ هذا الربط في مستأجر موفر الخدمة. نوصي بإنشاء حساب كيان الخدمة في المستأجر الخاص بك المرتبط بمعرف شريكك، ثم تضمين كيان الخدمة هذا في كل مرة تقوم فيها بإلحاق عميل. لمزيد من المعلومات، راجع ربط معرف شريك.
إنشاء قالب Azure Resource Manager
لإعداد العميل الخاص بك، ستحتاج إلى إنشاء قالب Azure Resource Manager لعرضك بالمعلومات التالية. ستكون القيم mspOfferName وmspOfferDescription ظاهرة للعميل في صفحة موفري الخدمة في مدخل Microsoft Azure بمجرد توزيع القالب في مستأجر العميل.
| الحقل | التعريف |
|---|---|
mspOfferName |
اسم يصف هذا التعريف. تُعرض القيمة الخاصة بالعميل كعنوان العرض ويجب أن تكون قيمة مميزة. |
mspOfferDescription |
وصف مختصر لعرضك (على سبيل المثال، "عرض إدارة جهاز Contoso الظاهري"). الحقل اختياري، ولكن يوصى به بحيث يفهم العملاء عرضك بكل وضوح. |
managedByTenantId |
معرّف المستأجر الخاص بك. |
authorizations |
قيم principalId للمستخدمين/المجموعات/أسماء الخدمات الأساسية من المستأجر الخاص بك، ولكل منها principalIdDisplayName لمساعدة العميل على فهم الغرض من التخويل، وتعيينها إلى قيمة roleDefinitionId مضمنة لتحديد مستوى الوصول. |
يمكنك إنشاء القالب في مدخل Microsoft Azure، أو عن طريق تعديل القوالب المتوفرة في مستودع العينات يدوياً.
هام
تتطلب العملية الموضحة هنا توزيعاً منفصلاً لكل اشتراك يتم تهيئته، حتى إذا كنت تقوم بتهيئة اشتراكات في نفس مستأجر العميل. يلزم عمليات توزيع منفصلة أيضاً إذا كنت تقوم بتهيئة مجموعات موارد متعددة ضمن اشتراكات مختلفة في نفس المستأجر العميل. ولكن يمكن تهيئة مجموعات موارد متعددة ضمن اشتراك واحد في عملية توزيع واحدة.
كما يلزم إجراء عمليات توزيع منفصلة لعروض متعددة يتم تطبيقها على نفس الاشتراك (أو مجموعات الموارد داخل الاشتراك). يستخدم كل عرض مطبق mspOfferName مختلفاً.
أنشئ القالب الخاص بك في مدخل Microsoft Azure
لإنشاء القالب في مدخل Microsoft Azure، انتقل إلى My customers ثم حدد Create ARM Template من صفحة نظرة عامة.
في صفحة Create ARM Template offer، قدم اسمو وصفاختياري. سيتم استخدام هذه القيم لـ mspOfferName وmspOfferDescription في القالب الخاص بك، وقد تكون ظاهرة لعميلك. managedByTenantId سيتم توفير القيمة تلقائيا، استنادا إلى مستأجر Microsoft Entra الذي قمت بتسجيل الدخول إليه.
بعد ذلك، حدد إما Subscription أو Resource group، حسب النطاق الخاص بالعميل الذي تريد تهيئته. إذا حددت Resource group، فستحتاج إلى توفير اسم مجموعة الموارد لإجراء عملية التهيئة. يمكنك تحديد الرمز + لإضافة مجموعات موارد إضافية في نفس الاشتراك إذا لزم الأمر. (لتهيئة مجموعات موارد إضافية في اشتراك مختلف، يجب عليك إنشاء القالب المنفصل لهذا الاشتراك وتوزيعه.)
وأخيراً، أنشئ عمليات التخويل الخاصة بك عن طريق تحديد + Add authorization. بالنسبة إلى كل أذن من الأذونات الخاصة بك، قم بتقديم التفاصيل التالية:
- حدد Principal type حسب نوع الحساب الذي تريد تضمينه في التخويل. يمكن أن يكون هذا إما User، أو Group أو Service principal. في هذا المثال، سنختار User.
- حدد الارتباط + Select user لفتح جزء التحديد. يمكنك استخدام حقل البحث للعثور على المستخدم الذي تريد إضافته. بمجرد الانتهاء من ذلك، انقر فوق Select. سيتم ملء Principal ID تلقائياً.
- راجع الحقل Display name (تم ملؤه حسب المستخدم الذي حددته) وقم بإجراء تغييرات، إذا رغبت في ذلك.
- حدد Role المراد تعيينه لهذا المستخدم.
- بالنسبة إلى نوع Access، حدد Permanent أو Eligible. إذا اخترت Eligible، فستحتاج إلى تحديد خيارات للمدة القصوى والمصادقة متعددة العوامل وما إذا كانت الموافقة مطلوبة أم لا. لمزيد من المعلومات حول هذه الخيارات، راجع إنشاء التخويلات المؤهلة. لا يمكن استخدام ميزة التخويلات المؤهلة مع كيانات الخدمة.
- حدد Add لإنشاء التخويل الخاص بك.
بعد تحديد Add، ستعود إلى شاشة Create ARM Template offer. يمكنك تحديد + Add authorization مرة أخرى لإضافة العديد من التخويلات حسب الحاجة.
عند إضافة جميع عمليات التخويل، حدد View template. سيظهر لك على هذه الشاشة ملف .json يتوافق مع القيم التي قمت بإدخالها. حدد Download لحفظ نسخة من ملف .json هذا. يمكن بعد ذلك توزيع هذا القالب في مستأجر العميل. يمكنك أيضاً تحريره يدوياً في حال كنت بحاجة إلى إجراء أي تغييرات.
هام
لا يتم تخزين ملف القالب الذي تم إنشاؤه في مدخل Microsoft Azure. تأكد من تنزيل النسخة قبل مغادرة شاشة Show template.
إنشاء القالب الخاص بك يدوياً
يمكنك إنشاء القالب الخاص بك باستخدام قالب Azure Resource Manager (المتوفر في مستودع العينات) وملف معلمة مطابق تقوم بتعديله لمطابقة التكوين الخاص بك وتحديد عمليات التخويل الخاصة بك. في حالة كنت تفضل ذلك، يمكنك تضمين جميع المعلومات مباشرةً في القالب، بدلاً من استخدام ملف معلمة منفصل.
سيعتمد القالب الذي تختاره على ما إذا كنت تقوم بتهيئة اشتراك كامل أو مجموعة موارد أو مجموعات موارد متعددة ضمن اشتراك. كما نقدم قالب يمكن استخدامه للعملاء الذين اشتروا عرض خدمة مُدارة قمت بنشره على Azure Marketplace، وذلك في حالة كنت تفضل تهيئة اشتراكهم (اشتراكاتهم) بهذه الطريقة.
| لإجراء عملية تهيئة لـ | استخدم قالب Azure Resource Manager هذا | ثم قم بتعديل ملف المعلمة هذا |
|---|---|---|
| الوصف | subscription.json | subscription.parameters.json |
| مجموعة الموارد | rg.json | rg.parameters.json |
| مجموعات موارد متعددة ضمن اشتراك | multi-rg.json | multiple-rg.parameters.json |
| الاشتراك (عند استعمال عرض منشور على Azure Marketplace) | marketplaceDelegatedResourceManagement.json | marketplaceDelegatedResourceManagement.parameters.json |
إذا كنت ترغب في تضمين التخويلات المؤهلة، فحدد القالب المقابل من قسم delegated-resource-management-eligible-authorizations في مستودع العينات لدينا.
تلميح
لا يمكنك تهيئة مجموعة إدارة بأكملها في عملية توزيع واحدة، إلا أنه يمكنك توزيع نهج بخصوص تهيئة كل اشتراك في مجموعة إدارة. سيكون لديك بعد ذلك حق الوصول إلى جميع الاشتراكات في مجموعة الإدارة، رغم أنه سيتعين عليك العمل عليها كاشتراكات فردية (بدلاً من اتخاذ إجراءات على مورد مجموعة الإدارة مباشرةً).
يوضح المثال التالي ملف subscription.parameters.json المعدّل الذي يمكن استخدامه لتهيئة اشتراك. تحتوي ملفات معلمات مجموعة الموارد (الموجودة في المجلد rg-delegated-resource-management) على تنسيق مماثل، ولكنها تحتوي أيضاً على معلمة rgName لتحديد مجموعة (مجموعات) موارد معينة ليتم تهيئتها.
{
"$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mspOfferName": {
"value": "Fabrikam Managed Services - Interstellar"
},
"mspOfferDescription": {
"value": "Fabrikam Managed Services - Interstellar"
},
"managedByTenantId": {
"value": "00000000-0000-0000-0000-000000000000"
},
"authorizations": {
"value": [
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Tier 1 Support",
"roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
},
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Tier 1 Support",
"roleDefinitionId": "36243c78-bf99-498c-9df9-86d9f8d28608"
},
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Tier 2 Support",
"roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7"
},
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Service Automation Account",
"roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
},
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Policy Automation Account",
"roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"delegatedRoleDefinitionIds": [
"b24988ac-6180-42a0-ab88-20f7382dd24c",
"92aaf0da-9dab-42b6-94a3-d43ce8d16293"
]
}
]
}
}
}
يضيف التخويل الأخير في المثال أعلاه principalId به دور المسؤول لوصول المستخدم (18d7d88d-d35e-4fb5-a5c3-7773c20a72d9). عند تعيين هذا الدور، ينبغي عليك تضمين الخاصية delegatedRoleDefinitionIds ودور واحد أو أكثر من الأدوار المضمنة في Azure المدعومة. سيتمكن المستخدم الذي تم إنشاؤه في هذا التخويل من تعيين هذه الأدوار للهويات المُدارة في مستأجر العميل، وهي خطوة مطلوبة من أجل توزيع النُهج التي يمكن معالجتها. يمكن للمستخدم أيضاً إنشاء حوادث الدعم. لن يتم تطبيق أي أذونات أخرى مقترنة عادةً بدور المسؤول لوصول المستخدم على قيمة principalId هذه.
توزيع قالب Azure Resource Manager
بمجرد إنشاء القالب الخاص بك، ينبغي على المستخدم في مستأجر العميل توزيعه داخل المستأجر الخاص به. يلزم إجراء توزيع منفصل لكل اشتراك تريد تهيئته (أو لكل اشتراك يحتوي على مجموعات الموارد التي تريد تهيئتها).
عند تهيئة اشتراك (أو مجموعة موارد واحدة أو أكثر ضمن اشتراك) باستخدام العملية الموضحة هنا، سيتم تسجيل موفر الموارد Microsoft.ManagedServices لهذا الاشتراك.
هام
ينبغي أن يتم هذا التوزيع بواسطة حساب غير ضيف في مستأجر العميل الذي لديه دور لديه إذن Microsoft.Authorization/roleAssignments/write، مثل Owner، للاشتراك الذي يتم تهيئته (أو الذي يحتوي على مجموعات الموارد التي يتم تهيئتها). للعثور على المستخدمين الذين يمكنهم تفويض الاشتراك، يمكن للمستخدم في مستأجر العميل تحديد الاشتراك في مدخل Microsoft Azure، وفتح التحكم في الوصول (IAM)، وعرض كافة المستخدمين الذين لديهم دور المالك.
في حالة تم إنشاء الاشتراك من خلال برنامج موفر حلول الحوسبة السحابية (CSP)، يمكن لأي مستخدم لديه دور Admin Agent في مستأجر موفر الخدمة إجراء التوزيع.
ربما يتم التوزيع باستخدام PowerShell، أو باستخدام Azure CLI، أو في مدخل Microsoft Azure، كما هو موضح أدناه.
التوزيع باستخدام PowerShell
لتوزيع قالب واحد:
# Log in first with Connect-AzAccount if you're not using Cloud Shell
# Deploy Azure Resource Manager template using template and parameter file locally
New-AzSubscriptionDeployment -Name <deploymentName> `
-Location <AzureRegion> `
-TemplateFile <pathToTemplateFile> `
-Verbose
# Deploy Azure Resource Manager template that is located externally
New-AzSubscriptionDeployment -Name <deploymentName> `
-Location <AzureRegion> `
-TemplateUri <templateUri> `
-Verbose
لتوزيع قالب مع ملف معلمة منفصل:
# Log in first with Connect-AzAccount if you're not using Cloud Shell
# Deploy Azure Resource Manager template using template and parameter file locally
New-AzSubscriptionDeployment -Name <deploymentName> `
-Location <AzureRegion> `
-TemplateFile <pathToTemplateFile> `
-TemplateParameterFile <pathToParameterFile> `
-Verbose
# Deploy Azure Resource Manager template that is located externally
New-AzSubscriptionDeployment -Name <deploymentName> `
-Location <AzureRegion> `
-TemplateUri <templateUri> `
-TemplateParameterUri <parameterUri> `
-Verbose
توزيع باستخدام Azure CLI
لتوزيع قالب واحد:
# Log in first with az login if you're not using Cloud Shell
# Deploy Azure Resource Manager template using template and parameter file locally
az deployment sub create --name <deploymentName> \
--location <AzureRegion> \
--template-file <pathToTemplateFile> \
--verbose
# Deploy external Azure Resource Manager template, with local parameter file
az deployment sub create --name <deploymentName> \
--location <AzureRegion> \
--template-uri <templateUri> \
--verbose
لتوزيع قالب مع ملف معلمة منفصل:
# Log in first with az login if you're not using Cloud Shell
# Deploy Azure Resource Manager template using template and parameter file locally
az deployment sub create --name <deploymentName> \
--location <AzureRegion> \
--template-file <pathToTemplateFile> \
--parameters <parameters/parameterFile> \
--verbose
# Deploy external Azure Resource Manager template, with local parameter file
az deployment sub create --name <deploymentName> \
--location <AzureRegion> \
--template-uri <templateUri> \
--parameters <parameterFile> \
--verbose
التوزيع في مدخل Microsoft Azure
لتوزيع قالب في مدخل Microsoft Azure، اتبع العملية الموضحة أدناه. ينبغي تنفيذ هذه الخطوات من قِبل مستخدم في مستأجر العميل لديه دور Owner (أو دور آخر لديه إذن Microsoft.Authorization/roleAssignments/write).
من صفحة Service providers في مدخل Microsoft Azure، حدد Server provider offers.
بالقرب من أعلى الشاشة، حدد السهم الموجود بجانب Add offer، ثم حدد Add via template.
قم بتحميل القالب عن طريق سحبه وإفلاته، أو حدد Browse for files للبحث عن القالب وتحميله.
في حالة كان ذلك ممكناً، فحدد المربع I have a separate parameter file، ثم قم بتحميل ملف المعلمة الخاص بك.
بعد تحميل القالب (وملف المعلمة إذا لزم الأمر)، حدد Upload.
في شاشة Custom deployment، راجع التفاصيل المعروضة. يمكنك إجراء تغييرات على هذه القيم في هذه الشاشة، أو عن طريق تحديد Edit parameters، إذا لزم الأمر.
حدد Review and create، ثم حدد Create.
بعد بضع دقائق، من المفترض أن يظهر لك إعلاماً باكتمال التوزيع.
تلميح
بدلاً من ذلك، من GitHub repo، حدد الزر Deploy to Azure المعروض بجوار القالب الذي تريد استعماله (في عمود Auto-deploy). سيفتح النموذج في مدخل Microsoft Azure. في حالة كنت تستخدم هذه العملية، يجب تحديث القيم لـ اسم عرض Msp، ووصف عرض Msp، و والمُدار بواسطة معرّف المستأجر، ووعمليات التخويل قبل تحديد Review and create.
تأكيد عملية الإلحاق الناجحة
عندما يتم إلحاق اشتراك عميل بنجاح في Azure Lighthouse، سيتمكن المستخدمون في مستأجر موفر الخدمة من رؤية الاشتراك وموارده (إذا تم منحهم حق الوصول إليه من خلال العملية أعلاه، إما بشكل فردي أو كعضو في مجموعة Microsoft Entra مع الأذونات المناسبة). لتأكيد ذلك، قم بالفحص للتأكد من ظهور الاشتراك بإحدى الطرق التالية.
التأكيد في مدخل Microsoft Azure
في مستأجر موفر خدمة:
- انتقل إلى صفحة «My customers».
- حدد العملاء.
- تأكد من أنه يمكنك الاطلاع على الاشتراك (الاشتراكات) مع اسم العرض الذي قدمته في قالب Resource Manager.
هام
للاطلاع على الاشتراك المفوّض في My customers، ينبغي أن يكون المستخدمون في مستأجر موفر الخدمة قد تم منحهم دور Reader (أو دور مضمن آخر لديه حق وصول «Reader») عند إعداد الاشتراك.
في مستأجر العميل:
- انتقل إلى صفحة «Service providers».
- حدد عروض موفر الخدمة.
- تأكد من أنه يمكنك الاطلاع على الاشتراك (الاشتراكات) مع اسم العرض الذي قدمته في قالب Resource Manager.
إشعار
قد يستغرق الأمر ما يصل إلى 15 دقيقة بعد اكتمال التوزيع قبل أن تنعكس التحديثات في مدخل Microsoft Azure. قد تتمكن من الاطلاع على التحديثات في وقت أقرب إذا قمت بتحديث رمز Azure Resource Manager المميز الخاص بك عن طريق تحديث المتصفح أو تسجيل الدخول والخروج أو طلب رمز مميز جديد.
التأكيد باستخدام PowerShell
# Log in first with Connect-AzAccount if you're not using Cloud Shell
Get-AzContext
# Confirm successful onboarding for Azure Lighthouse
Get-AzManagedServicesDefinition
Get-AzManagedServicesAssignment
التأكيد باستخدام Azure CLI
# Log in first with az login if you're not using Cloud Shell
az account list
# Confirm successful onboarding for Azure Lighthouse
az managedservices definition list
az managedservices assignment list
في حالة كنت بحاجة إلى إجراء تغييرات بعد تهيئة العميل، يمكنك تحديث التفويض. يمكنك أيضاً إزالة حق الوصول إلى التفويض بالكامل.
استكشاف الأخطاء وإصلاحها
في حالة لم تتمكن من تهيئة العميل بنجاح، أو في حالة كان المستخدمون لديك يواجهون مشكلة في الوصول إلى الموارد المفّوضة، فقم بفحص التلميحات والمتطلبات التالية وحاول مرة أخرى.
- ينبغي أن يكون قد تم منح المستخدمين الذين يحتاجون إلى عرض موارد العملاء في مدخل Microsoft Azure دور Reader (أو دور مضمن آخر يتضمن لديه حق وصول «Reader») أثناء عملية التهيئة.
- ينبغي ألا تكون القيمة
managedbyTenantIdهي نفس معرّف المستأجر للاشتراك الذي يتم تهيئته. - لا يمكنك الحصول على التعيينات المتعددة في نفس النطاق بنفس
mspOfferName. - ينبغي تسجيل موفر الموارد Microsoft.ManagedServices للاشتراك المفوّض. ينبغي أن يحدث ذلك تلقائياً أثناء التوزيع ولكن إذا لم يكن الأمر كذلك، يمكنك تسجيله يدوياً.
- يجب ألا تتضمن التخويلات أي مستخدمين لديهم دور المالك أو أي أدوار مع DataActions أو أي أدوار تتضمن إجراءات مقيدة.
- ينبغي إنشاء المجموعات بها Group type مضبوطاً على Security وليس Microsoft 365.
- في حالة تم منح حق الوصول إلى مجموعة، فقم بالفحص للتأكد من أن المستخدم عضو في تلك المجموعة. إذا لم تكن كذلك، يمكنك إضافتها إلى المجموعة باستخدام معرف Microsoft Entra، دون الحاجة إلى إجراء توزيع آخر. تجدر الإشارة إلى أن مالكي المجموعات ليسوا بالضرورة أعضاء في المجموعات التي يديرونها، وربما تحتاج إلى إضافتهم حتى يتمكنوا من الوصول إليها.
- ربما يكون هناك تأخير إضافي قبل تمكين حق الوصول لـ المجموعات المتداخلة.
- ينبغي ألا تحتوي الأدوار المضمنة في Azure التي تقوم بتضمينها في عمليات التخويل على أي أدوار متوقفة. في حالة تم إيقاف دور Azure المضمن، فسيفقد أي مستخدم تم تهيئته لهذا الدور حق الوصول، ولن تتمكن من تهيئة التفويضات الإضافية. لإصلاح ذلك، قم بتحديث القالب لاستخدام الأدوار المضمنة المدعومة فقط، ثم قم بإجراء التوزيع الجديد.
الخطوات التالية
- تعرف على التجارب الخاصة بالإدارة عبر المستأجرين.
- عرض العملاء وإدارتهم بالانتقال إلى عملائي في مدخل Microsoft Azure.
- تعرّف على طريقة تحديث تفويض أو إزالته.