Registrera en kund i Azure Lighthouse

  • Artikel
  • 14 minuter för att läsa

Den här artikeln förklarar hur du som tjänstleverantör kan registrera en kund för att Azure Lighthouse. När du gör det kan delegerade resurser (prenumerationer och/eller resursgrupper) i kundens Azure Active Directory-klientorganisation (Azure AD) hanteras av användare i din klientorganisation via Azure-delegerad resurshantering.

Tips

Även om vi refererar till tjänstleverantörer och kunder i det här avsnittet kan företag som hanterar flera klienter använda samma process för att konfigurera Azure Lighthouse och konsolidera sina hanteringsupplevelser.

Du kan upprepa registreringsprocessen för flera kunder. När en användare med rätt behörighet loggar in på din hanterande klientorganisation kan den användaren auktoriseras i kundens klientorganisationsomfång för att utföra hanteringsåtgärder, utan att behöva logga in på varje enskild kundklientorganisation.

Anteckning

Kunder kan alternativt registrera sig för att Azure Lighthouse när de köper ett erbjudande för hanterad tjänst (offentligt eller privat) som du publicerar till Azure Marketplace. Du kan också använda onboarding-processen som beskrivs här tillsammans med erbjudanden som publicerats till Azure Marketplace.

Registreringsprocessen kräver att åtgärder vidtas inifrån både tjänstleverantörens klientorganisation och från kundens klientorganisation. Alla dessa steg beskrivs i den här artikeln.

Samla in information om klientorganisation och prenumeration

Om du vill registrera en kunds klientorganisation måste den ha en aktiv Azure-prenumeration. Du behöver känna till följande:

  • Klientorganisations-ID för tjänstleverantörens klientorganisation (där du kommer att hantera kundens resurser). Om du skapar mallen i Azure Portalanges det här värdet automatiskt.
  • Klientorganisations-ID för kundens klientorganisation (som kommer att ha resurser som hanteras av tjänstleverantören).
  • Prenumerations-ID:n för varje specifik prenumeration i kundens klientorganisation som ska hanteras av tjänstleverantören (eller som innehåller de resursgrupper som ska hanteras av tjänstleverantören).

Om du inte känner till ID:t för en klient kan du hämta det med hjälp av Azure Portal, Azure PowerShell eller Azure CLI.

Definiera roller och behörigheter

Som tjänstleverantör kanske du vill utföra flera uppgifter för en enda kund, vilket kräver olika åtkomst för olika omfång. Du kan definiera så många auktoriseringar som du behöver för att tilldela lämpliga inbyggda Azure-roller. Varje auktorisering innehåller ett principalId som refererar till en Azure AD-användare, grupp eller tjänstens huvudnamn i den hanterande klientorganisationen.

Anteckning

Om det inte uttryckligen anges kan referenser till en "användare" i Azure Lighthouse-dokumentationen gälla för en Azure AD-användare, grupp eller tjänstens huvudnamn i en auktorisering.

För att definiera auktoriseringar måste du känna till ID-värdena för varje användare, användargrupp eller tjänstens huvudnamn i den hanterande klientorganisation som du vill bevilja åtkomst till. Du kan hämta dessa ID:n med hjälp Azure Portal, Azure PowerShell eller Azure CLI från den hanterande klientorganisationen. Du behöver även rolldefinitions-ID:t för varje inbyggd roll som du vill tilldela.

Tips

Vi rekommenderar att du tilldelar rollen Ta bort tilldelning för registrering av hanterade tjänster vid registrering av en kund, så att användare i din klientorganisation kan ta bort åtkomsten till delegeringen senare om det behövs. Om den här rollen inte har tilldelats kan delegerade resurser endast tas bort av en användare i kundens klientorganisation.

Vi rekommenderar att du använder Azure AD-användargrupper för varje roll när det är möjligt, i stället för enskilda användare. Detta ger dig flexibiliteten att lägga till eller ta bort enskilda användare i gruppen som har åtkomst, så att du inte behöver upprepa registreringsprocessen för att göra användarändringar. Du kan också tilldela roller till ett huvudnamn för tjänsten, vilket kan vara användbart för automatiseringsscenarier.

Viktigt

För att kunna lägga till behörigheter för en Azure AD-grupp måste Grupptyp anges till Säkerhet. Det här alternativet väljs när gruppen skapas. Mer information finns i Skapa en grundläggande grupp och lägga till medlemmar med hjälp av Azure Active Directory.

När du definierar dina auktoriseringar måste du följa principen om minsta behörighet så att användarna bara har de behörigheter som krävs för att slutföra sitt jobb. Information om vilka roller och metodtips som stöds finns i Klientorganisation, användare och roller i Azure Lighthouse scenarier.

Om du vill spåra din inverkan på kundengagemang och ta emot igenkänning associerar du ditt Microsoft Partner Network-ID (MPN) med minst ett användarkonto som har åtkomst till var och en av dina inbyggda prenumerationer. Du måste utföra den här associationen i tjänstleverantörens klientorganisation. Vi rekommenderar att du skapar ett konto för tjänstens huvudnamn i din klientorganisation som är associerat med ditt MPN-ID och sedan inkluderar tjänstens huvudnamn varje gång du skapar en kund. Mer information finns i Länka ditt partner-ID för att aktivera partner-intjänad kredit på delegerade resurser.

Tips

Du kan också skapa berättigade auktoriseringar som låter användare i din hanterande klient tillfälligt höja sin roll. Den här funktionen är för närvarande i offentlig förhandsversion och har specifika licensieringskrav. Mer information finns i Skapa berättigade auktoriseringar.

Skapa en Azure Resource Manager mall

För att registrera kunden behöver du skapa en Azure Resource Manager-mall för ditt erbjudande med följande information. Värdena mspOfferName och mspOfferDescription visas för kunden på sidan Tjänstleverantörer i Azure Portal när mallen har distribuerats i kundens klientorganisation.

Field Definition
mspOfferName Ett namn som beskriver den här definitionen. Det här värdet visas för kunden som rubrik för erbjudandet och måste vara ett unikt värde.
mspOfferDescription En kort beskrivning av ditt erbjudande (till exempel "Erbjudande om hantering av virtuella Contoso-datorer"). Det här fältet är valfritt, men rekommenderas så att kunderna har en tydlig förståelse för ditt erbjudande.
managedByTenantId Ditt klientorganisations-ID.
Tillstånd PrincipalId-värdena för användare/grupper/SPN:er från din klientorganisation, var och en med ett principalIdDisplayName som hjälper kunden att förstå syftet med auktoriseringen och mappad till ett inbyggt roleDefinitionId-värde för att ange åtkomstnivån.

Du kan skapa den här mallen i Azure Portal eller genom att manuellt ändra mallarna som finns i vår lagringsplatsen för exempel.

Viktigt

Processen som beskrivs här kräver en separat distribution för varje prenumeration som publiceras, även om du registrera prenumerationer i samma kundklientorganisation. Separata distributioner krävs också om du ska registrera flera resursgrupper i olika prenumerationer i samma kundklientorganisation. Registrering av flera resursgrupper inom en enda prenumeration kan dock göras i en distribution.

Separata distributioner krävs också för att flera erbjudanden ska tillämpas på samma prenumeration (eller resursgrupper i en prenumeration). Varje erbjudande som tillämpas måste använda olika mspOfferName.

Skapa mallen i Azure Portal

Om du vill skapa mallen i Azure Portal går du till Mina kunder och väljer sedan Skapa ARM-mall på översiktssidan.

På sidan Skapa ARM-mallerbjudande anger du ditt namn och en valfri Beskrivning. Dessa värden används för mspOfferName och mspOfferDescription i mallen. Värdet managedByTenantId anges automatiskt baserat på den Azure AD-klientorganisation som du är inloggad på.

Välj antingen Prenumeration eller Resursgrupp, beroende på vilket kundomfång du vill registrera. Om du väljer Resursgrupp måste du ange namnet på den resursgrupp som ska publiceras. Du kan välja ikonen + för att lägga till ytterligare resursgrupper efter behov. (Alla resursgrupper måste finnas i samma kundprenumeration.)

Skapa slutligen dina auktoriseringar genom att välja + Lägg till auktorisering. Ange följande information för var och en av dina auktoriseringar:

  1. Välj typ av huvudkonto beroende på vilken typ av konto du vill inkludera i auktoriseringen. Detta kan vara antingen Användare, Grupp eller Tjänstens huvudnamn. I det här exemplet väljer vi Användare.
  2. Välj länken + Välj användare för att öppna markeringsfönstret. Du kan använda sökfältet för att hitta den användare som du vill lägga till. När du har gjort det klickar du på Välj. Användarens huvudnamn-ID fylls i automatiskt.
  3. Granska fältet Visningsnamn (ifylld baserat på den användare som du har valt) och gör ändringar om du vill.
  4. Välj den roll som ska tilldelas till den här användaren.
  5. För Åtkomsttyp väljer du Permanent eller Berättigad. Om du väljer Berättigad måste du ange alternativ för maximal varaktighet, multifaktorautentisering och om godkännande krävs eller inte. Mer information om dessa alternativ finns i Skapa berättigade auktoriseringar. Funktionen för berättigade auktoriseringar är för närvarande i offentlig förhandsversion och kan inte användas med tjänstens huvudnamn.
  6. Välj Lägg till för att skapa din auktorisering.

Skärmbild av avsnittet Lägg till auktorisering i Azure Portal.

När du har valt Lägg till återgår du till skärmen Skapa ARM-mallerbjudande. Du kan välja + Lägg till auktorisering igen för att lägga till så många auktoriseringar som behövs.

När du har lagt till alla dina auktoriseringar väljer du Visa mall. På den här skärmen visas en .json-fil som motsvarar de värden som du har angett. Välj Ladda ned för att spara en kopia av den här .json-filen. Den här mallen kan sedan distribueras i kundens klientorganisation. Du kan också redigera den manuellt om du behöver göra några ändringar. Observera att filen inte lagras i Azure Portal.

Skapa mallen manuellt

Du kan skapa mallen med hjälp av en Azure Resource Manager mall (finns i vår lagringsplatsen medexempel) och en motsvarande parameterfil som du ändrar så att den matchar din konfiguration och definierar dina auktoriseringar. Om du vill kan du inkludera all information direkt i mallen i stället för att använda en separat parameterfil.

Vilken mall du väljer beror på om du skapar en hel prenumeration, en resursgrupp eller flera resursgrupper i en prenumeration. Vi tillhandahåller också en mall som kan användas för kunder som har köpt ett erbjudande om hanterade tjänster som du har publicerat till Azure Marketplace, om du föredrar att registrera deras prenumerationer på det här sättet.

Så här gör du för att publicera detta Använd den här Azure Resource Manager mallen Och ändra den här parameterfilen
Prenumeration subscription.json subscription.parameters.json
Resursgrupp rg.json rg.parameters.json
Flera resursgrupper i en prenumeration multi-rg.json multiple-rg.parameters.json
Prenumeration (när du använder ett erbjudande som publicerats till Azure Marketplace) marketplaceDelegatedResourceManagement.json marketplaceDelegatedResourceManagement.parameters.json

Om du vill inkludera berättigade auktoriseringar (för närvarande i offentlig förhandsversion) väljer du motsvarande mall från avsnittet delegated-resource-management-eligible-authorizations i vår lagringsplatsen för exempel.

Tips

Du kan inte publicera en hel hanteringsgrupp i en distribution, men du kan distribuera en princip för att registrera varje prenumeration i en hanteringsgrupp. Sedan får du åtkomst till alla prenumerationer i hanteringsgruppen, även om du måste arbeta med dem som enskilda prenumerationer (i stället för att vidta åtgärder direkt på hanteringsgruppresursen).

I följande exempel visas en ändrad subscription.parameters.json-fil som kan användas för att publicera en prenumeration. Parameterfilerna för resursgruppen (som finns i mappen rg-delegated-resource-management) liknar varandra, men innehåller även en rgName-parameter för att identifiera de specifika resursgrupper som ska publiceras.

{
    "$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "value": "Fabrikam Managed Services - Interstellar"
        },
        "mspOfferDescription": {
            "value": "Fabrikam Managed Services - Interstellar"
        },
        "managedByTenantId": {
            "value": "00000000-0000-0000-0000-000000000000"
        },
        "authorizations": {
            "value": [
                {
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "principalIdDisplayName": "Tier 1 Support",
                    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
                },
                {
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "principalIdDisplayName": "Tier 1 Support",
                    "roleDefinitionId": "36243c78-bf99-498c-9df9-86d9f8d28608"
                },
                {
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "principalIdDisplayName": "Tier 2 Support",
                    "roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7"
                },
                {
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "principalIdDisplayName": "Service Automation Account",
                    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
                },
                {
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "principalIdDisplayName": "Policy Automation Account",
                    "roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
                    "delegatedRoleDefinitionIds": [
                        "b24988ac-6180-42a0-ab88-20f7382dd24c",
                        "92aaf0da-9dab-42b6-94a3-d43ce8d16293"
                    ]
                }
            ]
        }
    }
}

Den sista auktoriseringen i exemplet ovan lägger till ett principalId med rollen Administratör för användaråtkomst (18d7d88d-d35e-4fb5-a5c3-7773c20a72d9). När du tilldelar den här rollen måste du inkludera egenskapen delegatedRoleDefinitionIds och en eller flera inbyggda Azure-roller som stöds. Den användare som skapas i den här auktoriseringen kommer att kunna tilldela dessa roller till hanterade identiteter i kundens klientorganisation, vilket krävs för att distribuera principer som kan åtgärdas. Användaren kan också skapa supportärenden. Inga andra behörigheter som vanligtvis associeras med rollen Administratör för användaråtkomst gäller för detta principalId.

Distribuera Azure Resource Manager mall

När du har skapat mallen måste en användare i kundens klientorganisation distribuera den inom sin klientorganisation. En separat distribution krävs för varje prenumeration som du vill registrera (eller för varje prenumeration som innehåller resursgrupper som du vill publicera).

När du ska registrera en prenumeration (eller en eller flera resursgrupper i en prenumeration) med hjälp av processen som beskrivs här, registreras resursprovidern Microsoft.ManagedServices för den prenumerationen.

Viktigt

Den här distributionen måste göras av ett icke-gästkonto i kundens klientorganisation som har en roll med behörigheten, till exempel Ägare , för prenumerationen som publiceras (eller som innehåller de resursgrupper som Microsoft.Authorization/roleAssignments/write ska publiceras). För att hitta användare som kan delegera prenumerationen kan en användare i kundens klientorganisation välja prenumerationen i Azure Portal, öppna Åtkomstkontroll (IAM) och visa alla användare med rollen Ägare.

Om prenumerationen skapades via programmet Molnlösningsleverantör (CSP)kan alla användare som har rollen Administratörsagent i tjänstleverantörens klientorganisation utföra distributionen.

Distributionen kan göras med hjälp av PowerShell, med hjälp av Azure CLI eller i Azure Portal, enligt nedan.

PowerShell

Så här distribuerar du en enskild mall:

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Deploy Azure Resource Manager template using template and parameter file locally
New-AzSubscriptionDeployment -Name <deploymentName> `
                 -Location <AzureRegion> `
                 -TemplateFile <pathToTemplateFile> `
                 -Verbose

# Deploy Azure Resource Manager template that is located externally
New-AzSubscriptionDeployment -Name <deploymentName> `
                 -Location <AzureRegion> `
                 -TemplateUri <templateUri> `
                 -Verbose

Så här distribuerar du en mall med en separat parameterfil:

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Deploy Azure Resource Manager template using template and parameter file locally
New-AzSubscriptionDeployment -Name <deploymentName> `
                 -Location <AzureRegion> `
                 -TemplateFile <pathToTemplateFile> `
                 -TemplateParameterFile <pathToParameterFile> `
                 -Verbose

# Deploy Azure Resource Manager template that is located externally
New-AzSubscriptionDeployment -Name <deploymentName> `
                 -Location <AzureRegion> `
                 -TemplateUri <templateUri> `
                 -TemplateParameterUri <parameterUri> `
                 -Verbose

Azure CLI

Så här distribuerar du en enskild mall:

# Log in first with az login if you're not using Cloud Shell

# Deploy Azure Resource Manager template using template and parameter file locally
az deployment sub create --name <deploymentName> \
                         --location <AzureRegion> \
                         --template-file <pathToTemplateFile> \
                         --verbose

# Deploy external Azure Resource Manager template, with local parameter file
az deployment sub create --name <deploymentName> \
                         --location <AzureRegion> \
                         --template-uri <templateUri> \
                         --verbose

Så här distribuerar du en mall med en separat parameterfil:

# Log in first with az login if you're not using Cloud Shell

# Deploy Azure Resource Manager template using template and parameter file locally
az deployment sub create --name <deploymentName> \
                         --location <AzureRegion> \
                         --template-file <pathToTemplateFile> \
                         --parameters <parameters/parameterFile> \
                         --verbose

# Deploy external Azure Resource Manager template, with local parameter file
az deployment sub create --name <deploymentName> \
                         --location <AzureRegion> \
                         --template-uri <templateUri> \
                         --parameters <parameterFile> \
                         --verbose

Azure Portal

Med det här alternativet kan du ändra mallen direkt i Azure Portal och sedan distribuera den. Detta måste göras av en användare i kundens klientorganisation.

  1. I vår GitHub lagringsplatsenväljer du knappen Distribuera till Azure som visas bredvid den mall som du vill använda. Mallen öppnas på Azure-portalen.
  2. Ange dina värden för Msp-erbjudandenamn, beskrivning av Msp-erbjudande, hanterat av klientorganisations-ID och auktoriseringar. Om du vill kan du välja Redigera parametrar för att ange värden för , , och direkt i mspOfferName mspOfferDescription managedbyTenantId authorizations parameterfilen. Se till att uppdatera dessa värden i stället för att använda standardvärdena från mallen.
  3. Välj Granska och skapa och välj sedan Skapa.

Efter några minuter bör du se ett meddelande om att distributionen har slutförts.

Bekräfta lyckad registrering

När en kundprenumeration har introducerats för Azure Lighthouse kan användare i tjänstleverantörens klientorganisation se prenumerationen och dess resurser (om de har beviljats åtkomst till den via processen ovan, antingen individuellt eller som medlem i en Azure AD-grupp med rätt behörigheter). Bekräfta detta genom att kontrollera att prenumerationen visas på något av följande sätt.

Azure Portal

I tjänstleverantörens klientorganisation:

  1. Gå till sidan Mina kunder.
  2. Välj Kunder.
  3. Bekräfta att du kan se prenumerationerna med det erbjudandenamn som du angav i Resource Manager mallen.

Viktigt

För att kunna se den delegerade prenumerationen i Mina kunder måste användare i tjänstleverantörens klientorganisation ha beviljats rollen Läsare (eller någon annan inbyggd roll som omfattar läsaråtkomst) när prenumerationen har publiceras.

I kundens klientorganisation:

  1. Gå till sidan Tjänstleverantörer.
  2. Och sedan välja Tjänstleverantörserbjudanden.
  3. Bekräfta att du kan se prenumerationerna med det erbjudandenamn som du angav i Resource Manager mallen.

Anteckning

Det kan ta upp till 15 minuter efter att distributionen är klar innan uppdateringarna visas i Azure Portal. Du kanske kan se uppdateringarna tidigare om du uppdaterar din Azure Resource Manager-token genom att uppdatera webbläsaren, logga in och ut eller begära en ny token.

PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

Get-AzContext

# Confirm successful onboarding for Azure Lighthouse

Get-AzManagedServicesDefinition
Get-AzManagedServicesAssignment

Azure CLI

# Log in first with az login if you're not using Cloud Shell

az account list

# Confirm successful onboarding for Azure Lighthouse

az managedservices definition list
az managedservices assignment list

Om du behöver göra ändringar när kunden har registrerats kan du uppdatera delegeringen. Du kan också ta bort åtkomsten till delegeringen helt.

Felsökning

Om du inte kan registrera din kund, eller om användarna har problem med att komma åt de delegerade resurserna, kan du läsa följande tips och krav och försöka igen.

  • Användare som behöver visa kundresurser i Azure Portal måste ha beviljats rollen Läsare (eller någon annan inbyggd roll som omfattar läsaråtkomst) under registreringsprocessen.
  • Värdet managedbyTenantId får inte vara samma som klientorganisations-ID:t för prenumerationen som publiceras.
  • Du kan inte ha flera tilldelningar i samma omfång med samma mspOfferName .
  • Resursprovidern Microsoft.ManagedServices måste vara registrerad för den delegerade prenumerationen. Detta bör ske automatiskt under distributionen, men om inte kan du registrera det manuellt.
  • Auktoriseringar får inte innehålla några användare med den inbyggda rollen Ägare eller några inbyggda roller med DataActions.
  • Grupper måste skapas med Grupptyp inställtSäkerhet och inte Microsoft 365.
  • Om åtkomst har beviljats till en grupp kontrollerar du att användaren är medlem i gruppen. Om de inte är det kan du lägga till dem i gruppen med hjälp av Azure ADutan att behöva utföra en annan distribution. Observera att gruppägare inte nödvändigtvis är medlemmar i de grupper som de hanterar och kan behöva läggas till för att ha åtkomst.
  • Det kan uppstå ytterligare en fördröjning innan åtkomst aktiveras för kapslade grupper.
  • De inbyggda Azure-roller som du inkluderar i auktoriseringar får inte innehålla några inaktuella roller. Om en inbyggd Azure-roll blir inaktuell kommer alla användare som har fått den rollen att förlora åtkomst och du kommer inte att kunna registrera ytterligare delegeringar. Du kan åtgärda detta genom att uppdatera mallen så att den endast använder inbyggda roller som stöds och sedan utföra en ny distribution.

Nästa steg