Integre todas as assinaturas em um grupo de gerenciamento
O Azure Lighthouse permite a delegação de assinaturas e/ou grupos de recursos, mas não dos grupos de gerenciamento. No entanto, você pode usar uma Azure Policy (Política do Azure) para delegar todas as assinaturas em um grupo de gerenciamento a um locatário de gerenciamento.
Essa política usa o efeito de deployIfNotExists para verificar se cada assinatura no grupo de gerenciamento foi delegada ao locatário de gerenciamento especificado. Se uma assinatura ainda não estiver delegada, a política criará o Azure Lighthouse com base nos valores fornecidos nos parâmetros. Em seguida, você terá acesso a todas as assinaturas no grupo de gerenciamento, como se cada uma delas fosse integrada manualmente.
Ao usar essa política, tenha em mente:
- Cada assinatura dentro do grupo de gerenciamento terá o mesmo conjunto de autorizações. Para variar os usuários e as funções que têm acesso concedido, você terá de integrar uma assinatura manualmente.
- Embora todas as assinaturas no grupo de gerenciamento estejam integradas, você não pode tomar ações no recurso do grupo de gerenciamento por meio do Azure Lighthouse. Você precisará selecionar as assinaturas para trabalhar, assim como faria se elas fossem integradas individualmente.
A menos que especificado abaixo, todas essas etapas devem ser executadas por um usuário no locatário do cliente com as permissões apropriadas.
Dica
Embora estejamos nos referindo a provedores de serviços e clientes neste tópico, as empresas que gerenciam vários locatários podem usar os mesmos processos.
Registrar o provedor de recursos nas assinaturas
Normalmente, o provedor de recursos Microsoft.ManagedServices é registrado para uma assinatura como parte do processo de integração. Ao usar a política para integração de assinaturas em um grupo de gerenciamento, o provedor de recursos deve ser registrado com antecedência. Isso pode ser feito por um usuário Colaborador ou Proprietário no locatário do cliente (ou por qualquer usuário que tenha permissões para fazer a operação /register/action no provedor de recursos). Confira mais informações em Tipos e provedores de recursos do Azure.
Você pode usar um Aplicativo Lógico do Azure para registrar automaticamente o provedor de recursos nas assinaturas. Esse Aplicativo Lógico pode ser implantado no locatário do cliente com permissões limitadas que permitem registrar o provedor de recursos em cada assinatura em um grupo de gerenciamento.
Também fornecemos um Aplicativo Lógico do Azure que pode ser implantado no locatário do provedor de serviços. Esse Aplicativo Lógico pode atribuir o provedor de recursos nas assinaturas em vários locatários garantindo consentimento de administrador em todo o locatário ao Aplicativo Lógico. Conceder consentimento de administrador em todo o locatário exige que você entre como um usuário autorizado a consentir em nome da organização. Observe que, mesmo você usando essa opção para registrar o provedor em vários locatários, ainda precisará implantar a política individualmente para cada grupo de gerenciamento.
Criar seu arquivo de parâmetros
Para atribuir a política, você implanta o arquivo deployLighthouseIfNotExistManagementGroup.json do nosso repositório de amostras, junto com um arquivo de parâmetros deployLighthouseIfNotExistsManagementGroup.parameters.json que você edita com os detalhes específico do locatário e da atribuição. Esses dois arquivos contêm os mesmos detalhes que seriam usados para integrar uma assinatura individual.
O exemplo a seguir mostra um arquivo de parâmetros que delegará as assinaturas ao locatário dos Serviços Gerenciados do Relecloud, com acesso concedido a dois principalIDs: um para Suporte de Camada 1 e outro para conta de automação que pode atribuir o delegateRoleDefinitionIds às identidades gerenciadas no locatário do cliente.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"managedByName": {
"value": "Relecloud Managed Services"
},
"managedByDescription": {
"value": "Relecloud provides managed services to its customers"
},
"managedByTenantId": {
"value": "00000000-0000-0000-0000-000000000000"
},
"managedByAuthorizations": {
"value": [
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Tier 1 Support",
"roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
},
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Automation Account - Full access",
"roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"delegatedRoleDefinitionIds": [
"b24988ac-6180-42a0-ab88-20f7382dd24c",
"92aaf0da-9dab-42b6-94a3-d43ce8d16293",
"91c1777a-f3dc-4fae-b103-61d183457e46"
]
}
]
}
}
}
Atribuir a política a um grupo de gerenciamento
Depois de editar a política para criar suas atribuições, você poderá atribuí-la no nível do grupo de gerenciamento. Para saber mais sobre como atribuir uma política e ver os resultados do estado de conformidade, confira Início Rápido: criar uma atribuição de política.
O script do PowerShell abaixo mostra como adicionar a definição de política no grupo de gerenciamento especificado, usando o modelo e o arquivo de parâmetros que você criou. Você precisa criar a tarefa de atribuição e correção para as assinaturas existentes.
New-AzManagementGroupDeployment -Name <DeploymentName> -Location <location> -ManagementGroupId <ManagementGroupName> -TemplateFile <path to file> -TemplateParameterFile <path to parameter file> -verbose
Confirmar integração bem-sucedida
Há várias maneiras de verificar se as assinaturas no grupo de gerenciamento foram integradas com êxito. Para saber mais, confira Confirmar integração bem-sucedida.
Se você manter o Aplicativo Lógico e a política ativos para o grupo de gerenciamento, todas as novas assinaturas adicionadas ao grupo de gerenciamento também serão integradas.
Próximas etapas
- Saiba mais sobre integração de clientes no Azure Lighthouse.
- Saiba mais sobre o Azure Policy.
- Saiba mais sobre os Aplicativos Lógicos do Azure.