Bir müşteriyi Azure Lighthouse’a ekleme

Bu makalede, bir hizmet sağlayıcı olarak, bir müşteriyi Azure açık Thouse 'a nasıl oluşturabileceğiniz açıklanmaktadır. bunu yaptığınızda, müşterinin Azure Active Directory (azure AD) kiracısında atanan kaynaklar (abonelikler ve/veya kaynak grupları), Azure tarafından atanan kaynak yönetimiaracılığıyla kiracınızdaki kullanıcılar tarafından yönetilebilir.

Birden çok müşteri için ekleme işlemini yineleyebilirsiniz. Uygun izinlere sahip bir Kullanıcı, yönetim kiracınızda oturum açtığında, bu kullanıcıya, her bir müşteri kiracısında oturum açmaya gerek kalmadan, yönetim işlemlerini gerçekleştirmek üzere müşteri kiracı kapsamları genelinde yetki atanabilir.

Ekleme işlemi, eylemlerin hem hizmet sağlayıcının kiracısından hem de müşterinin kiracısından alınması gerekir. Bu adımların tümü bu makalede açıklanmıştır.

Kiracı ve abonelik ayrıntılarını toplayın

Bir müşterinin kiracısını eklemek için etkin bir Azure aboneliğine sahip olması gerekir. Şunları bilmeniz gerekir:

• Hizmet sağlayıcısının kiracının kiracı KIMLIĞI (müşterinin kaynaklarını yönettiğiniz yerdir). Şablonunuzu Azure Portal oluşturursanız, bu değer otomatik olarak sağlanır.
• Müşterinin kiracının kiracı KIMLIĞI (hizmet sağlayıcısı tarafından yönetilen kaynaklar olacaktır).
• Müşterinin kiracısındaki, hizmet sağlayıcısı tarafından yönetilecek (veya hizmet sağlayıcısı tarafından yönetilecek kaynak gruplarını içeren) her bir abonelik için abonelik kimlikleri.

bir kiracının kimliğini bilmiyorsanız Azure portal, Azure PowerShell veya Azure clı kullanarak alabilirsiniz.

Rolleri ve izinleri tanımlama

Hizmet sağlayıcı olarak, farklı kapsamlar için farklı erişim gerektiren tek bir müşteri için birden çok görev gerçekleştirmek isteyebilirsiniz. Uygun Azure yerleşik rollerininatanması için ihtiyacınız olan sayıda yetkilendirmeler tanımlayabilirsiniz. Her yetkilendirme, yönetim kiracısındaki bir Azure AD kullanıcısına, grubuna veya hizmet sorumlusuna başvuran bir PrincipalId içerir.

Yetkilendirmeleri tanımlamak için, erişim vermek istediğiniz yönetim kiracısında her bir Kullanıcı, Kullanıcı grubu veya hizmet sorumlusu için KIMLIK değerlerini bilmeniz gerekir. bu kimlikleri, yönetim kiracısı içinden Azure portal, Azure PowerShell veya Azure clı kullanarak elde edebilirsiniz. Ayrıca, atamak istediğiniz her bir yerleşik rol için rol tanımı kimliği gerekir.

Her bir rol için Azure AD Kullanıcı gruplarının, bireysel kullanıcılar yerine her ne kadar kullanılması önerilir. Bu sayede, Kullanıcı değişikliği yapmak için ekleme işlemini tekrarlamanız gerekmiyorsa, erişimi olan gruba bireysel kullanıcı ekleme veya kaldırma esnekliği sağlar. Ayrıca, Otomasyon senaryolarında yararlı olabilecek bir hizmet sorumlusuna roller atayabilirsiniz.

Yetkilendirmeleri tanımlarken, kullanıcıların yalnızca işlerini tamamlaması için gerekli izinlere sahip olması için en az ayrıcalık ilkesini izlediğinizden emin olun. Desteklenen roller ve en iyi uygulamalar hakkında daha fazla bilgi için bkz. Azure 'Da kiracılar, kullanıcılar ve roller.

Müşteri görevlendirmeleri genelinde etkileri izlemek ve tanıma almak için, Microsoft İş Ortağı Ağı (MPN) KIMLIĞINIZI eklendi aboneliklerinizin her birine erişimi olan en az bir kullanıcı hesabıyla ilişkilendirin. Bu ilişkilendirmeyi hizmet sağlayıcı kiracınızda gerçekleştirmeniz gerekir. Kiracınızda MPN KIMLIĞINIZLE ilişkilendirilen bir hizmet sorumlusu hesabı oluşturmanızı ve sonra bu hizmet sorumlusunu bir müşteriyi her açışınızda dahil edilmesini öneririz. Daha fazla bilgi için bkz. temsilci atanan kaynaklarda iş ortağı kazanılmış krediyi sağlamak için iş ortağı kimliğinizi bağlama.

Azure Resource Manager şablonu oluşturma

Müşterinizi eklemek için aşağıdaki bilgileri ekleyerek teklifinize ait bir Azure Resource Manager şablonu oluşturmanız gerekir. Şablon müşterinin kiracısında dağıtıldıktan sonra, Mspoffername ve mspofferdescription değerleri, Azure Portal hizmet sağlayıcıları sayfasında müşterinin görebilecektir.

Bu şablonu Azure portal oluşturabilir veya örnekdepolarımızda sağlanan şablonları el ile değiştirerek oluşturabilirsiniz.

Azure portal şablonunuzu oluşturun

Azure portal şablonunuzu oluşturmak için müşterilerime gidin ve genel bakış sayfasında ARM şablonu oluştur ' u seçin.

ARM şablon teklifi oluştur sayfasında, adınızı ve isteğe bağlı bir Açıklama girin. Bu değerler, şablonunuzda Mspoffername ve mspofferdescription için kullanılacaktır. Managedbytenantıd değeri, oturum AÇTıĞıNıZ Azure AD kiracısına göre otomatik olarak sunulacaktır.

Ardından, eklemek istediğiniz müşteri kapsamına bağlı olarak abonelik veya kaynak grubu seçeneklerinden birini belirleyin. Kaynak grubu' nu seçerseniz, eklenecek kaynak grubunun adını belirtmeniz gerekir. + Gerektiğinde ek kaynak grupları eklemek için simgeyi seçebilirsiniz. (Tüm kaynak grupları aynı müşteri aboneliğinde olmalıdır.)

Son olarak + Yetkilendirme Ekle' yi seçerek yetkilendirmeleri oluşturun. Yetkilendirmelerinizin her biri için aşağıdaki ayrıntıları sağlayın:

1. Yetkilendirmeye dahil etmek istediğiniz hesap türüne bağlı olarak asıl türü seçin. Bu, Kullanıcı, Grup veya hizmet sorumlusu olabilir. Bu örnekte Kullanıcı' yı seçeceğiz.
2. Seçim bölmesini açmak için + Kullanıcı Seç bağlantısını seçin. Eklemek istediğiniz kullanıcıyı bulmak için arama alanını kullanabilirsiniz. Bunu yaptıktan sonra Seç' e tıklayın. Kullanıcının asıl kimliği otomatik olarak doldurulur.
3. Görünen ad alanını (seçtiğiniz kullanıcıya göre doldurulmuş) gözden geçirin ve isterseniz değişiklikler yapın.
4. Bu kullanıcıya atanacak rolü seçin.
5. Erişim türü için kalıcı veya uygun' ı seçin. Uygun seçeneğini belirlerseniz, en uzun süre, çok faktörlü kimlik doğrulaması ve onay gerekip gerekmediği için seçenekleri belirtmeniz gerekir. Bu seçenekler hakkında daha fazla bilgi için bkz. uygun yetkilendirmeler oluşturma. Uygun yetkilendirmeler özelliği şu anda genel önizlemededir ve hizmet sorumlularıyla birlikte kullanılamaz.
6. Yetkilendirmeyi oluşturmak için Ekle ' yi seçin.

Ekle' yi SEÇTIKTEN sonra ARM şablon teklifi oluştur ekranına geri dönersiniz. Gerektiğinde, gereken sayıda yetkilendirmeler eklemek için + Yetkilendirmeyi yeniden Ekle ' yi seçin.

Yetkilendirmelerinizi ekledikten sonra şablonu görüntüle' yi seçin. Bu ekranda, girdiğiniz değerlere karşılık gelen bir. JSON dosyası görürsünüz. Bu. json dosyasının bir kopyasını kaydetmek için İndir ' i seçin. Bu şablon daha sonra müşterinin kiracısında dağıtılabilir. Ayrıca, herhangi bir değişiklik yapmanız gerekiyorsa el ile de düzenleyebilirsiniz. Dosyanın Azure portal depolanmadığını unutmayın.

Şablonunuzu el ile oluşturun

Şablonunuzu, Azure Resource Manager şablonu ( örnekdepolarımızda sağlanan) ve yapılandırmanızla eşleşecek şekilde değiştirdiğiniz karşılık gelen bir parametre dosyası kullanarak oluşturabilirsiniz ve yetkilendirmeleri tanımlarsınız. İsterseniz, ayrı bir parametre dosyası kullanmak yerine, tüm bilgileri doğrudan şablona dahil edebilirsiniz.

Seçtiğiniz şablon, bir aboneliğin tüm aboneliğini, kaynak grubunu veya birden çok kaynak grubunu mı, yoksa bir abonelik içinde mi sundığınıza bağlıdır. Ayrıca, aboneliklerini bu şekilde eklemek isterseniz, Azure Marketi 'Nde yayımladığınız yönetilen hizmet teklifini satın alan müşteriler için kullanılabilecek bir şablon sunuyoruz.

Uygun yetkilendirmeleri (Şu anda genel önizlemede) eklemek istiyorsanız, örnek deponuzdaki temsilci-kaynak-yönetim-uygun-yetkilendirmeler bölümündenilgili şablonu seçin.

Aşağıdaki örnek, bir aboneliği eklemek için kullanılabilen değiştirilmiş bir Subscription. Parameters. JSON dosyasını gösterir. Kaynak grubu parametre dosyaları ( RG-Temsilcili-kaynak-yönetim klasöründe bulunur) benzerdir, ancak aynı zamanda eklendi olacak belirli kaynak gruplarını belirlemek Için bir RgName parametresi de içerir.

{
    "$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "value": "Fabrikam Managed Services - Interstellar"
        },
        "mspOfferDescription": {
            "value": "Fabrikam Managed Services - Interstellar"
        },
        "managedByTenantId": {
            "value": "00000000-0000-0000-0000-000000000000"
        },
        "authorizations": {
            "value": [
                {
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "principalIdDisplayName": "Tier 1 Support",
                    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
                },
                {
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "principalIdDisplayName": "Tier 1 Support",
                    "roleDefinitionId": "36243c78-bf99-498c-9df9-86d9f8d28608"
                },
                {
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "principalIdDisplayName": "Tier 2 Support",
                    "roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7"
                },
                {
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "principalIdDisplayName": "Service Automation Account",
                    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
                },
                {
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "principalIdDisplayName": "Policy Automation Account",
                    "roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
                    "delegatedRoleDefinitionIds": [
                        "b24988ac-6180-42a0-ab88-20f7382dd24c",
                        "92aaf0da-9dab-42b6-94a3-d43ce8d16293"
                    ]
                }
            ]
        }
    }
}

Yukarıdaki örnekteki en son yetkilendirme, Kullanıcı erişimi yönetici rolü (18d7d88d-d35e-4fb5-a5c3-7773c20a72d9) ile bir PrincipalId ekliyor. Bu rolü atarken, Delegatedrotadefinitionıds özelliğini ve desteklenen bir veya daha fazla Azure yerleşik rolünü eklemeniz gerekir. Bu yetkilendirmede oluşturulan kullanıcı, bu rolleri, düzeltilen ilkeleri dağıtmakiçin gerekli olan müşteri kiracısında yönetilen kimliklere atayabilecektir. Kullanıcı da destek olayları oluşturabilir. Normalde Kullanıcı erişimi Yöneticisi rolüyle ilişkili başka hiçbir izin bu PrincipalId için geçerlidir.

Azure Resource Manager şablonu dağıtma

Şablonunuzu oluşturduktan sonra, müşterinin kiracısındaki bir kullanıcının kiracı dahilinde dağıtması gerekir. Eklemek istediğiniz her abonelik için ayrı bir dağıtım gerekir (veya eklemek istediğiniz kaynak gruplarını içeren her bir abonelik için).

Burada açıklanan işlemi kullanarak abonelik (veya bir abonelik içindeki bir veya daha fazla kaynak grubu) ekleme sırasında, Microsoft. ManagedServices kaynak sağlayıcısı bu abonelik için kaydedilir.

Dağıtım, Azure CLı kullanılarak veya Azure portal aşağıda gösterildiği gibi, PowerShell kullanılarak yapılabilir.

PowerShell

Tek bir şablon dağıtmak için:

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Deploy Azure Resource Manager template using template and parameter file locally
New-AzSubscriptionDeployment -Name <deploymentName> `
                 -Location <AzureRegion> `
                 -TemplateFile <pathToTemplateFile> `
                 -Verbose

# Deploy Azure Resource Manager template that is located externally
New-AzSubscriptionDeployment -Name <deploymentName> `
                 -Location <AzureRegion> `
                 -TemplateUri <templateUri> `
                 -Verbose

Bir şablonu ayrı parametre dosyası ile dağıtmak için:

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Deploy Azure Resource Manager template using template and parameter file locally
New-AzSubscriptionDeployment -Name <deploymentName> `
                 -Location <AzureRegion> `
                 -TemplateFile <pathToTemplateFile> `
                 -TemplateParameterFile <pathToParameterFile> `
                 -Verbose

# Deploy Azure Resource Manager template that is located externally
New-AzSubscriptionDeployment -Name <deploymentName> `
                 -Location <AzureRegion> `
                 -TemplateUri <templateUri> `
                 -TemplateParameterUri <parameterUri> `
                 -Verbose

Azure CLI

Tek bir şablon dağıtmak için:

# Log in first with az login if you're not using Cloud Shell

# Deploy Azure Resource Manager template using template and parameter file locally
az deployment sub create --name <deploymentName> \
                         --location <AzureRegion> \
                         --template-file <pathToTemplateFile> \
                         --verbose

# Deploy external Azure Resource Manager template, with local parameter file
az deployment sub create --name <deploymentName> \
                         --location <AzureRegion> \
                         --template-uri <templateUri> \
                         --verbose

Bir şablonu ayrı parametre dosyası ile dağıtmak için:

# Log in first with az login if you're not using Cloud Shell

# Deploy Azure Resource Manager template using template and parameter file locally
az deployment sub create --name <deploymentName> \
                         --location <AzureRegion> \
                         --template-file <pathToTemplateFile> \
                         --parameters <parameters/parameterFile> \
                         --verbose

# Deploy external Azure Resource Manager template, with local parameter file
az deployment sub create --name <deploymentName> \
                         --location <AzureRegion> \
                         --template-uri <templateUri> \
                         --parameters <parameterFile> \
                         --verbose

Azure portal

Bu seçenekle, şablonunuzu doğrudan Azure portal değiştirebilir ve dağıtabilirsiniz. Bu, müşteri kiracısında bir kullanıcı tarafından yapılmalıdır.

1. GitHubdeponuzda, kullanmak istediğiniz şablonun yanında gösterilen Azure 'a dağıt düğmesini seçin. Şablon Azure portalda açılır.
2. MSP teklif adı, MSP teklif açıklaması, Kiracı kimliği tarafından yönetilen ve yetkilendirmeler için değerlerinizi girin. İsterseniz parametreleri Düzenle ' yi seçerek mspOfferName parametre dosyasında,,, mspOfferDescription managedbyTenantId ve doğrudan değerlerini girebilirsiniz authorizations . Şablondaki varsayılan değerleri kullanmak yerine bu değerleri güncelleştirdiğinizden emin olun.
3. Gözden geçir ve oluştur' u seçin ve Oluştur' u seçin.

Birkaç dakika sonra dağıtımın tamamlandığını belirten bir bildirim görmeniz gerekir.

Başarılı ekleme Onayla

Bir müşteri aboneliğinin Azure Mathouse 'a başarıyla eklendi, hizmet sağlayıcının kiracısındaki kullanıcılar aboneliği ve kaynaklarını görebilir (tek tek veya bir Azure AD grubunun bir üyesi olarak, uygun izinlere sahip bir Azure AD grubuna erişim izni verildiyse). Bunu onaylamak için, aboneliğin aşağıdaki yollarla göründüğünden emin olun.

Azure portal

Hizmet sağlayıcısının kiracısında:

1. Müşterilerimiz sayfasınagidin.
2. Müşteriler’i seçin.
3. Kaynak Yöneticisi şablonunda verdiğiniz teklif adı ile abonelik (ler) i görmek istediğinizi onaylayın.

Müşterinin kiracısında:

1. Hizmet sağlayıcıları sayfasınagidin.
2. Hizmet sağlayıcısı teklifleri’ni seçin.
3. Kaynak Yöneticisi şablonunda verdiğiniz teklif adı ile abonelik (ler) i görmek istediğinizi onaylayın.

PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

Get-AzContext

# Confirm successful onboarding for Azure Lighthouse

Get-AzManagedServicesDefinition
Get-AzManagedServicesAssignment

Azure CLI

# Log in first with az login if you're not using Cloud Shell

az account list

# Confirm successful onboarding for Azure Lighthouse

az managedservices definition list
az managedservices assignment list

Müşteri eklendi sonra değişiklik yapmanız gerekirse, temsilciyi güncelleştirebilirsiniz. Ayrıca , temsilciye erişimi tamamen kaldırabilirsiniz .

Sorun giderme

Müşterinizin başarıyla sunulabileceği takdirde veya kullanıcılarınız Temsilcili kaynaklara erişirken sorun yaşıyorsa, aşağıdaki ipuçları ve gereksinimleri denetleyip yeniden deneyin.

• Azure portal müşteri kaynaklarını görüntülemesi gereken kullanıcılara, ekleme işlemi sırasında okuyucu rolü (veya okuyucu erişimi içeren başka bir yerleşik rol) verilmiş olması gerekir.
• managedbyTenantIdDeğer, eklendi olan aboneliğin KIRACı kimliğiyle aynı olmamalıdır.
• Aynı kapsamda aynı kapsamda birden çok atama olamaz mspOfferName .
• Atanmış abonelik için Microsoft. ManagedServices kaynak sağlayıcısının kayıtlı olması gerekir. Bu, dağıtım sırasında otomatik olarak gerçekleşmelidir, ancak yoksa el ile kaydedebilirsiniz.
• Yetkilendirmeler, sahip yerleşik rolüne sahip herhangi bir kullanıcı veya dataactionsiçeren yerleşik roller içermemelidir.
• Gruplar, Microsoft 365 değil, Grup türü güvenlik olarak ayarlanmış olmalıdır.
• Gruba erişim verilmezse, kullanıcının bu grubun üyesi olduğundan emin olun. Bu değillerse, başka bir dağıtım gerçekleştirmek zorunda kalmadan bunları Azure ad kullanarak gruba ekleyebilirsiniz. Grup sahiplerinin , yönettikleri grupların üyesi olmadığı ve erişimleri olması için eklenmesi gerekebilecek unutulmamalıdır.
• İç içe gruplariçin erişim etkinleştirilmeden önce ek bir gecikme olabilir.
• Yetkilendirmelere dahil ettiğiniz Azure yerleşik rolleri , kullanım dışı bırakılmış roller içermemelidir. Azure yerleşik rolü kullanım dışı olursa, bu rolle eklendi olan tüm kullanıcılar erişimi kaybeder ve ek temsilciler yükleyemezsiniz. Bu işlemi onarmak için, şablonunuzu yalnızca desteklenen yerleşik rolleri kullanacak şekilde güncelleştirin ve ardından yeni bir dağıtım gerçekleştirin.

Sonraki adımlar

• Çapraz kiracı yönetim deneyimlerihakkında bilgi edinin.
• Azure portal müşterilerime giderek müşterileri görüntüleyin ve yönetin .
• Bir temsilciyi güncelleştirmeyi veya kaldırmayı öğrenin.