تحديث تفويض

  • مقالة
  • قراءة خلال 3 دقائق

بعد إعداد اشتراك (أو مجموعة موارد) في Azure Lighthouse، قد تحتاج إلى إجراء تغييرات. على سبيل المثال، قد يرغب عميلك في تولي مهام إدارة إضافية تتطلب دورا مضمنا مختلفا في Azure، أو قد تحتاج إلى تغيير المستأجر الذي تم تفويض اشتراك العميل إليه.

تلميح

على الرغم من أننا نشير إلى موفري الخدمات والعملاء في هذا الموضوع، يمكن للمؤسسات التي تدير مستأجرين متعددين استخدام نفس العملية لإعداد Azure Lighthouse وتعزيز تجربتهم الإدارية.

إذا قمت بإعداد عميلك من خلال قوالب Azure Resource Manager (قوالب ARM)، فيجب إجراء نشر جديد لهذا العميل. بناء على ما تقوم بتغييره، قد ترغب في تحديث العرض الأصلي، أو إزالة العرض الأصلي وإنشاء عرض جديد.

  • إذا كنت تقوم بتغيير التفويضات فقط: يمكنك تحديث تفويضك عن طريق تغيير قسم التفويضات فقط في قالب ARM.
  • إذا كنت تقوم بتغيير المستأجر الإداري: يجب عليك إنشاء قالب ARM جديد باستخدام mspOfferName مختلف عن عرضك السابق.

تحديث قالب ARM

لتحديث وفدك، ستحتاج إلى نشر قالب ARM يتضمن التغييرات التي ترغب في إجرائها.

إذا كنت تقوم فقط بتحديث التفويضات (مثل إضافة مجموعة مستخدمين جديدة مع دور لم تقم بتضمينه من قبل، أو تغيير الدور لمستخدم حالي)، فيمكنك استخدام mspOfferName نفسه كما هو الحال في قالب ARM الذي استخدمته للتفويض السابق. يمكنك استخدام القالب السابق كنقطة بداية. بعد ذلك، قم بإجراء التغييرات التي تحتاجها، مثل استبدال دور Azure مضمن بدور آخر، أو إضافة تفويض جديد تماما إلى القالب.

إذا قمت بتغيير mspOfferName ، اعتبار هذا عرضا جديدا ومنفصلا. هذا مطلوب إذا كنت تقوم بتغيير المستأجر الإداري.

ليس من الضروري تغيير mspOfferName إذا ظل المستأجر الإداري كما هو. في معظم الحالات، نوصي باستخدام mspOfferName واحد فقط من قبل نفس العميل وإدارة المستأجر. إذا اخترت تغييره على أي حال، فتأكد من إزالة تفويض العميل السابق قبل نشر التفويض الجديد.

إزالة الوفد السابق

قبل إجراء عملية نشر جديدة، قد تحتاج إلى إزالة الوصول إلى التفويض السابق. يضمن ذلك إزالة جميع الأذونات السابقة ، مما يسمح لك بالبدء في التنظيف مع المستخدمين / المجموعات والأدوار الدقيقة التي يجب تطبيقها من الآن فصاعدا.

هام

إذا كنت تستخدم mspOfferName جديدا وتحتفظ بأي من قيم principalId نفسها، فيجب إزالة الوصول إلى التفويض السابق قبل نشر العرض الجديد. إذا لم تقم بإزالة العرض أولا، فقد يفقد المستخدمون الذين سبق لهم منح الإذن حق الوصول تماما بسبب الواجبات المتعارضة.

إذا كنت تقوم بتغيير المستأجر الإداري، فيمكنك ترك العرض السابق في مكانه إذا كنت تريد أن يستمر كلا المستأجرين في الوصول. إذا كنت تريد فقط أن يكون للمستأجر الإداري الجديد حق الوصول، فيجب إزالة العرض السابق. يمكن القيام بذلك إما قبل أو بعد انضمامك إلى العرض الجديد.

إذا كنت تقوم بتحديث العرض لضبط التفويضات فقط، وتحتفظ بنفس mspOfferName، فلن تضطر إلى إزالة التفويض السابق. وسيحل النشر الجديد محل الوفد السابق، ولن تطبق سوى التفويضات الواردة في أحدث نموذج.

Diagram showing when to change mspOfferName and remove a previous delegation.

يمكن إزالة الوصول إلى التفويض بواسطة أي مستخدم في المستأجر الإداري الذي تم منحه دور حذف تعيين تسجيل الخدمات المدارة في التفويض الأصلي. إذا لم يكن لأي مستخدم في مستأجر الإدارة هذا الدور، فيمكنك أن تطلب من العميل إزالة الوصول إلى العرض في مدخل Azure.

تلميح

إذا قمت بإزالة التفويض السابق باتباع الخطوات المذكورة أعلاه، ولا تزال غير قادر على نشر قالب ARM الجديد، فقد تحتاج إلى إزالة تعريف التسجيل تماما. يمكن القيام بذلك من قبل أي مستخدم لديه دور لديه الإذن Microsoft.Authorization/roleAssignments/write ، مثل المالك، في مستأجر العميل.

نشر قالب ARM

يمكن للعميل نشر القالب المحدث بنفس الطريقة التي قام بها سابقا: في مدخل Azure أو باستخدام PowerShell أو باستخدام Azure CLI.

بعد اكتمال النشر، تأكد من نجاحه. ستكون التفويضات المحدثة سارية المفعول بعد ذلك للاشتراك أو مجموعة (مجموعات) الموارد التي فوضها العميل.

تحديث عروض الخدمة المدارة

إذا قمت بإعداد عميلك من خلال عرض خدمة مدارة منشور على Azure Marketplace، وتريد تحديث التفويضات، فيمكنك القيام بذلك عن طريق نشر إصدار جديد من عرضك مع التفويضات التي تريد استخدامها محدثة في الخطة لهذا العميل. سيتمكن العميل بعد ذلك من مراجعة التغييرات في مدخل Azure وقبول الإصدار الجديد.

إذا كنت ترغب في تغيير المستأجر الإداري، فستحتاج إلى إنشاء عرض خدمة مدارة جديد ونشره ليتمكن العميل من قبوله.

هام

كما ذكرنا سابقا ، نوصيك بتجنب استخدام عروض متعددة لنفس العميل وإدارة المستأجر. إذا قمت بنشر عرض جديد لنفس العميل الذي يستخدم نفس المستأجر الإداري، فتأكد من إزالة العرض السابق قبل أن يقبل العميل العرض الأحدث.

الخطوات التالية