Actualización de una delegación

Una vez que haya incorporado una suscripción (o un grupo de recursos) a Azure Lighthouse, puede que tenga que realizar cambios. Por ejemplo, es posible que su cliente desee que asuma tareas de administración adicionales que requieran un rol integrado de Azure diferente, o que deba cambiar el arrendatario al que se delega una suscripción de cliente.

Sugerencia

Aunque en este tema nos referiremos a los proveedores de servicios y clientes, las empresas que administren varios inquilinos pueden usar el mismo proceso para configurar Azure Lighthouse y consolidar su experiencia de administración.

Si ha incorporado el cliente a través de plantillas de Azure Resource Manager, se debe realizar una nueva implementación para ese cliente. En función de lo que esté cambiando, puede actualizar la oferta original, o bien quitarla y crear una nueva.

• Si solo va a cambiar las autorizaciones: puede actualizar la delegación mediante cambios en la sección de autorizaciones de la plantilla de ARM.
• Si está cambiando el inquilino de administración: debe crear una nueva plantilla de ARM con un valor de mspOfferName diferente al de la oferta anterior.

Actualización de la plantilla de ARM

Para actualizar la delegación, debe implementar una plantilla de ARM que incluya los cambios que quiere realizar.

Si solo está actualizando las autorizaciones (por ejemplo, agregando un nuevo grupo de usuarios con un rol que no se había incluido anteriormente, o cambiando el rol de un usuario existente), puede usar el mismo valor de mspOfferName que en la plantilla de ARM que usó para la delegación anterior. Use la plantilla anterior como punto de partida. A continuación, realice los cambios necesarios, como reemplazar un rol integrado de Azure por otro o agregar una autorización completamente nueva a la plantilla.

Si cambia el valor de mspOfferName, se considerará que la oferta es nueva e independiente. Esto es necesario si va a cambiar el inquilino de administración.

Si el inquilino de administración sigue siendo el mismo, no es necesario cambiar el valor de mspOfferName. En la mayoría de los casos, se recomienda usar solo un valor de mspOfferName para el mismo cliente y el mismo inquilino de administración. Si decide crear un nuevo valor de mspOfferName para la plantilla, asegúrese de quitar la delegación anterior del cliente antes de implementar la nueva.

Eliminación de la delegación anterior

Antes de realizar una nueva implementación, puede retirar el acceso a la delegación anterior. Esto garantiza que se quiten todos los permisos anteriores, lo que le permite iniciar la limpieza con los usuarios, grupos y roles exactos que deben aplicarse en el futuro.

Importante

Si usa un nuevo valor de mspOfferName y mantiene cualquiera de los mismos valores de principalId, debe retirar el acceso a la delegación anterior antes de implementar la nueva oferta. Si no quita la oferta en primer lugar, los usuarios a los que se les haya concedido permiso anteriormente podrían perderlo completamente debido a asignaciones en conflicto.

Si va a cambiar el inquilino de administración, puede dejar la oferta anterior sin cambios si desea que ambos inquilinos sigan teniendo acceso. Si solo desea que el nuevo inquilino de administración tenga acceso, debe quitar la oferta anterior. Esto puede hacerse antes o después de incorporar la nueva oferta.

Si está actualizando la oferta solo para ajustar las autorizaciones y mantiene el mismo valor de mspOfferName, no tiene que quitar la delegación anterior. La nueva implementación reemplazará la delegación anterior y solo se aplicarán las autorizaciones de la plantilla más reciente.

El acceso a la delegación puede retirarlo cualquier usuario del inquilino de administración al que se haya concedido el rol de eliminación de la asignación de registro de servicios administrados en la delegación original. Si ningún usuario del inquilino de administración tiene este rol, puede pedir al cliente que retire el acceso a la oferta en Azure Portal.

Sugerencia

Si quitó la delegación anterior pero sigue sin poder implementar la nueva plantilla de ARM, es posible que necesite quitar la definición de registro por completo. Esto lo puede hacer cualquier usuario con un rol que tenga el permiso Microsoft.Authorization/roleAssignments/write, como Propietario, en el inquilino del cliente.

Implementación de la plantilla de ARM

El cliente puede implementar la plantilla actualizada de la misma manera que antes: en Azure Portal, mediante PowerShell o con la CLI de Azure.

Una vez finalizada la implementación, confirme que se realizó correctamente. Las autorizaciones actualizadas se aplicarán a la suscripción o a los grupos de recursos que el cliente haya delegado.

Actualización de las ofertas de servicio administrado

Si ha incorporado al cliente a través de una oferta de servicio administrado que publicó en Azure Marketplace y desea actualizar las autorizaciones, puede hacerlo mediante la publicación de una nueva versión de la oferta que incluya las actualizaciones de las autorizaciones que quiera usar en el plan de ese cliente. A continuación, el cliente podrá revisar los cambios en Azure Portal y aceptar la nueva versión.

Si desea cambiar el inquilino de administración, tendrá que crear y publicar una nueva oferta de servicio administrado para que el cliente la acepte.

Importante

Es recomendable no usar varias ofertas diferentes entre el mismo cliente y el mismo inquilino de administración. Si publica una nueva oferta para un cliente actual que utiliza el mismo inquilino de administración, asegúrese de quitar la oferta anterior antes de que el cliente acepte la oferta más reciente.

Pasos siguientes

• Puede ver y administrar clientes desde Mis clientes, en Azure Portal.
• Obtenga información sobre cómo quitar el acceso a una delegación que se incorporó previamente.
• Obtenga más información sobre la arquitectura de Azure Lighthouse.