將訂用帳戶上線到管理群組

Azure Lighthouse 允許委派訂用帳戶和/或資源群組，但不允許管理群組。 不過，您可以使用 Azure 原則 (英文)，將管理群組內的所有訂用帳戶委派給管理租用戶。

此原則會使用 deployIfNotExists (部分機器翻譯) 效果來檢查管理群組內的每個訂用帳戶是否已委派給指定的管理租用戶。 如果尚未委派訂用帳戶，原則會根據您在參數中提供的值建立 Azure Lighthouse 指派。 然後，您將能夠存取管理群組中的所有訂用帳戶，就如同其已手動上線一樣。

使用此原則時，請記住：

• 管理群組內的每個訂用帳戶都會有一組相同的授權。 若要變更授與存取權的使用者和角色，您必須手動將訂用帳戶上線。
• 雖然管理群組中的每個訂用帳戶都會上線，但您無法透過 Azure Lighthouse 對管理群組資源採取動作。 您必須選取要處理的訂用帳戶，就像您在其是個別上線的訂用帳戶所做的一樣。

除非以下有指定，否則所有這些步驟都必須由客戶租用戶中具有適當權限的使用者執行。

提示

雖然我們在這個主題中所述的是服務提供者和客戶，但管理多個租用戶的企業可以使用相同的程序。

跨訂用帳戶註冊資源提供者

一般而言，Microsoft.ManagedServices 資源提供者會在上線程序中註冊為訂用帳戶。 使用原則將管理群組中的訂用帳戶上線時，必須事先註冊資源提供者。 這可由客戶租用戶中的參與者或擁有者使用者 (或任何有權執行資源提供者 /register/action 作業的使用者) 來完成。 如需詳細資訊，請參閱 Azure 資源提供者和類型。

您可以使用 Azure 邏輯應用程式，在訂用帳戶之間自動註冊資源提供者。 此邏輯應用程式可以部署在具有有限權限的客戶租用戶中，以允許其在管理群組內的每個訂用帳戶中註冊資源提供者。

我們也提供可在服務提供者租用戶中部署的 Azure 邏輯應用程式。 此邏輯應用程式可將整個租用戶管理員同意授與邏輯應用程式，以跨多個租用戶中的訂用帳戶指派資源提供者。 若要授與全租用戶的管理員同意，您必須以有權代表組織同意的使用者身分登入。 請注意，即使您使用此選項跨多個租用戶註冊提供者，仍必須針對每個管理群組個別部署原則。

建立參數檔案

若要指派原則，可以從我們的樣本存放庫部署 deployLighthouseIfNotExistManagementGroup.json 檔案，以及您使用特定租用戶和指派詳細資料編輯的 deployLighthouseIfNotExistsManagementGroup.parameters.json 參數檔案。 這兩個檔案包含用來將個別訂用帳戶上線的相同詳細資料。

下列範例顯示參數檔案，其會將訂用帳戶委派給 Relecloud 受控服務租用戶，並授與兩個 principalID 的存取權：一個用於第 1 層支援，另一個自動化帳戶可將 delegateRoleDefinitionIds 指派給客戶租用戶中的受控識別。

{ 
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#", 
    "contentVersion": "1.0.0.0", 
    "parameters": { 
        "managedByName": { 
            "value": "Relecloud Managed Services" 
        }, 
        "managedByDescription": { 
            "value": "Relecloud provides managed services to its customers" 
        }, 
        "managedByTenantId": { 
            "value": "00000000-0000-0000-0000-000000000000" 
        }, 
        "managedByAuthorizations": { 
            "value": [ 
                { 
                    "principalId": "00000000-0000-0000-0000-000000000000", 
                    "principalIdDisplayName": "Tier 1 Support", 
                    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c" 
                }, 
                { 
                    "principalId": "00000000-0000-0000-0000-000000000000", 
                    "principalIdDisplayName": "Automation Account - Full access", 
                    "roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9", 
                    "delegatedRoleDefinitionIds": [ 
                        "b24988ac-6180-42a0-ab88-20f7382dd24c", 
                        "92aaf0da-9dab-42b6-94a3-d43ce8d16293", 
                        "91c1777a-f3dc-4fae-b103-61d183457e46" 
                    ] 
                }                 
            ] 
        } 
    } 
} 

將原則指派給管理群組

編輯原則以建立指派之後，您就可以在管理群組層級進行指派。 若要了解如何指派原則和檢視合規性狀態結果，請參閱快速入門：建立原則指派 (部分機器翻譯)。

下列 PowerShell 指令碼示範如何使用您所建立的範本和參數檔案，在指定的管理群組下新增原則定義。 您必須為現有的訂用帳戶建立指派和補救工作。

New-AzManagementGroupDeployment -Name <DeploymentName> -Location <location> -ManagementGroupId <ManagementGroupName> -TemplateFile <path to file> -TemplateParameterFile <path to parameter file> -verbose

確認上線成功

有數種方式可以確認管理群組中的訂用帳戶是否成功上線。 如需詳細資訊，請參閱確認成功上線。

如果您讓管理群組的邏輯應用程式和原則保持作用中，也會將新增至管理群組的任何新訂用帳戶上線。

下一步

• 瞭解如何將客戶上線至 Azure Lighthouse。
• 了解 Azure 原則。
• 瞭解關於 Azure Logic Apps。