進行 Azure Lighthouse 委派
Azure Lighthouse本身的目的是為了幫用戶代管,所以不僅僅Azure CSP,Azure Plan,甚至連MSDN的訂閱我們一樣可以納入Azure Lighthouse來進行管理。
只是因為Azure Plan模式下,我們要拿到PEC點數權利的一個前提是我們要有用戶的訂閱管理權,而Azure Lighthouse委派可以委派對應的權利,所以這可以當做一個途徑。
按照預設合作夥伴會被授與客戶訂用帳戶的必要存取權,就已經符合獲取PEC的點數,但如果用戶將我們移除掉,則不符合
在用戶沒有將我們移除之前,理論上是可以通過API來批量進行Azure Lighthouse的委派。現階段,建議還是保留初始建立帳號時我們被授予的必要存取權。
進行Azure Lighthouse委派預設是從 客戶 端進行,所以如果用戶已經把我們從訂閱中的權限拿掉,則只能將powershell腳本交給用戶去執行。
委派前,用戶的訂閱的服務提供者和委派位置都是空白的
委派需要執行客戶端在powershell執行,其中一些參數為我們CSP的租用戶訊息,也要定義要委派什麼樣子的權限,不是所有的權限都可以拿到PEC點數(例如讀者)。
https://docs.microsoft.com/en-us/azure/lighthouse/how-to/onboard-customer
在委派腳色的部分,建議您參照此文件了解那些腳色委派才能有資格得到 PEC
https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE3QuW2
委派腳色的部分,建議您參照此文件了解那些腳色委派才能有資格得到 PEC。(特別注意此方式無法指派 Owner)
https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE3QuW2
![image_thumb[1]](http://i-services.info/tzung/wp-content/uploads/2020/07/image_thumb1.png "image_thumb[1]"){kind=small}
執行完畢後,用戶端的服務提供者就可以看到我們的資訊
我們使用CSP的帳戶登入Azure Portal中“我的客戶”,就可以看到委派給我們管理的訂閱。
可以從其中看到用戶訂閱的資源
https://docs.microsoft.com/zh-tw/azure/lighthouse/overview
2. 若客戶希望了解 Lighthouse 設定釋出了多少權限,以及如何稽核,又該如何說明?
客戶可以透過Azure -> Service Providers 頁面來查看並管理透過 Azure Lighthouse 所給予的權限。
(1) 點入offer 可以了解該offer 目前授予權限給哪個 Provider 以及是授予那些人那些權限腳色
(2) 同時客戶也能夠自行為offer添加受管理資源或是移除offer
(3) 客戶可以透過 Activity Log 紀錄來了解訂閱變化以及操作人員、時間紀錄
(4) 您也可以透過對特定訂閱設定警示,它們會包含客戶自己的租使用者以及任何管理的租使用者中的使用者所執行的動作。
參考資料 :
檢視和管理服務提供者
https://docs.microsoft.com/zh-tw/azure/lighthouse/how-to/view-manage-service-providers
檢視服務提供者活動
https://docs.microsoft.com/zh-tw/azure/lighthouse/how-to/view-service-provider-activity
Azure 安全性紀錄及審核
https://docs.microsoft.com/zh-tw/azure/security/fundamentals/log-audit
近期留言