دمج جميع الاشتراكات في مجموعة إدارة

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

يسمح Azure Lighthouse بتفويض الاشتراكات و/أو مجموعات الموارد، ولكن ليس مجموعات الإدارة. ومع ذلك، يمكنك نشر نهج Azure لتفويض كافة الاشتراكات داخل مجموعة إدارة إلى مستأجر إدارة Azure Lighthouse.

يستخدم النهج تأثير deployIfNotExists للتحقق مما إذا كان قد تم تفويض كل اشتراك داخل مجموعة الإدارة إلى المستأجر الإداري المحدد. إذا لم يكن الاشتراك مفوضا بالفعل، فسيقوم النهج بإنشاء تعيين Azure Lighthouse استنادا إلى القيم التي توفرها في المعلمات. ستتمكن بعد ذلك من الوصول إلى جميع الاشتراكات في مجموعة الإدارة ، تماما كما لو كان كل منها قد تم إعداده يدويا.

عند استخدام هذه السياسة، ضع في اعتبارك ما يلي:

• سيكون لكل اشتراك داخل مجموعة الإدارة نفس مجموعة التفويضات. لتغيير المستخدمين والأدوار التي يتم منحها حق الوصول، سيتعين عليك إعداد اشتراك يدويا.
• على الرغم من أن كل اشتراك في مجموعة الإدارة سيتم إعداده، إلا أنه لا يمكنك اتخاذ إجراءات بشأن مورد مجموعة الإدارة من خلال Azure Lighthouse. ستحتاج إلى تحديد الاشتراكات للعمل عليها ، تماما كما لو كنت على متن الطائرة بشكل فردي.

ما لم يتم تحديده أدناه، يجب تنفيذ جميع هذه الخطوات بواسطة مستخدم في مستأجر العميل مع الأذونات المناسبة.

تلميح

على الرغم من أننا نشير إلى مزودي الخدمات والعملاء في هذا الموضوع ، إلا أن الشركات التي تدير مستأجرين متعددين يمكنها استخدام نفس العمليات.

تسجيل موفر الموارد عبر الاشتراكات

عادة ما يتم تسجيل موفر موارد Microsoft.ManagedServices للحصول على اشتراك كجزء من عملية الإعداد. عند استخدام النهج لدمج الاشتراكات في مجموعة إدارة، يجب تسجيل موفر الموارد مسبقا. يمكن القيام بذلك بواسطة مستخدم مساهم أو مالك في مستأجر العميل (أو أي مستخدم لديه أذونات للقيام بالعملية /register/action لموفر الموارد). لمزيد من المعلومات، راجع موفري موارد Azure وأنواعها.

يمكنك استخدام تطبيق Azure Logic لتسجيل موفر الموارد تلقائيا عبر الاشتراكات. يمكن نشر تطبيق Logic هذا في مستأجر العميل بأذونات محدودة تسمح له بتسجيل موفر الموارد في كل اشتراك داخل مجموعة إدارة.

كما نوفر تطبيق Azure Logic الذي يمكن نشره في مستأجر موفر الخدمة. يمكن لتطبيق Logic هذا تعيين موفر الموارد عبر الاشتراكات في مستأجرين متعددين عن طريق منح موافقة المسؤول على مستوى المستأجر على تطبيق Logic App. يتطلب منك منح موافقة المشرف على نطاق المستأجر تسجيل الدخول كمستخدم مخول بالموافقة نيابة عن المؤسسة. لاحظ أنه حتى إذا كنت تستخدم هذا الخيار لتسجيل الموفر عبر مستأجرين متعددين، فلا يزال يتعين نشر السياسة بشكل فردي لكل مجموعة إدارة.

إنشاء ملف المعلمات الخاص بك

لتعيين النهج، يمكنك نشر ملف deployhouseIfNotExistManagementGroup.json من نموذج الريبو الخاص بنا، إلى جانب ملف معلمات deployLighthouseIfNotExistsManagementGroup.parameters.json الذي تقوم بتحريره باستخدام تفاصيل المستأجر والتعيين المحددة الخاصة بك. يحتوي هذان الملفان على نفس التفاصيل التي سيتم استخدامها لتضمين اشتراك فردي.

يوضح المثال أدناه ملف معلمات يفوض الاشتراكات إلى مستأجر Relecloud Managed Services، مع منح حق الوصول إلى معرفين رئيسيين: أحدهما لدعم المستوى 1، وحساب أتمتة واحد يمكنه تعيين المفوضRoleDefinitionIds إلى هويات مدارة في مستأجر العميل.

{ 
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#", 
    "contentVersion": "1.0.0.0", 
    "parameters": { 
        "managedByName": { 
            "value": "Relecloud Managed Services" 
        }, 
        "managedByDescription": { 
            "value": "Relecloud provides managed services to its customers" 
        }, 
        "managedByTenantId": { 
            "value": "00000000-0000-0000-0000-000000000000" 
        }, 
        "managedByAuthorizations": { 
            "value": [ 
                { 
                    "principalId": "00000000-0000-0000-0000-000000000000", 
                    "principalIdDisplayName": "Tier 1 Support", 
                    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c" 
                }, 
                { 
                    "principalId": "00000000-0000-0000-0000-000000000000", 
                    "principalIdDisplayName": "Automation Account - Full access", 
                    "roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9", 
                    "delegatedRoleDefinitionIds": [ 
                        "b24988ac-6180-42a0-ab88-20f7382dd24c", 
                        "92aaf0da-9dab-42b6-94a3-d43ce8d16293", 
                        "91c1777a-f3dc-4fae-b103-61d183457e46" 
                    ] 
                }                 
            ] 
        } 
    } 
} 

تعيين النهج إلى مجموعة إدارة

بمجرد تحرير النهج لإنشاء مهامك، يمكنك تعيينه على مستوى مجموعة الإدارة. للحصول على معلومات حول كيفية تعيين نهج وعرض نتائج حالة التوافق، راجع التشغيل السريع: إنشاء تعيين نهج.

يوضح البرنامج النصي PowerShell أدناه كيفية إضافة تعريف النهج ضمن مجموعة الإدارة المحددة، باستخدام القالب وملف المعلمة الذي قمت بإنشائه. تحتاج إلى إنشاء مهمة التعيين والمعالجة للاشتراكات الموجودة.

New-AzManagementGroupDeployment -Name <DeploymentName> -Location <location> -ManagementGroupId <ManagementGroupName> -TemplateFile <path to file> -TemplateParameterFile <path to parameter file> -verbose

تأكيد الإعداد الناجح

يمكنك التأكد من أن الاشتراكات قد تم إعدادها بنجاح بعدة طرق. لمزيد من المعلومات، راجع تأكيد الإعداد الناجح.

إذا أبقت تطبيق Logic والسياسة نشطين لمجموعة الإدارة، أيضا إعداد أي اشتراكات جديدة تتم إضافتها إلى مجموعة الإدارة.

الخطوات التالية

• تعرف على المزيد حول إعداد العملاء إلى Azure Lighthouse.
• تعرف على سياسة Azure.
• تعرف على تطبيقات Azure المنطقية.