Actualización de una delegaciónUpdate a delegation

Una vez que haya incorporado una suscripción (o un grupo de recursos) a Azure Lighthouse, puede que tenga que realizar cambios.After you have onboarded a subscription (or resource group) to Azure Lighthouse, you may need to make changes. Por ejemplo, es posible que el cliente quitar que asuma tareas de administración adicionales que requieren un rol integrado de Azure diferente o que necesite cambiar el inquilino en el que se delega una suscripción de cliente.For example, your customer may want you to take on additional management tasks that require a different Azure built-in role, or you may need to change the tenant to which a customer subscription is delegated.

Sugerencia

Aunque en este tema nos referiremos a los proveedores de servicios y clientes, las empresas que administren varios inquilinos pueden usar el mismo proceso para configurar Azure Lighthouse y consolidar su experiencia de administración.Though we refer to service providers and customers in this topic, enterprises managing multiple tenants can use the same process to set up Azure Lighthouse and consolidate their management experience.

Si ha incorporado el cliente a través de plantillas de Azure Resource Manager, se debe realizar una nueva implementación para ese cliente.If you onboarded your customer through Azure Resource Manager templates (ARM templates), a new deployment must be performed for that customer. En función de lo que esté cambiando, puede actualizar la oferta original, o bien quitarla y crear una nueva.Depending on what you are changing, you may want to update the original offer, or remove the original offer and create a new one.

  • Si solo está cambiando las autorizaciones: para actualizar la delegación, puede cambiar solo la sección de autorizaciones de la plantilla de ARM.If you are changing authorizations only: You can update your delegation by changing only the authorizations section of the ARM template.
  • Si está cambiando el inquilino de administración: debe crear una nueva plantilla de ARM con un valor de mspOfferName diferente al de la oferta anterior.If you are changing the managing tenant: You must create a new ARM template using with a different mspOfferName than your previous offer.

Actualización de la plantilla de ARMUpdate your ARM template

Para actualizar la delegación, debe implementar una plantilla de ARM que incluya los cambios que quiere realizar.To update your delegation, you will need to deploy an ARM template that includes the changes you'd like to make.

Si solo está actualizando las autorizaciones (por ejemplo, agregando un nuevo grupo de usuarios con un rol que no se había incluido anteriormente, o cambiando el rol de un usuario existente), puede usar el mismo valor de mspOfferName que en la plantilla de ARM que usó para la delegación anterior.If you are only updating authorizations (such as adding a new user group with a role you hadn't previously included, or changing the role for an existing user), you can use the same mspOfferName as in the ARM template that you used for the previous delegation. Puede usar la plantilla anterior como punto de partida.You can use your previous template as a starting point. A continuación, realice los cambios necesarios, como reemplazar un rol integrado de Azure por otro o agregar una autorización completamente nueva a la plantilla.Then, make the changes you need, such as replacing one Azure built-in role with another, or adding a completely new authorization to the template.

Si cambia el valor de mspOfferName, se considerará que la oferta es nueva e independiente.If you change the mspOfferName, this will be considered a new, separate offer. Esto es necesario si va a cambiar el inquilino de administración.This is required if you are changing the managing tenant.

No es necesario cambiar el valor de mspOfferName si el inquilino de administración sigue siendo el mismo.It's not necessary to change the mspOfferName if the managing tenant remains the same. En la mayoría de los casos, se recomienda usar solo un valor de mspOfferName para el mismo cliente y el mismo inquilino de administración.In most cases, we recommend having only one mspOfferName in use by the same customer and managing tenant. Si decide cambiarlo de todos modos, asegúrese de que la delegación anterior del cliente se quite antes de implementar la nueva.If you choose to change it anyway, be sure that the customer's previous delegation is removed before deploying the new one.

Eliminación de la delegación anteriorRemove the previous delegation

Antes de realizar una nueva implementación, puede retirar el acceso a la delegación anterior.Before performing a new deployment, you may want to remove access to the previous delegation. Esto garantiza que se quiten todos los permisos anteriores, lo que le permite iniciar la limpieza con los usuarios, grupos y roles exactos que deben aplicarse en el futuro.This ensures that all previous permissions are removed, allowing you to start clean with the exact users/groups and roles that should apply going forward.

Importante

Si usa un nuevo valor de mspOfferName y mantiene cualquiera de los mismos valores de principalId, debe retirar el acceso a la delegación anterior antes de implementar la nueva oferta.If you use a new mspOfferName and keep any of the same principalId values, you must remove access to the previous delegation before deploying the new offer. Si no quita la oferta en primer lugar, los usuarios a los que se les haya concedido permiso anteriormente podrían perderlo completamente debido a asignaciones en conflicto.If you don't remove the offer first, users who had previously granted permission may lose access completely due to conflicting assignments.

Si va a cambiar el inquilino de administración, puede dejar la oferta anterior sin cambios si desea que ambos inquilinos sigan teniendo acceso.If you are changing the managing tenant, you can leave the previous offer in place if you want both tenants to continue to have access. Si solo desea que el nuevo inquilino de administración tenga acceso, debe quitar la oferta anterior.If you only want the new managing tenant to have access, the earlier offer must be removed. Esto puede hacerse antes o después de incorporar la nueva oferta.This can be done either before or after you onboard the new offer.

Si está actualizando la oferta solo para ajustar las autorizaciones y mantiene el mismo valor de mspOfferName, no tiene que quitar la delegación anterior.If you are updating the offer to adjust authorizations only, and keeping the same mspOfferName, you don't have to remove the previous delegation. La nueva implementación reemplazará la delegación anterior y solo se aplicarán las autorizaciones de la plantilla más reciente.The new deployment will replace the previous delegation, and only the authorizations in the newest template will apply.

Diagrama que muestra cuándo se debe cambiar el valor de mspOfferName y quitar una delegación anterior.

El acceso a la delegación puede retirarlo cualquier usuario del inquilino de administración al que se haya concedido el rol de eliminación de la asignación de registro de servicios administrados en la delegación original.Removing access to the delegation can be done by any user in the managing tenant who was granted the Managed Services Registration Assignment Delete Role in the original delegation. Si ningún usuario del inquilino de administración tiene este rol, puede pedir al cliente que retire el acceso a la oferta en Azure Portal.If no user in your managing tenant has this role, you can ask the customer to remove access to the offer in the Azure portal.

Sugerencia

Si quitó la delegación anterior siguiendo los pasos anteriores y sigue sin poder implementar la nueva plantilla de ARM, es posible que necesite quitar la definición de registro por completo.If you have removed the previous delegation following the steps above, and are still unable to deploy the new ARM template, you may need to remove the registration definition completely. Esto lo puede hacer cualquier usuario con el rol Propietario en el inquilino del cliente.This can be done by any user with the Owner role in the customer tenant.

Implementación de la plantilla de ARMDeploy the ARM template

El cliente puede implementar la plantilla actualizada de la misma manera que antes: en Azure Portal, mediante PowerShell o con la CLI de Azure.Your customer can deploy the updated template in the same way that they did previously: in the Azure portal, by using PowerShell, or by using Azure CLI.

Una vez finalizada la implementación, confirme que se realizó correctamente.After the deployment has been completed, confirm that it was successful. Las autorizaciones actualizadas se aplicarán a la suscripción o a los grupos de recursos que el cliente haya delegado.The updated authorizations will then be in effect for the subscription or resource group(s) that the customer has delegated.

Actualización de las ofertas de servicio administradoUpdating Managed Service offers

Si ha incorporado el cliente a través de una oferta de servicio administrado publicado en Azure Marketplace y desea actualizar las autorizaciones, puede actualizar la delegación. Para hacerlo, publique una nueva versión de la oferta con las autorizaciones que quiere usar actualizadas en el plan de ese cliente.If you onboarded your customer through a Managed Service offer published to Azure Marketplace, and you want to update authorizations, you can update the delegation by publishing a new version of your offer with the authorizations that you want to use updated in the plan for that customer. A continuación, el cliente podrá actualizar a la versión más reciente en el Azure Portal.The customer will then be able to update to the newest version in the Azure portal.

Si desea cambiar el inquilino de administración, tendrá que crear y publicar una nueva oferta de servicio administrado para que el cliente la acepte.If you want to change the managing tenant, you will need to create and publish a new Managed Service offer for the customer to accept.

Sugerencia

Como se mencionó anteriormente, se recomienda no usar varias ofertas diferentes en el mismo cliente y el mismo inquilino de administración.As mentioned earlier, we recommend that you don’t use multiple different offers between the same customer and managing tenant. Si publica una nueva oferta para el mismo cliente que utiliza el mismo inquilino de administración, asegúrese de que la oferta anterior se quite antes de que el cliente acepte la oferta más reciente.If you do publish a new offer for the same customer which uses the same managing tenant, be sure that the earlier offer is removed before the customer accepts the newer offer.

Pasos siguientesNext steps