Atualizar uma delegação

Depois de integrar uma subscrição (ou grupo de recursos) no Azure Lighthouse, poderá ter de fazer alterações. Por exemplo, o cliente poderá querer que assuma tarefas de gestão adicionais que exijam uma função incorporada do Azure diferente ou poderá ter de alterar o inquilino para o qual uma subscrição de cliente é delegada.

Dica

Apesar de nos referirmos a fornecedores de serviços e clientes neste tópico, as empresas que gerem vários inquilinos podem utilizar o mesmo processo para configurar o Azure Lighthouse e consolidar a sua experiência de gestão.

Se integrou o cliente através de modelos de Resource Manager do Azure (modelos do ARM), tem de ser efetuada uma nova implementação para esse cliente. Consoante o que está a alterar, poderá querer atualizar a oferta original ou remover a oferta original e criar uma nova.

• Se estiver apenas a alterar as autorizações: pode atualizar a delegação ao alterar a secção de autorizações do modelo do ARM.
• Se estiver a alterar o inquilino de gestão: tem de criar um novo modelo do ARM com um mspOfferName diferente do que a oferta anterior.

Atualizar o modelo do ARM

Para atualizar a delegação, terá de implementar um modelo do ARM que inclua as alterações que pretende fazer.

Se estiver apenas a atualizar autorizações (como adicionar um novo grupo de utilizadores com uma função que não tinha incluído anteriormente ou alterar a função de um utilizador existente), pode utilizar o mesmo mspOfferName que no modelo do ARM que utilizou para a delegação anterior. Utilize o modelo anterior como ponto de partida. Em seguida, faça as alterações necessárias, como substituir uma função incorporada do Azure por outra ou adicionar uma autorização completamente nova ao modelo.

Se alterar o mspOfferName, esta será considerada uma nova oferta separada. Isto é necessário se estiver a alterar o inquilino de gestão.

Não precisa de alterar o mspOfferName se o inquilino de gestão permanecer o mesmo. Na maioria dos casos, recomendamos ter apenas um mspOfferName em utilização pelo mesmo cliente e gerir o inquilino. Se optar por criar um novo mspOfferName para o seu modelo, certifique-se de que a delegação anterior do cliente é removida antes de implementar a nova.

Remover a delegação anterior

Antes de efetuar uma nova implementação, poderá querer remover o acesso à delegação anterior. Isto garante que todas as permissões anteriores são removidas, permitindo-lhe começar de forma limpa com os utilizadores/grupos e funções exatos que devem ser aplicados no futuro.

Importante

Se utilizar um novo mspOfferName e manter qualquer um dos mesmos valores de principalId , tem de remover o acesso à delegação anterior antes de implementar a nova oferta. Se não remover a oferta primeiro, os utilizadores que tenham concedido permissão anteriormente poderão perder completamente o acesso devido a atribuições em conflito.

Se estiver a alterar o inquilino de gestão, pode deixar a oferta anterior implementada se quiser que ambos os inquilinos continuem a ter acesso. Se apenas pretender que o novo inquilino de gestão tenha acesso, a oferta anterior tem de ser removida. Isto pode ser feito antes ou depois de integrar a nova oferta.

Se estiver a atualizar a oferta para ajustar apenas as autorizações e manter o mesmo mspOfferName, não tem de remover a delegação anterior. A nova implementação substituirá a delegação anterior e só serão aplicadas as autorizações no modelo mais recente.

A remoção do acesso à delegação pode ser feita por qualquer utilizador no inquilino de gestão a quem foi concedida a Função de Eliminação da Atribuição de Registo dos Serviços Geridos na delegação original. Se nenhum utilizador no seu inquilino de gestão tiver esta função, pode pedir ao cliente para remover o acesso à oferta no portal do Azure.

Dica

Se tiver removido a delegação anterior, mas não conseguir implementar o novo modelo do ARM, poderá ter de remover completamente a definição de registo. Isto pode ser feito por qualquer utilizador com uma função que tenha a Microsoft.Authorization/roleAssignments/write permissão, como Proprietário, no inquilino do cliente.

Implementar o modelo do Resource Manager

O cliente pode implementar o modelo atualizado da mesma forma que fez anteriormente: no portal do Azure, com o PowerShell ou com a CLI do Azure.

Após a conclusão da implementação, confirme que foi bem-sucedida. As autorizações atualizadas estarão então em vigor para a subscrição ou grupos de recursos que o cliente delegou.

Atualizar ofertas de Serviço Gerido

Se integrou o cliente através de uma oferta do Serviço Gerido publicada no Azure Marketplace e pretender atualizar as autorizações, pode fazê-lo ao publicar uma nova versão da oferta com atualizações às autorizações no plano para esse cliente. Em seguida, o cliente poderá rever as alterações no portal do Azure e aceitar a versão atualizada.

Se quiser alterar o inquilino de gestão, terá de criar e publicar uma nova oferta de Serviço Gerido para o cliente aceitar.

Importante

Recomendamos que não tenha várias ofertas entre o mesmo cliente e a gestão do inquilino. Se publicar uma nova oferta para um cliente atual que utiliza o mesmo inquilino de gestão, certifique-se de que a oferta anterior é removida antes de o cliente aceitar a oferta mais recente.

Passos seguintes

• Veja e faça a gestão dos clientes ao aceder a Os meus clientes no portal do Azure.
• Saiba como remover o acesso a uma delegação que foi anteriormente integrada.
• Saiba mais sobre a arquitetura do Azure Lighthouse.