Restablecer los privilegios de administrador para las suscripciones de del programa CSP de Azure de un cliente

Roles adecuados: Administrador global | Agente de administración

Como partner del programa Proveedor de soluciones en la nube (CSP), sus clientes suelen confiar en usted para que administre el uso que hacen de Azure y sus sistemas. Para ayudarlos, debe tener privilegios de administrador. Si aún no tiene privilegios de administrador, puede trabajar con el cliente para restablecerlos.

Privilegios de administrador para Azure en el programa Proveedor de soluciones en la nube (CSP)

Algunos privilegios de administrador se conceden automáticamente al establecer una relación de revendedor con un cliente. Los demás deben ser concedidos por un cliente.

Hay dos niveles de privilegios de administrador para Azure en CSP:

• Los privilegios de administrador de nivel de inquilino (es decir, privilegios de administrador delegado) proporcionan acceso a los inquilinos de los clientes. Este acceso delegado le permite realizar funciones administrativas, como agregar y administrar usuarios, restablecer contraseñas y administrar licencias de usuario.

  Al establecer relaciones de revendedor de CSP con los clientes, obtendrá privilegios de administrador de nivel de inquilino.

• Los privilegios de administrador de nivel de suscripción le dan acceso completo a las suscripciones de CSP de Azure de sus clientes. Este acceso le permite aprovisionar y administrar sus recursos de Azure.

  Obtiene privilegios de administrador de nivel de suscripción al crear suscripciones de CSP de Azure para los clientes.

Restablecer los privilegios de administrador de CSP: sus acciones

Usted y su cliente tienen acciones que realizar para restablecer los privilegios de administrador de CSP. En esta sección se describen las acciones que debe realizar.

Para restablecer los privilegios de administrador de CSP, siga estos pasos:

1. Inicie sesión en el Centro de partners y seleccione Clientes.

2. En la lista de clientes, seleccione Solicitar una relación de revendedor.

3. Para la casilla Privilegios de administrador delegado:

   • Deje activada la casilla para establecer la relación con privilegios de administrador delegado.
   • Desactive la casilla para establecer la relación sin privilegios de administrador delegados.

   

4. Revise el borrador de invitación por correo electrónico.

   • Seleccione Abrir en el correo electrónico para abrir la invitación de borrador en la aplicación de correo electrónico predeterminada.
   • Seleccione Copiar en el Portapapeles para copiar y pegar la invitación en un mensaje de correo electrónico.

   Importante

   Puede editar el texto en el borrador del mensaje de correo electrónico, pero asegúrese de incluir el vínculo personalizado porque vincula al cliente directamente a su cuenta.

5. Seleccione Listo.

6. Envíe la invitación por correo electrónico al cliente.

   Nota:

   Para poder aceptar la solicitud, la persona de la organización del cliente debe ser un administrador global del inquilino del cliente.

   • El cliente selecciona el vínculo que recibió en el correo electrónico. El vínculo los lleva al Centro de administración de Microsoft, donde pueden aceptar la invitación.
   • Una vez que el cliente acepte la invitación, aparecerá en la página Clientes del Centro de partners y, podrá aprovisionar y administrar el servicio para el cliente desde allí.

7. Después de que el cliente apruebe la invitación de relación de revendedor mediante el vínculo proporcionado, conéctese al inquilino del asociado para obtener el object ID del grupo AdminAgents.

   Connect-AzAccount -Tenant "Partner tenant"
   # Get Object ID of AdminAgents group
   Get-AzADGroup -DisplayName AdminAgents
   

8. Asegúrese de que el cliente tenga lo siguiente:

   • El rol de propietario o administrador de acceso de usuario.
   • Permisos para crear asignaciones de roles en el nivel de suscripción.

Restablecer los privilegios de administrador de CSP: acciones del cliente

En esta sección se describen las acciones del cliente para restablecer los privilegios de administrador de CSP.

Para completar la reinseveración de los privilegios de administrador de CSP, el cliente usa PowerShell o la CLI de Azure para realizar los pasos siguientes:

1. El cliente usa PowerShell para actualizar el Az.Resources módulo.

   Update-Module Az.Resources
   

2. El cliente se conecta al inquilino en el que existe la suscripción de CSP.

   Connect-AzAccount -TenantID "<Customer tenant>"
   

   az login --tenant <Customer tenant>
   

3. El cliente se conecta a la suscripción.

   Este paso solo es aplicable si el usuario tiene permisos de asignación de roles en varias suscripciones del inquilino.

   Set-AzContext -SubscriptionID "<CSP Subscription ID>"
   

   az account set --subscription <CSP Subscription ID>
   

4. El cliente crea la asignación de roles.

   New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
   

   az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
   

En lugar de conceder permisos de propietario en el nivel de suscripción, se pueden conceder en el nivel de recurso o grupo de recursos:

• En el nivel de grupo de recursos

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
  

• En el nivel de recurso

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
  

Solución de problemas de los pasos del cliente

Si el cliente no puede completar los pasos anteriores, sugiera el siguiente comando y proporcione el archivo resultante newRoleAssignment.log a Microsoft para su posterior análisis:

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

Restablecer los privilegios de administrador de CSP: procedimiento catchall de PowerShell

Si los pasos de las secciones anteriores no funcionan o si recibe errores al intentarlos, pruebe el siguiente procedimiento "catchall" para restablecer los derechos de administrador para el cliente:

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

Si se produce un error en el procedimiento "catchall" en Import-Module, pruebe los pasos siguientes:

• Si se produce un error en la importación porque el módulo está en uso, cierre y vuelva a abrir todas las ventanas para reiniciar la sesión de PowerShell.
• Compruebe la versión de Az.Resources con Get-Module Az.Resources -ListAvailable.
  • Si la versión 4.1.1 no está en la lista disponible, debe usar Update-Module Az.Resources -Force.
• Si un error indica que Az.Accounts debe ser una versión específica, actualice también ese módulo, reemplazando por Az.AccountsAz.Resources . A continuación, debe reiniciar la sesión de PowerShell.

Cómo un revendedor indirecto puede obtener privilegios de cliente de administrador en nombre de (AOBO) para las suscripciones de Azure

Un revendedor indirecto puede seguir estos pasos para obtener privilegios de cliente de AOBO para las suscripciones de Azure:

1. Establezca una relación con el cliente final.
2. Solicite privilegios de administrador delegados pormenorizados (GDAP) con el cliente final para las suscripciones de Azure.
3. Compruebe su propio Azure Portal el identificador de objeto del grupo AdminAgent para su propio inquilino (para obtener información sobre cómo hacerlo, consulte la guía de solución de problemas de crédito obtenido por el asociado).
4. Si el proveedor indirecto tiene derechos de OBO para los roles de propietario del cliente y RBAC, puede ejecutar el script proporcionado en Restablecer los privilegios de administrador de CSP: acciones del cliente para conceder permisos de AOBO al identificador de objeto del agente de administración del revendedor indirecto. Como alternativa, el cliente final puede hacerlo si tiene derechos de propiedad para la suscripción.

Contenido relacionado

• Administrar suscripciones y recursos en el plan de Azure