Onboarding zákazníků do služby Azure Lighthouse

  • Článek
  • 13 min ke čtení

Tento článek vysvětluje, jak jako poskytovatel služeb můžete zákazníka k Azure Lighthouse. Když to provedete, mohou delegované prostředky (předplatná nebo skupiny prostředků) v tenantovi Azure Active Directory (Azure AD) zákazníka spravovat uživatelé ve vašem tenantovi prostřednictvím delegované správy prostředků Azure.

Tip

I když se v tomto tématu odkazujeme na poskytovatele služeb a zákazníky, podniky spravující více tenantů mohou pomocí stejného procesu nastavit Azure Lighthouse a konsolidovat své prostředí pro správu.

Proces onboardingu můžete opakovat pro více zákazníků. Když se uživatel s příslušnými oprávněními přihlásí k vašemu tenantovi pro správu, může být autorizovaný napříč obory tenantů zákazníků k provádění operací správy, aniž by se museli přihlašovat ke každému tenantovi jednotlivých zákazníků.

Poznámka

Zákazníci dají se do služby Azure Lighthouse při nákupu nabídky spravované služby (veřejné nebo soukromé), kterou publikujete do Azure Marketplace. Můžete také použít zde popsaný proces onboardingu ve spojení s nabídkami publikované na Azure Marketplace.

Proces onboardingu vyžaduje akce, které je potřeba provádět v rámci tenanta poskytovatele služeb i z tenanta zákazníka. Všechny tyto kroky jsou popsány v tomto článku.

Shromáždění podrobností o tenantovi a předplatném

Pokud chcete onboardovat tenanta zákazníka, musí mít aktivní předplatné Azure. Budete potřebovat znát následující informace:

  • ID tenanta poskytovatele služeb (ve kterém budete spravovat prostředky zákazníka). Pokud vytvoříte šablonu v Azure Portal, tato hodnota se zadá automaticky.
  • ID tenanta zákazníka (které bude mít prostředky spravované poskytovatelem služeb).
  • ID předplatných pro každé konkrétní předplatné v tenantovi zákazníka, které bude spravovat poskytovatel služeb (nebo které obsahují skupiny prostředků, které bude spravovat poskytovatel služeb).

Pokud ID tenanta nevíte, můžete ho načíst pomocí rozhraní příkazového řádku Azure Portal, Azure PowerShell nebo Azure CLI.

Definování rolí a oprávnění

Jako poskytovatel služeb můžete chtít provést více úloh pro jednoho zákazníka a vyžadovat jiný přístup pro různé obory. Můžete definovat tolik autorizací, kolik potřebujete, abyste mohli přiřadit odpovídající předdefinované role Azure. Každá autorizace zahrnuje id objektu zabezpečení, které odkazuje na uživatele, skupinu nebo instanční objekt Azure AD ve správě tenanta.

Poznámka

Pokud není výslovně uvedeno, odkazy na "uživatele" v dokumentaci Azure Lighthouse se mohou vztahovat na uživatele, skupinu nebo instanční objekt Azure AD v autorizaci.

Pokud chcete definovat autorizace, musíte znát hodnoty ID pro každého uživatele, skupinu uživatelů nebo instanční objekt ve správě tenanta, kterému chcete udělit přístup. Tato ID můžete načíst pomocí Azure Portal, Azure PowerShell nebo Azure CLI z tenanta pro správu. Budete také potřebovat ID definice role pro každou předdefinovou roli, kterou chcete přiřadit.

Tip

Při onboardingu zákazníka doporučujeme přiřadit roli odstranění přiřazení registrace spravovaných služeb, aby uživatelé ve vašem tenantovi mohli později v případě potřeby odebrat přístup k delegování. Pokud tato role není přiřazená, může delegované prostředky odebrat jenom uživatel v tenantovi zákazníka.

Pokud je to možné, doporučujeme používat skupiny uživatelů Azure AD pro každou roli, a ne pro jednotlivé uživatele. Díky tomu můžete flexibilně přidávat nebo odebírat jednotlivé uživatele ve skupině, která má přístup, abyste při změnách uživatelů postup onboardingu opakovat nemusíte. Můžete také přiřadit role k objektu služby, což může být užitečné pro scénáře automatizace.

Důležité

Pokud chcete přidat oprávnění pro skupinu Azure AD, musí být typ skupiny nastavený na Zabezpečení. Tato možnost se vybere při vytvoření skupiny. Další informace najdete v tématu Vytvoření základní skupiny a přidání členů pomocí Azure Active Directory.

Při definování autorizací se ujistěte, že dodržujete princip co nejmenších oprávnění, aby uživatelé mít pouze oprávnění potřebná k dokončení své práce. Informace o podporovaných rolích a osvědčených postupech najdete v tématu Klienti, uživatelé a role v Azure Lighthouse scénářích.

Pokud chcete sledovat dopad na zapojení zákazníků a získat rozpoznávání, přidružte své ID Microsoft Partner Network (MPN) alespoň k jednomu uživatelskému účtu, který má přístup ke každému z vašich onboardovaných předplatných. Toto přidružení budete muset provést v tenantovi poskytovatele služeb. Doporučujeme ve vašem tenantovi vytvořit účet instančního objektu, který je přidružený k vašemu ID MPN, a pak tento instanční objekt začátete při každém onboardování zákazníka. Další informace najdete v tématu Propojení ID partnera a povolení kreditu získaného partnerem u delegovaných prostředků.

Tip

Můžete také vytvořit oprávněné autorizace, které uživatelům ve vašem tenantovi pro správu dočasně povýší jejich roli. Tato funkce je aktuálně ve verzi Public Preview a má specifické licenční požadavky. Další informace najdete v tématu Vytvoření oprávněných autorizací.

Vytvoření Azure Resource Manager šablony

Pokud chcete připojit zákazníka, je potřeba vytvořit pro danou nabídku šablonu Azure Resource Manageru s následujícími informacemi. Hodnoty mspOfferName a mspOfferDescription se po nasazení šablony v tenantovi zákazníka zobrazí zákazníkovi na stránce Poskytovatelé služeb v Azure Portal.

Pole Definice
mspOfferName Název popisující tuto definici. Tato hodnota se zobrazí zákazníkovi jako název nabídky a musí to být jedinečná hodnota.
mspOfferDescription Stručný popis vaší nabídky (například "Nabídka správy virtuálních počítače Contoso"). Toto pole je volitelné, ale doporučuje se, aby zákazníci jasně pochopili vaši nabídku.
managedByTenantId ID vašeho tenanta.
Povolení Hodnoty principalId pro uživatele/skupiny/hlavní název služby (SPN) z vašeho tenanta, z nichž každý má principalIdDisplayName, aby pomohlo vašemu zákazníkovi porozumět účelu autorizace, a namapované na předdefinovanou hodnotu roleDefinitionId pro určení úrovně přístupu.

Tuto šablonu můžete vytvořit v Azure Portal nebo ruční úpravou šablon, které jsou k dispozici v našem samples repo.

Důležité

Proces popsaný tady vyžaduje samostatné nasazení pro každé onboardované předplatné, a to i v případě, že jste onboarding předplatných ve stejném zákaznickém tenantovi. Samostatná nasazení se také vyžaduje v případě, že v rámci různých předplatných ve stejném zákaznickém tenantovi nasaz používáte více skupin prostředků. Onboarding několika skupin prostředků v rámci jednoho předplatného je však možné provést v jednom nasazení.

Samostatná nasazení se také vyžaduje pro více nabídek, které se uplatňují na stejné předplatné (nebo skupiny prostředků v rámci předplatného). Každá použitá nabídka musí používat jiný mspOfferName.

Vytvořte šablonu v Azure Portal

Pokud chcete šablonu vytvořit v Azure Portal, přejděte na Mí zákazníci a pak na stránce přehledu vyberte Vytvořit šablonu ARM.

Na stránce Vytvořit nabídku šablony ARM zadejte název a volitelný popis. Tyto hodnoty se budou používat pro mspOfferName a mspOfferDescription ve vaší šabloně. Hodnota managedByTenantId se zadá automaticky na základě tenanta Azure AD, ke kterému jste přihlášeni.

Dále vyberte předplatné nebo skupinu prostředků v závislosti na rozsahu zákazníka, kterého chcete onboardovat. Pokud vyberete Skupina prostředků, budete muset zadat název skupiny prostředků, která se má k onboardovat. Výběrem ikony + můžete podle potřeby přidat další skupiny prostředků. (Všechny skupiny prostředků musí být ve stejném zákaznickém předplatném.)

Nakonec vytvořte autorizaci výběrem + Přidat autorizaci. Pro každou z vašich autorizací zadejte následující podrobnosti:

  1. V závislosti na typu účtu, který chcete zahrnout do autorizace, vyberte Typ objektu zabezpečení. Může to být uživatel, skupina nebo objekt služby. V tomto příkladu zvolíme Uživatel.
  2. Výběrem odkazu + Vybrat uživatele otevřete podokno výběru. Pomocí vyhledávacího pole můžete najít uživatele, který chcete přidat. Až to budete dělat, klikněte na Vybrat. Id objektu zabezpečení uživatele se vyplní automaticky.
  3. Zkontrolujte pole Zobrazovaný název (vyplněné podle vybraného uživatele) a v případě potřeby proveďte změny.
  4. Vyberte Roli, kterou chcete tomuto uživateli přiřadit.
  5. Jako Typ přístupu vyberte Trvalé nebo Způsobilé. Pokud zvolíte Možnost, budete muset zadat možnosti pro maximální dobu trvání, vícefaktorové ověřování a to, jestli se vyžaduje schválení. Další informace o těchto možnostech najdete v tématu Vytvoření oprávněných autorizací. Funkce oprávněných autorizací je aktuálně ve verzi Public Preview a nelze ji použít s instančními objekty.
  6. Výběrem možnosti Přidat vytvořte autorizaci.

Snímek obrazovky s částí Přidat autorizaci v Azure Portal

Po výběru možnosti Přidat se vrátíte na obrazovku Vytvořit nabídku šablony ARM. Znovu můžete vybrat + Přidat autorizaci a podle potřeby přidat tolik autorizací.

Po přidání všech autorizací vyberte Zobrazit šablonu. Na této obrazovce uvidíte soubor .json, který odpovídá zadaným hodnotám. Vyberte Stáhnout a uložte kopii tohoto souboru .json. Tuto šablonu pak můžete nasadit v tenantovi zákazníka. Pokud potřebujete provést nějaké změny, můžete ho také upravit ručně. Všimněte si, že soubor není uložený v Azure Portal.

Vytvořit šablonu ručně

Šablonu můžete vytvořit pomocí šablony Azure Resource Manager (poskytované v úložišti ukázek) a odpovídajícího souboru parametrů, který upravíte tak, aby odpovídal vaší konfiguraci a definovali vaše autorizace. Pokud budete chtít, můžete zahrnout všechny informace přímo v šabloně, místo použití samostatného souboru parametrů.

Šablona, kterou zvolíte, bude záviset na tom, jestli se chystáte registrovat celé předplatné, skupinu prostředků nebo víc skupin prostředků v rámci předplatného. Poskytujeme také šablonu, která se dá použít pro zákazníky, kteří si zakoupili nabídku spravované služby, kterou jste publikovali na Azure Marketplace, pokud upřednostňujete jejich odběry tímto způsobem.

K zaregistrování Použít tuto šablonu Azure Resource Manager A upravit tento soubor parametrů
Předplatné předplatné. JSON Subscription. Parameters. JSON
Skupina prostředků RG. JSON RG. Parameters. JSON
Více skupin prostředků v předplatném Multi-RG. JSON Multiple-RG. Parameters. JSON
Předplatné (při použití nabídky publikované do Azure Marketplace) marketplaceDelegatedResourceManagement. JSON marketplaceDelegatedResourceManagement. Parameters. JSON

Pokud chcete zahrnout opravňující autorizaci (aktuálně ve verzi Public Preview), vyberte odpovídající šablonu v části delegovaný-Resource-Management-způsobilo-authorizationes v našem úložišti ukázek.

Tip

I když nemůžete připojit celou skupinu pro správu v jednom nasazení, můžete nasadit zásadu, která zaregistruje každé předplatné ve skupině pro správu. Pak budete mít přístup ke všem předplatným ve skupině pro správu, i když bude nutné pracovat s jednotlivými předplatnými (místo toho, aby bylo možné provádět akce s prostředkem skupiny pro správu přímo).

Následující příklad ukazuje upravený soubor Subscription. Parameters. JSON , který se dá použít k zaregistrování předplatného. Soubory parametrů skupiny prostředků (nacházející se ve složce RG-delegované pro správu prostředků ) jsou podobné, ale také obsahují parametr RgName pro identifikaci konkrétních skupin prostředků, které se mají připojit.

{
    "$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "value": "Fabrikam Managed Services - Interstellar"
        },
        "mspOfferDescription": {
            "value": "Fabrikam Managed Services - Interstellar"
        },
        "managedByTenantId": {
            "value": "00000000-0000-0000-0000-000000000000"
        },
        "authorizations": {
            "value": [
                {
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "principalIdDisplayName": "Tier 1 Support",
                    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
                },
                {
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "principalIdDisplayName": "Tier 1 Support",
                    "roleDefinitionId": "36243c78-bf99-498c-9df9-86d9f8d28608"
                },
                {
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "principalIdDisplayName": "Tier 2 Support",
                    "roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7"
                },
                {
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "principalIdDisplayName": "Service Automation Account",
                    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
                },
                {
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "principalIdDisplayName": "Policy Automation Account",
                    "roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
                    "delegatedRoleDefinitionIds": [
                        "b24988ac-6180-42a0-ab88-20f7382dd24c",
                        "92aaf0da-9dab-42b6-94a3-d43ce8d16293"
                    ]
                }
            ]
        }
    }
}

Poslední autorizace v předchozím příkladu přidá principalId s rolí správce přístupu uživatele (18d7d88d-d35e-4fb5-a5c3-7773c20a72d9). Při přiřazování této role musíte zahrnout vlastnost delegatedRoleDefinitionIds a jednu nebo více podporovaných integrovaných rolí Azure. Uživatel vytvořený v této autorizaci bude moci přiřadit tyto role ke spravovaným identitám v tenantovi zákazníka, který je potřeba k nasazení zásad, které se dají opravit. Uživatel také může vytvořit incidenty podpory. Pro tento principalId se nebudou vztahovat žádná jiná oprávnění, která se běžně nevztahují k roli správce přístupu uživatelů.

Nasazení šablony Azure Resource Manager

Po vytvoření šablony ji uživatel v tenantovi zákazníka musí nasadit v rámci svého tenanta. Pro každé předplatné, které chcete připojit, je potřeba samostatné nasazení (nebo pro každé předplatné, které obsahuje skupiny prostředků, které chcete připojit).

Při připojování předplatného (nebo jedné nebo více skupin prostředků v rámci předplatného) pomocí popsaného postupu se poskytovatel prostředků Microsoft. ManagedServices zaregistruje pro toto předplatné.

Důležité

Toto nasazení musí provést účet bez hosta v tenantovi zákazníka, který má roli s Microsoft.Authorization/roleAssignments/write oprávněním, jako je například vlastník, pro odběr přihlášený (nebo který obsahuje skupiny prostředků, které jsou připojené). Pokud chcete najít uživatele, kteří můžou delegovat předplatné, uživatel v tenantovi zákazníka může vybrat předplatné ve Azure Portal, otevřít řízení přístupu (IAM) a Zobrazit všechny uživatele s rolí vlastníka.

pokud bylo předplatné vytvořeno prostřednictvím programu Cloud Solution Provider (CSP), může nasazení provést libovolný uživatel, který má v tenantovi poskytovatele služeb roli agenta správce .

Nasazení se může provádět pomocí prostředí PowerShell, pomocí rozhraní příkazového řádku Azure nebo Azure Portal, jak je znázorněno níže.

PowerShell

Nasazení jedné šablony:

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Deploy Azure Resource Manager template using template and parameter file locally
New-AzSubscriptionDeployment -Name <deploymentName> `
                 -Location <AzureRegion> `
                 -TemplateFile <pathToTemplateFile> `
                 -Verbose

# Deploy Azure Resource Manager template that is located externally
New-AzSubscriptionDeployment -Name <deploymentName> `
                 -Location <AzureRegion> `
                 -TemplateUri <templateUri> `
                 -Verbose

Nasazení šablony pomocí samostatného souboru parametrů:

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Deploy Azure Resource Manager template using template and parameter file locally
New-AzSubscriptionDeployment -Name <deploymentName> `
                 -Location <AzureRegion> `
                 -TemplateFile <pathToTemplateFile> `
                 -TemplateParameterFile <pathToParameterFile> `
                 -Verbose

# Deploy Azure Resource Manager template that is located externally
New-AzSubscriptionDeployment -Name <deploymentName> `
                 -Location <AzureRegion> `
                 -TemplateUri <templateUri> `
                 -TemplateParameterUri <parameterUri> `
                 -Verbose

Azure CLI

Nasazení jedné šablony:

# Log in first with az login if you're not using Cloud Shell

# Deploy Azure Resource Manager template using template and parameter file locally
az deployment sub create --name <deploymentName> \
                         --location <AzureRegion> \
                         --template-file <pathToTemplateFile> \
                         --verbose

# Deploy external Azure Resource Manager template, with local parameter file
az deployment sub create --name <deploymentName> \
                         --location <AzureRegion> \
                         --template-uri <templateUri> \
                         --verbose

Nasazení šablony pomocí samostatného souboru parametrů:

# Log in first with az login if you're not using Cloud Shell

# Deploy Azure Resource Manager template using template and parameter file locally
az deployment sub create --name <deploymentName> \
                         --location <AzureRegion> \
                         --template-file <pathToTemplateFile> \
                         --parameters <parameters/parameterFile> \
                         --verbose

# Deploy external Azure Resource Manager template, with local parameter file
az deployment sub create --name <deploymentName> \
                         --location <AzureRegion> \
                         --template-uri <templateUri> \
                         --parameters <parameterFile> \
                         --verbose

portál Azure

Pomocí této možnosti můžete šablonu upravit přímo v Azure Portal a potom ji nasadit. To je potřeba udělat uživatelem v tenantovi zákazníka.

  1. v našem úložišti GitHubvyberte tlačítko nasadit do Azure zobrazené vedle šablony, kterou chcete použít. Šablona se otevře v prostředí Azure Portal.
  2. Zadejte hodnoty pro název nabídky MSP, Popis nabídky MSP, spravovaný podle ID tenanta a autorizací. Pokud dáváte přednost, můžete vybrat možnost Upravit parametry a zadat hodnoty pro mspOfferName , mspOfferDescription , managedbyTenantId a authorizations přímo do souboru parametrů. Nezapomeňte aktualizovat tyto hodnoty namísto použití výchozích hodnot z šablony.
  3. Vyberte zkontrolovat a vytvořit a pak vyberte vytvořit.

Po několika minutách by se měla zobrazit zpráva s oznámením, že nasazení bylo dokončeno.

Potvrzení úspěšného zprovoznění

Po úspěšném připojení zákaznického předplatného do Azure Lighthouse uvidí uživatelé v tenantovi poskytovatele služeb předplatné a jeho prostředky (pokud jim k ní byl udělen přístup prostřednictvím výše uvedeného procesu), a to buď jednotlivě, nebo jako člen skupiny Azure AD s příslušnými oprávněními. Potvrďte to tak, že zkontrolujete, že se odběr zobrazuje jedním z následujících způsobů:

portál Azure

V tenantovi poskytovatele služeb:

  1. Přejděte na stránku Moji zákazníci.
  2. Vyberte Zákazníci.
  3. Potvrďte, že si můžete zobrazit odběry s názvem nabídky, který jste zadali v šabloně Správce prostředků.

Důležité

Aby bylo možné zobrazit delegované předplatné ve svých zákaznících, uživatelé v tenantovi poskytovatele služeb musí mít přiřazenou roli Čtenář (nebo jinou předdefinovanou roli, která zahrnuje přístup čtenářů) při registraci předplatného.

V tenantovi zákazníka:

  1. Přejděte na stránku poskytovatelé služeb.
  2. Vyberte Nabídky poskytovatele služeb.
  3. Potvrďte, že si můžete zobrazit odběry s názvem nabídky, který jste zadali v šabloně Správce prostředků.

Poznámka

Po dokončení nasazení může trvat až 15 minut, než se aktualizace projeví v Azure Portal. Pokud aktualizujete Azure Resource Manager tokenu, možná budete moct aktualizace zobrazit dřív, když aktualizujete prohlížeč, přihlásíte se k němu nebo vyžádáte nový token.

PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

Get-AzContext

# Confirm successful onboarding for Azure Lighthouse

Get-AzManagedServicesDefinition
Get-AzManagedServicesAssignment

Azure CLI

# Log in first with az login if you're not using Cloud Shell

az account list

# Confirm successful onboarding for Azure Lighthouse

az managedservices definition list
az managedservices assignment list

Pokud po zprovoznění zákazníka potřebujete provést změny, můžete delegování aktualizovat. Přístup k delegování můžete také odebrat úplně.

Řešení potíží

Pokud se vám nepodaří úspěšně připojit zákazníka nebo pokud vaši uživatelé mají potíže s přístupem k delegovaným prostředkům, Projděte si následující tipy a požadavky a zkuste to znovu.

  • Uživatelům, kteří potřebují zobrazit zákaznické prostředky v Azure Portal, musí být během procesu připojování udělená role Čtenář (nebo jiná předdefinovaná role, která zahrnuje přístup ke čtenářům).
  • managedbyTenantIdHodnota nesmí být stejná jako ID tenanta pro odběr, který se připojuje.
  • Nemůžete mít více přiřazení ve stejném oboru se stejným oborem mspOfferName .
  • U delegovaného předplatného musí být zaregistrován poskytovatel prostředků Microsoft. ManagedServices . K tomu by mělo dojít automaticky během nasazování, ale v případě potřeby je můžete zaregistrovat ručně.
  • Autorizace nesmí obsahovat žádné uživatele s předdefinovanou rolí vlastníka ani žádné předdefinované role s akcemi.
  • Skupiny musí být vytvořeny s typem skupiny nastavenou na zabezpečení a nesmí Microsoft 365.
  • Pokud byl přístup udělen skupině, ujistěte se, že je uživatel členem této skupiny. Pokud nejsou, můžete je přidat do skupiny pomocí Azure AD, aniž byste museli provádět jiné nasazení. Všimněte si, že Vlastníci skupiny nejsou nutně členy skupin, které spravují a možná je budete muset přidat, aby měli přístup.
  • Před povolením přístupu pro vnořené skupinymůže docházet k další prodlevě.
  • Předdefinované role Azure , které zahrnete do autorizací, nesmí obsahovat žádné zastaralé role. Pokud se předdefinovaná role Azure přestane zastaralá, všichni uživatelé, kteří se připojili k této roli, ztratí přístup a nebudete moct připojit další delegování. Pokud to chcete opravit, aktualizujte šablonu tak, aby používala jenom integrované předdefinované role, a pak proveďte nové nasazení.

Další kroky