更新委派

將訂閱 (或資源群組) 上線至 Azure Lighthouse 之後，您可能需要進行變更。例如，您的客戶可能會希望您承接需要不同 Azure 內建角色的其他管理工作，或者您可能需要將租用戶變更為客戶訂閱所委派的租用戶。

提示

雖然我們在這個主題中所述的是服務提供者與其客戶，但管理多個租用戶的企業也可以使用相同程序來設定 Azure Lighthouse，以及合併其管理體驗。

如果您透過 Azure Resource Manager 範本 (ARM 範本) 將客戶上線，則必須為客戶執行新的部署。視您要變更的內容而定，建議您更新原始供應項目，或移除原始供應項目並建立新的項目。

更新 ARM 範本

若要更新委派，您必須部署包含您想要進行變更的 ARM 範本。

如果您只更新授權 (例如使用您先前未包含的角色新增新的使用者群組，或變更現有使用者的角色)，則可以使用與先前委派所用之 ARM 範本相同的 mspOfferName。從先前的範本開始。然後，進行您所需的變更，例如將一個 Azure 內建角色取代為另一個，或將全新的授權新增至範本。

如果您變更 mspOfferName，則會被視為是新的個別供應項目。如果您要變更管理租用戶，則需要執行此動作。

如果管理租用戶維持不變，則無需變更 mspOfferName。在大部分情況下，我們建議相同客戶與管理租用戶只使用一個 mspOfferName。如果選擇為範本建立新的 mspOfferName，請先確定已移除客戶先前的委派，再部署新的委派。

在執行新的部署之前，建議您移除先前的委派存取權。這可確保所有先前的權限都被移除，讓您能夠以未來也應能適用的精確使用者/群組和角色全新開始。

重要

如果您使用新的 mspOfferName 並保留任何相同的 principalId 值，則必須先移除先前的委派存取權，才能部署新供應項目。如果您未先移除供應項目，先前授與權限的使用者可能會因為指派衝突而完全失去存取權。

如果想要變更管理租用戶並讓這兩個租用戶繼續保有存取權，您可以保留先前的供應項目。如果您只想讓新的管理租用戶有存取權，則必須移除先前的供應項目。這可以在您將新的供應項目上線之前或之後完成。

如果您要更新供應項目以僅調整授權，並保留相同的 mspOfferName，則不需要移除先前的委派。新部署將會取代先前的委派，而且只會套用最新範本中的授權。

Diagram showing when to change mspOfferName and remove a previous delegation.

管理租用戶的任何使用者，如果在原始委派時獲得受控服務註冊指派刪除角色的權限，便可以移除委派的存取權。如果您的管理租用戶中沒有任何使用者具有此角色，可以要求客戶在 Azure 入口網站中移除對供應項目的存取權。

提示

如果您已移除先前的委派，但無法部署新的 ARM 範本，則可能需要完全移除註冊定義。這可由具有 Microsoft.Authorization/roleAssignments/write 權限角色的任何使用者來完成，例如客戶租用戶中的擁有者。

您的客戶可以依照先前的方式部署更新的範本：在 Azure 入口網站，透過使用 PowerShell 或 Azure CLI 來部署。

部署完成後，請確認部署是否成功。然後，更新的授權會在客戶委派的訂閱或資源群組中生效。

如果您透過發佈至 Azure Marketplace 的受控服務供應項目將客戶上線，而且想要更新授權，您可以發佈新版本的供應項目，並在客戶的方案中更新授權。如此一來，客戶便能夠檢閱 Azure 入口網站中的變更，並接受已更新的版本。

如果您想要變更管理租用戶，您必須建立並發佈新的受控服務供應項目，以供客戶接受。

重要

建議在相同的客戶與管理租用戶之間不要有多個供應項目。如果您為目前使用相同管理租用戶的客戶發佈新的供應項目，請務必在客戶接受較新的供應項目之前移除先前的項目。