Visualización y administración de proveedores de servicios

La página de proveedores de servicios de Azure Portal ofrece a los clientes control y visibilidad de sus proveedores de servicios que usan Azure Lighthouse. Los clientes pueden delegar recursos específicos, revisar ofertas nuevas o actualizadas, quitar el acceso del proveedor de servicios y mucho más.

Para acceder a la página Proveedores de servicios de Azure Portal, escriba "Proveedores de servicios" en el cuadro de búsqueda situado cerca de la parte superior de Azure Portal. También puede seleccionar Todos los servicios y, a continuación, buscar Azure Lighthouse o buscar "Azure Lighthouse". En la página Azure Lighthouse, seleccione Ver ofertas de proveedores de servicios.

Nota

Para ver la página Proveedores de servicios, un usuario del inquilino del cliente debe tener el rol integrado Lector (u otro que incluya el acceso de lectura).

Para agregar o actualizar ofertas, delegar recursos y quitar ofertas, el usuario debe tener un rol con el permiso Microsoft.Authorization/roleAssignments/write como, por ejemplo, Propietario.

Tenga en cuenta que la página de Proveedores de servicios solo muestra información sobre los proveedores de servicios que tienen acceso a las suscripciones o grupos de recursos del cliente mediante Azure Lighthouse. No muestra ninguna información sobre proveedores de servicios adicionales que no usan Azure Lighthouse.

Ver detalles del proveedor de servicios

Para ver detalles sobre los proveedores de servicios actuales que usan Azure Lighthouse para trabajar en el inquilino del cliente, seleccione Ofertas del proveedor de servicios en el lado izquierdo de la página Proveedores de servicios.

Para cada oferta, verá el nombre del proveedor del servicio y la oferta asociada. Puede seleccionar una oferta para ver una descripción y otros detalles, incluidas las asignaciones de roles que se han concedido al proveedor de servicios.

En la columna Delegaciones, puede ver el número de suscripciones o grupos de recursos que se han delegado en el proveedor de servicios de esa oferta. El proveedor de servicios podrá tener acceso a estas suscripciones o grupos de recursos y administrarlos de acuerdo con los niveles de acceso especificados en la oferta.

Incorporación de ofertas del proveedor de servicios

Puedes agregar una nueva oferta del proveedor de servicios desde la página Ofertas del proveedor de servicios.

Para agregar una oferta desde Marketplace, seleccione el botón Agregar oferta en el centro de la página o seleccione Agregar oferta cerca de la parte superior de la página y, a continuación, elija Agregar a través de Marketplace. Si las ofertas de servicio administrado se han publicado específicamente para este cliente, seleccione Ofertas privadas para verlas. Seleccione una oferta para revisar los detalles. Para agregar la oferta, seleccione Crear.

Para agregar una oferta desde una plantilla, seleccione Agregar oferta cerca de la parte superior de la página y, a continuación, elija Agregar a través de Marketplace. Esto le permitirá cargar una plantilla desde el proveedor de servicios e incorporar su suscripción (o grupo de recursos). Para más información, consulte Implementación en Azure Portal.

Actualización de las ofertas de proveedores de servicios

Una vez que un cliente ha agregado una oferta, un proveedor de servicios puede publicar una versión actualizada de la misma oferta en Azure Marketplace, a fin de agregar una definición de roles nueva. Si se ha publicado una versión nueva de la oferta, la página Ofertas del proveedor de servicios mostrará un icono de actualización en la fila de esa oferta. Seleccione este icono para ver las diferencias entre la versión actual de la oferta y la nueva.

Después de revisar los cambios, puede optar por actualizar a la nueva versión. Las autorizaciones y otras opciones especificadas en la nueva versión se aplicarán a todas las suscripciones o grupos de recursos que se hayan delegado para esa oferta.

Eliminación de las ofertas de proveedores de servicios

Puede quitar una oferta del proveedor de servicios en cualquier momento seleccionando el icono de la papelera en la fila de esa oferta.

Después de confirmar la eliminación, ese proveedor de servicios ya no tendrá acceso a los recursos que anteriormente se delegaron para esa oferta.

Importante

Si una suscripción tiene dos o más ofertas del mismo proveedor de servicios, quitar una de ellas podría provocar que algunos usuarios del proveedor de servicios pierdan el acceso concedido a través de las demás delegaciones. Esto solo ocurre cuando el mismo usuario y rol se incluyen en varias delegaciones y, a continuación, se quita una de las delegaciones. Para corregir esto, el proceso de incorporación debe repetirse para las ofertas que no va a quitar.

Recursos delegados

Para que un proveedor de servicios pueda acceder a los recursos de un cliente y administrarlos, se deben delegar una o varias suscripciones o grupos de recursos específicos. Cuando un cliente agrega una oferta sin delegar ningún recurso, aparece una nota en la parte superior de la sección Ofertas de proveedores de servicios. El proveedor de servicios no podrá trabajar en ningún recurso del inquilino del cliente hasta que se complete la delegación.

Para delegar suscripciones o grupos de recursos:

1. Active la casilla de la fila que contiene el proveedor de servicios, la oferta y el nombre. A continuación, seleccione Delegar recursos en la parte superior de la pantalla.
2. En la sección Detalles de la oferta de la página Delegar recursos, revise los detalles sobre el proveedor de servicios y la oferta. Para revisar las asignaciones de roles de la oferta, seleccione Hacer clic aquí para ver los detalles de la oferta seleccionada.
3. En la sección Delegar, seleccione Delegar suscripciones o Delegar grupos de recursos.
4. Elija las suscripciones o los grupos de recursos que quiera delegar para esta oferta y, después, seleccione Agregar.
5. Active la casilla situada en la parte inferior de la página para confirmar que quiere conceder a este proveedor de servicios acceso a estos recursos y seleccione Delegar.

Ver delegaciones

Las delegaciones representan una asociación de recursos de cliente específicos (suscripciones o grupos de recursos) con asignaciones de roles que conceden permisos al proveedor de servicios para esos recursos. Para ver los detalles de delegación, seleccione Delegaciones en el lado izquierdo de la página Proveedores de servicios.

Los filtros de la parte superior de la página permiten ordenar y agrupar la información de delegación. También puede filtrar por proveedores de servicios, ofertas o palabras clave específicos.

Nota:

Al ver las asignaciones de roles para el ámbito delegado en Azure Portal o a través de las API, los clientes no verán las asignaciones de roles para usuarios del inquilino proveedor de servicios que tengan acceso a través de Azure Lighthouse. Del mismo modo, los usuarios del inquilino del proveedor de servicios no verán asignaciones de roles para los usuarios en el inquilino de un cliente, independientemente del rol que se les haya asignado.

Tenga en cuenta que las asignaciones de Administrador clásico en un inquilino cliente pueden ser visibles para los usuarios del inquilino administrador, o al revés, porque los roles de administrador clásico no usan el modelo de implementación de Resource Manager.

Auditoría y restricciones de delegaciones en el entorno

Es posible que los clientes quieran revisar todas las suscripciones y grupos de recursos que se delegaron a Azure Lighthouse. Esto es especialmente útil para los clientes con un gran número de suscripciones o para los que tienen muchos usuarios que realizan tareas de administración.

Se proporciona una definición de directiva integrada de Azure Policy para auditar la delegación de ámbitos en un inquilino de administración. Esta directiva se puede asignar a un grupo de administración que incluya todas las suscripciones que quiera auditar. Al comprobar el cumplimiento de esta directiva, las suscripciones o los grupos de recursos delegados (dentro del grupo de administración al que se asigna la directiva) se mostrarán en un estado no conforme. Luego, puede revisar los resultados y confirmar que no hay ninguna delegación inesperada.

Otra definición de directiva integrada le permite restringir las delegaciones a inquilinos de administración específicos. Esta directiva se puede aplicar a un grupo de administración que incluya las suscripciones para las que desea limitar las delegaciones. Una vez implementada la directiva, se denegarán todos los intentos de delegar una suscripción a un inquilino fuera de los que especifique.

Para más información sobre cómo asignar una directiva y ver los resultados del estado de cumplimiento, consulte Inicio rápido: Creación de una asignación de directiva.

Pasos siguientes

• Más información acerca de Azure Lighthouse.
• Aprenda a auditar la actividad del proveedor de servicios.
• Descubra cómo los proveedores de servicios pueden ver y administrar sus clientes en la página Mis clientes de Azure Portal.
• Obtenga información sobre cómo las empresas que administran varios inquilinos pueden usar Azure Lighthouse para consolidar su experiencia de administración.