Een klant onboarden in Azure Lighthouse

  • Artikel
  • 16 minuten om te lezen

In dit artikel wordt uitgelegd hoe u als serviceprovider een klant kunt onboarden om Azure Lighthouse. Wanneer u dit doet, kunnen gedelegeerde resources (abonnementen en/of resourcegroepen) in de Azure Active Directory-tenant (Azure AD) van de klant worden beheerd door gebruikers in uw tenant via gedelegeerd resourcebeheervan Azure.

Tip

Hoewel we in dit onderwerp verwijzen naar serviceproviders en klanten, kunnen ondernemingen die meerdere tenants beheren, hetzelfde proces gebruiken om een Azure Lighthouse en hun beheerervaring te consolideren.

U kunt het onboardingproces herhalen voor meerdere klanten. Wanneer een gebruiker met de juiste machtigingen zich bij uw beherende tenant meldt, kan die gebruiker worden geautoriseerd binnen klanttenancybereiken om beheerbewerkingen uit te voeren, zonder dat deze zich bij elke afzonderlijke klantten tenant moet aanmelden.

Notitie

Klanten kunnen ook onboarding voor Azure Lighthouse wanneer ze een Managed Service-aanbieding (openbaar of privé) kopen die u publiceert naar Azure Marketplace. U kunt ook het onboardingproces gebruiken dat hier wordt beschreven in combinatie met aanbiedingen die zijn gepubliceerd Azure Marketplace.

Voor het onboardingproces moeten acties worden ondernomen vanuit zowel de tenant van de serviceprovider als vanuit de tenant van de klant. Al deze stappen worden beschreven in dit artikel.

Tenant- en abonnementsgegevens verzamelen

Als u de tenant van een klant wilt onboarden, moet deze een actief Azure-abonnement hebben. U moet het volgende weten:

  • De tenant-id van de tenant van de serviceprovider (waar u de resources van de klant beheert). Als u de sjabloon in de Azure Portal,wordt deze waarde automatisch opgegeven.
  • De tenant-id van de tenant van de klant (die resources heeft die worden beheerd door de serviceprovider).
  • De abonnements-ID's voor elk specifiek abonnement in de tenant van de klant die worden beheerd door de serviceprovider (of die de resourcegroep(en) bevat die worden beheerd door de serviceprovider.

Als u de id voor een tenant niet weet, kunt u deze ophalen met behulp van de Azure Portal, Azure PowerShell of Azure CLI.

Rollen en machtigingen definiëren

Als serviceprovider wilt u mogelijk meerdere taken uitvoeren voor één klant, waarvoor verschillende toegangsgegevens voor verschillende bereiken zijn vereist. U kunt zoveel autorisaties definiëren als u nodig hebt om de juiste ingebouwde Azure-rollen toe te wijzen. Elke autorisatie bevat een principalId die verwijst naar een Azure AD-gebruiker, -groep of -service-principal in de beherende tenant.

Notitie

Tenzij expliciet opgegeven, kunnen verwijzingen naar een 'gebruiker' in de Azure Lighthouse-documentatie van toepassing zijn op een Azure AD-gebruiker, -groep of -service-principal in een autorisatie.

Als u autorisaties wilt definiëren, moet u de id-waarden weten voor elke gebruiker, gebruikersgroep of service-principal in de beherende tenant waaraan u toegang wilt verlenen. U kunt deze ID's ophalen met behulp van de Azure Portal, Azure PowerShell of Azure CLI vanuit de beherende tenant. U hebt ook de roldefinitie-id nodig voor elke ingebouwde rol die u wilt toewijzen.

Tip

Het is raadzaam om de rol registratietoewijzing voor beheerde services toe te wijzen bij het onboarden van een klant, zodat gebruikers in uw tenant de toegang tot de overdracht later, indien nodig, kunnen verwijderen. Als deze rol niet is toegewezen, kunnen gedelegeerde resources alleen worden verwijderd door een gebruiker in de tenant van de klant.

U wordt aangeraden waar mogelijk Azure AD-gebruikersgroepen voor elke rol te gebruiken in plaats van voor afzonderlijke gebruikers. Dit biedt u de flexibiliteit om afzonderlijke gebruikers toe te voegen aan of te verwijderen uit de groep die toegang heeft, zodat u het onboardingproces niet hoeft te herhalen om gebruikerswijzigingen aan te brengen. U kunt ook rollen toewijzen aan een service-principal, wat handig kan zijn voor automatiseringsscenario's.

Belangrijk

Als u machtigingen wilt toevoegen voor een Azure AD-groep, moet het groepstype worden ingesteld op Beveiliging. Deze optie wordt geselecteerd wanneer de groep wordt gemaakt. Zie Een basisgroep maken en leden toevoegen met behulp van Azure Active Directory voor meer informatie.

Wanneer u uw autorisaties definieert, moet u ervoor zorgen dat u het principe van minste bevoegdheden volgt, zodat gebruikers alleen de machtigingen hebben die nodig zijn om hun taak te voltooien. Zie Tenants, gebruikers en rollen in Azure Lighthouse scenario's voor informatie over ondersteunde rollen en best practices.

Als u uw impact op klantbetrokkenheid wilt bijhouden en herkenning wilt ontvangen, koppelt u uw Microsoft Partner Network-id (MPN) aan ten minste één gebruikersaccount dat toegang heeft tot elk van uw abonnementen met onboarding. U moet deze associatie uitvoeren in de tenant van uw serviceprovider. U wordt aangeraden een service-principal-account te maken in uw tenant dat is gekoppeld aan uw MPN-id, en deze service-principal vervolgens elke keer dat u onboarding van een klant maakt, op te nemen. Zie Uw partner-id koppelen om partnertegoed in te stellen voor gedelegeerde resources voor meer informatie.

Tip

U kunt ook in aanmerking komende autorisaties maken, zodat gebruikers in uw beheerten tenant hun rol tijdelijk kunnen verhogen. Deze functie is momenteel beschikbaar als openbare preview en heeft specifieke licentievereisten. Zie In aanmerking komende autorisaties maken voor meer informatie.

Een sjabloon Azure Resource Manager maken

Voor het onboarden van uw klant moet u een Azure Resource Manager-sjabloon maken voor uw aanbieding, met de volgende gegevens. De waarden mspOfferName en mspOfferDescription zijn zichtbaar voor de klant op de pagina Serviceproviders van de Azure Portal zodra de sjabloon is geïmplementeerd in de tenant van de klant.

Veld Definitie
mspOfferName Een naam die deze definitie beschrijft. Deze waarde wordt aan de klant weergegeven als de titel van de aanbieding en moet een unieke waarde zijn.
mspOfferDescription Een korte beschrijving van uw aanbieding (bijvoorbeeld 'Contoso VM-beheeraanbieding'). Dit veld is optioneel, maar wordt aanbevolen zodat klanten een duidelijk inzicht hebben in uw aanbieding.
managedByTenantId Uw tenant-id.
Vergunningen De principalId-waarden voor de gebruikers/groepen/SPN's van uw tenant, elk met een principalIdDisplayName om uw klant inzicht te geven in het doel van de autorisatie, en worden aan een ingebouwde roleDefinitionId-waarde toe te kennen om het toegangsniveau op te geven.

U kunt deze sjabloon maken in de Azure Portal of door de sjablonen in onze voorbeeld-repo handmatig te wijzigen.

Belangrijk

Voor het proces dat hier wordt beschreven, is een afzonderlijke implementatie vereist voor elk abonnement dat wordt onboarding, zelfs als u abonnementen in dezelfde tenant van de klant onboardt. Er zijn ook afzonderlijke implementaties vereist als u meerdere resourcegroepen binnen verschillende abonnementen in dezelfde klantten tenant onboardt. Het onboarden van meerdere resourcegroepen binnen één abonnement kan echter in één implementatie worden uitgevoerd.

Er zijn ook afzonderlijke implementaties vereist voor meerdere aanbiedingen die worden toegepast op hetzelfde abonnement (of resourcegroepen binnen een abonnement). Elke toegepaste aanbieding moet een andere mspOfferName gebruiken.

Maak uw sjabloon in de Azure Portal

Als u een sjabloon wilt maken in Azure Portal, gaat u naar Mijn klanten en selecteert u arm-sjabloon maken op de overzichtspagina.

Geef op de pagina ARM-sjabloonaanbieding maken uw naam en een optionele beschrijving op. Deze waarden worden gebruikt voor de mspOfferName en mspOfferDescription in uw sjabloon. De waarde voor managedByTenantId wordt automatisch opgegeven op basis van de Azure AD-tenant waarbij u bent aangemeld.

Selecteer vervolgens Abonnement of Resourcegroep, afhankelijk van het klantbereik dat u wilt onboarden. Als u Resourcegroep selecteert, moet u de naam van de resourcegroep die u wilt onboarden. U kunt het pictogram + selecteren om zo nodig extra resourcegroepen toe te voegen. (Alle resourcegroepen moeten zich in hetzelfde klantabonnement hebben.)

Maak ten slotte uw autorisaties door + Autorisatie toevoegen te selecteren. Geef voor elk van uw autorisaties de volgende gegevens op:

  1. Selecteer het type Principal, afhankelijk van het type account dat u wilt opnemen in de autorisatie. Dit kan gebruiker, groep of service-principal zijn. In dit voorbeeld kiezen we Gebruiker.
  2. Selecteer de koppeling + Gebruiker selecteren om het selectiedeelvenster te openen. U kunt het zoekveld gebruiken om de gebruiker te vinden die u wilt toevoegen. Wanneer u dit hebt gedaan, klikt u op Selecteren. De principal-id van de gebruiker wordt automatisch ingevuld.
  3. Controleer het veld Weergavenaam (ingevuld op basis van de gebruiker die u hebt geselecteerd) en wijzig indien gewenst.
  4. Selecteer de rol die u aan deze gebruiker wilt toewijzen.
  5. Bij Toegangstype selecteert u Permanent of In aanmerking komend. Als u In aanmerking komend kiest, moet u opties opgeven voor maximale duur, meervoudige verificatie en of goedkeuring is vereist. Zie In aanmerking komende autorisaties maken voor meer informatie over deze opties. De in aanmerking komende autorisatiefunctie is momenteel beschikbaar als openbare preview en kan niet worden gebruikt met service-principals.
  6. Selecteer Toevoegen om uw autorisatie te maken.

Schermopname van de sectie Autorisatie toevoegen in de Azure Portal.

Nadat u Toevoegen hebt geselecteerd, keert u terug naar het scherm ARM-sjabloonaanbieding maken. U kunt nogmaals + Autorisatie toevoegen selecteren om zoveel autorisaties toe te voegen als nodig is.

Wanneer u al uw autorisaties hebt toegevoegd, selecteert u Sjabloon weergeven. In dit scherm ziet u een JSON-bestand dat overeenkomt met de waarden die u hebt ingevoerd. Selecteer Downloaden om een kopie van dit JSON-bestand op te slaan. Deze sjabloon kan vervolgens worden geïmplementeerd in de tenant van de klant. U kunt deze ook handmatig bewerken als u wijzigingen moet aanbrengen. Houd er rekening mee dat het bestand niet is opgeslagen in de Azure Portal.

Uw sjabloon handmatig maken

U kunt uw sjabloon maken met behulp van een Azure Resource Manager-sjabloon (in onze voorbeelden-repo)en een bijbehorend parameterbestand dat u wijzigt zodat deze overeenkomt met uw configuratie en uw autorisaties definieert. Als u dat liever hebt, kunt u alle informatie rechtstreeks in de sjabloon opnemen in plaats van een afzonderlijk parameterbestand te gebruiken.

De sjabloon die u kiest, is afhankelijk van of u een volledig abonnement, een resourcegroep of meerdere resourcegroepen binnen een abonnement onboardt. We bieden ook een sjabloon die kan worden gebruikt voor klanten die een beheerde-serviceaanbieding hebben aangeschaft die u hebt gepubliceerd naar Azure Marketplace, als u liever op deze manier onboarding van hun abonnement(en) wilt maken.

Dit onboarden Gebruik deze Azure Resource Manager sjabloon En wijzig dit parameterbestand
Abonnement subscription.json subscription.parameters.json
Resourcegroep rg.json rg.parameters.json
Meerdere resourcegroepen binnen een abonnement multi-rg.json multiple-rg.parameters.json
Abonnement (wanneer u een aanbieding gebruikt die is gepubliceerd naar Azure Marketplace) marketplaceDelegatedResourceManagement.json marketplaceDelegatedResourceManagement.parameters.json

Als u in aanmerking komende autorisaties wilt opnemen (momenteel in openbare preview), selecteert u de bijbehorende sjabloon in de sectie delegated-resource-management-eligible-authorizationsvan onze voorbeeldrepo.

Tip

Hoewel u geen volledige beheergroep in één implementatie kunt onboarden, kunt u een beleid implementeren om elk abonnement in een beheergroep te onboarden. Vervolgens hebt u toegang tot alle abonnementen in de beheergroep, hoewel u er als afzonderlijke abonnementen aan moet werken (in plaats van rechtstreeks acties uit te voeren op de beheergroepresource).

In het volgende voorbeeld ziet u een gewijzigd bestand subscription.parameters.json dat kan worden gebruikt voor het onboarden van een abonnement. De parameterbestanden van de resourcegroep (die zich in de map rg-delegated-resource-management bevinden) zijn vergelijkbaar, maar bevatten ook een parameter rgName om de specifieke resourcegroep(s) te identificeren die moeten worden toegevoegd.

{
    "$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "value": "Fabrikam Managed Services - Interstellar"
        },
        "mspOfferDescription": {
            "value": "Fabrikam Managed Services - Interstellar"
        },
        "managedByTenantId": {
            "value": "00000000-0000-0000-0000-000000000000"
        },
        "authorizations": {
            "value": [
                {
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "principalIdDisplayName": "Tier 1 Support",
                    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
                },
                {
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "principalIdDisplayName": "Tier 1 Support",
                    "roleDefinitionId": "36243c78-bf99-498c-9df9-86d9f8d28608"
                },
                {
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "principalIdDisplayName": "Tier 2 Support",
                    "roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7"
                },
                {
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "principalIdDisplayName": "Service Automation Account",
                    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
                },
                {
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "principalIdDisplayName": "Policy Automation Account",
                    "roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
                    "delegatedRoleDefinitionIds": [
                        "b24988ac-6180-42a0-ab88-20f7382dd24c",
                        "92aaf0da-9dab-42b6-94a3-d43ce8d16293"
                    ]
                }
            ]
        }
    }
}

Met de laatste autorisatie in het bovenstaande voorbeeld wordt een principalId toegevoegd met de rol Gebruikerstoegangbeheerder (18d7d88d-d35e-4fb5-a5c3-7773c20a72d9). Wanneer u deze rol toewijst, moet u de eigenschap delegatedRoleDefinitionIds en een of meer ondersteunde ingebouwde Azure-rollen opnemen. De gebruiker die in deze autorisatie is gemaakt, kan deze rollen toewijzen aan beheerde identiteiten in de tenant van de klant. Dit is vereist voor het implementeren van beleidsregels die kunnen worden vereengeld. De gebruiker kan ook ondersteuningsincidenten maken. Andere machtigingen die normaal gesproken zijn gekoppeld aan de rol Administrator voor gebruikerstoegang, zijn niet van toepassing op deze principalId.

De sjabloon Azure Resource Manager implementeren

Nadat u de sjabloon hebt gemaakt, moet een gebruiker in de tenant van de klant deze implementeren in de tenant. Er is een afzonderlijke implementatie nodig voor elk abonnement dat u wilt onboarden (of voor elk abonnement dat resourcegroepen bevat die u wilt onboarden).

Bij het onboarden van een abonnement (of een of meer resourcegroepen binnen een abonnement) met behulp van het proces dat hier wordt beschreven, wordt de resourceprovider Microsoft.ManagedServices geregistreerd voor dat abonnement.

Belangrijk

Deze implementatie moet worden uitgevoerd door een niet-gastaccount in de tenant van de klant die een rol heeft met de machtiging , zoals Eigenaar , voor het abonnement waarvoor onboarding wordt uitgevoerd (of dat de resourcegroepen bevat waarvoor onboarding wordt Microsoft.Authorization/roleAssignments/write uitgevoerd). Om gebruikers te vinden die het abonnement kunnen delegeren, kan een gebruiker in de tenant van de klant het abonnement selecteren in de Azure Portal, Toegangsbeheer (IAM) openen en alle gebruikers met de rol Eigenaar weergeven.

Als het abonnement is gemaakt via het Cloud Solution Provider -programma (CSP),kan elke gebruiker met de rol Beheerderagent in de tenant van uw serviceprovider de implementatie uitvoeren.

De implementatie kan worden uitgevoerd met behulp van PowerShell, met behulp van Azure CLI of in Azure Portal, zoals hieronder wordt weergegeven.

PowerShell

Een enkele sjabloon implementeren:

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Deploy Azure Resource Manager template using template and parameter file locally
New-AzSubscriptionDeployment -Name <deploymentName> `
                 -Location <AzureRegion> `
                 -TemplateFile <pathToTemplateFile> `
                 -Verbose

# Deploy Azure Resource Manager template that is located externally
New-AzSubscriptionDeployment -Name <deploymentName> `
                 -Location <AzureRegion> `
                 -TemplateUri <templateUri> `
                 -Verbose

Een sjabloon implementeren met een afzonderlijk parameterbestand:

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Deploy Azure Resource Manager template using template and parameter file locally
New-AzSubscriptionDeployment -Name <deploymentName> `
                 -Location <AzureRegion> `
                 -TemplateFile <pathToTemplateFile> `
                 -TemplateParameterFile <pathToParameterFile> `
                 -Verbose

# Deploy Azure Resource Manager template that is located externally
New-AzSubscriptionDeployment -Name <deploymentName> `
                 -Location <AzureRegion> `
                 -TemplateUri <templateUri> `
                 -TemplateParameterUri <parameterUri> `
                 -Verbose

Azure CLI

Een enkele sjabloon implementeren:

# Log in first with az login if you're not using Cloud Shell

# Deploy Azure Resource Manager template using template and parameter file locally
az deployment sub create --name <deploymentName> \
                         --location <AzureRegion> \
                         --template-file <pathToTemplateFile> \
                         --verbose

# Deploy external Azure Resource Manager template, with local parameter file
az deployment sub create --name <deploymentName> \
                         --location <AzureRegion> \
                         --template-uri <templateUri> \
                         --verbose

Een sjabloon implementeren met een afzonderlijk parameterbestand:

# Log in first with az login if you're not using Cloud Shell

# Deploy Azure Resource Manager template using template and parameter file locally
az deployment sub create --name <deploymentName> \
                         --location <AzureRegion> \
                         --template-file <pathToTemplateFile> \
                         --parameters <parameters/parameterFile> \
                         --verbose

# Deploy external Azure Resource Manager template, with local parameter file
az deployment sub create --name <deploymentName> \
                         --location <AzureRegion> \
                         --template-uri <templateUri> \
                         --parameters <parameterFile> \
                         --verbose

Azure Portal

Met deze optie kunt u uw sjabloon rechtstreeks in de Azure Portal en vervolgens implementeren. Dit moet worden gedaan door een gebruiker in de tenant van de klant.

  1. Selecteer in GitHub-repode knop Implementeren in Azure die wordt weergegeven naast de sjabloon die u wilt gebruiken. De sjabloon wordt in Azure Portal geopend.
  2. Voer uw waarden in voor Msp-aanbiedingsnaam, Msp-aanbiedingsbeschrijving, Beheerd door tenant-id en Autorisaties. Als u wilt, kunt u Parameters bewerken selecteren om waarden voor , , en rechtstreeks in het mspOfferName mspOfferDescription managedbyTenantId authorizations parameterbestand in te voeren. Zorg ervoor dat u deze waarden bij te werken in plaats van de standaardwaarden uit de sjabloon te gebruiken.
  3. Selecteer Controleren en maken en selecteer vervolgens Maken.

Na enkele minuten ziet u een melding dat de implementatie is voltooid.

Bevestigen dat onboarding is geslaagd

Wanneer de onboarding van een klantabonnement voor Azure Lighthouse is geslaagd, kunnen gebruikers in de tenant van de serviceprovider het abonnement en de resources ervan zien (als ze via het bovenstaande proces toegang tot het abonnement hebben gekregen, afzonderlijk of als lid van een Azure AD-groep met de juiste machtigingen). Controleer of het abonnement op een van de volgende manieren wordt weergegeven om dit te bevestigen.

Azure Portal

In de tenant van de serviceprovider:

  1. Navigeer naar de pagina Mijn klanten.
  2. Selecteer Klanten.
  3. Controleer of u de abonnementen kunt zien met de naam van de aanbieding die u hebt opgegeven in de Resource Manager sjabloon.

Belangrijk

Als u het gedelegeerde abonnement wilt zien inMijn klanten, moeten aan gebruikers in de tenant van de serviceprovider de rol Lezer (of een andere ingebouwde rol met leestoegang) zijn verleend toen de onboarding van het abonnement werd gebruikt.

In de tenant van de klant:

  1. Navigeer naar de pagina Serviceproviders.
  2. Selecteer Aanbiedingen van serviceproviders.
  3. Controleer of u de abonnementen kunt zien met de naam van de aanbieding die u hebt opgegeven in de Resource Manager sjabloon.

Notitie

Het kan tot 15 minuten duren voordat de updates worden weergegeven in de Azure Portal. Mogelijk kunt u de updates eerder zien als u uw Azure Resource Manager-token bij werkt door de browser te vernieuwen, u aan te melden en af te melden of een nieuw token aan te vragen.

PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

Get-AzContext

# Confirm successful onboarding for Azure Lighthouse

Get-AzManagedServicesDefinition
Get-AzManagedServicesAssignment

Azure CLI

# Log in first with az login if you're not using Cloud Shell

az account list

# Confirm successful onboarding for Azure Lighthouse

az managedservices definition list
az managedservices assignment list

Als u wijzigingen moet aanbrengen nadat de onboarding van de klant is doorgevoerd, kunt u de delegering bijwerken. U kunt ook de toegang tot de overdracht volledig verwijderen.

Problemen oplossen

Als u uw klant niet kunt onboarden of als uw gebruikers problemen hebben met het openen van de gedelegeerde resources, controleert u de volgende tips en vereisten en probeert u het opnieuw.

  • Gebruikers die klantbronnen in de Azure Portal moeten kunnen bekijken, moeten de rol Lezer (of een andere ingebouwde rol met leestoegang) hebben gekregen tijdens het onboardingproces.
  • De managedbyTenantId waarde mag niet hetzelfde zijn als de tenant-id voor het abonnement dat wordt ge onboardd.
  • U kunt niet meerdere toewijzingen in hetzelfde bereik hebben met hetzelfde mspOfferName .
  • De resourceprovider Microsoft.ManagedServices moet zijn geregistreerd voor het gedelegeerde abonnement. Dit zou automatisch moeten gebeuren tijdens de implementatie, maar als dat niet het geval is, kunt u dit handmatig registreren.
  • Autorisaties mogen geen gebruikers bevatten met de ingebouwde rol Eigenaar of ingebouwde rollen met DataActions.
  • Groepen moeten worden gemaakt met Groepstype ingesteld op Beveiliging en niet Microsoft 365.
  • Als toegang tot een groep is verleend, controleert u of de gebruiker lid is van die groep. Als dat niet zo is, kunt u ze toevoegen aan de groep met behulp van Azure AD, zonder dat u een andere implementatie hoeft uit te voeren. Groepseigenaren zijn niet noodzakelijkerwijs leden van de groepen die ze beheren en moeten mogelijk worden toegevoegd om toegang te krijgen.
  • Er kan een extra vertraging zijn voordat toegang wordt ingeschakeld voor geneste groepen.
  • De ingebouwde Azure-rollen die u in autorisaties op te nemen, mogen geen afgeschafte rollen bevatten. Als een ingebouwde rol van Azure wordt afgeschaft, verliezen gebruikers die met deze rol zijn onboarding uitgevoerd, de toegang en kunt u geen extra delegaties meer onboarden. U kunt dit oplossen door uw sjabloon bij te werken, alleen ondersteunde ingebouwde rollen te gebruiken en vervolgens een nieuwe implementatie uit te voeren.

Volgende stappen