Delen via

Abonnementen en resources beheren onder het Azure-abonnement

  • Artikel

Juiste rollen: Beheerdersagent

In dit artikel wordt uitgelegd hoe CSP-partners (Cloud Solution Provider) verschillende RBAC-opties (op rollen gebaseerd toegangsbeheer) kunnen gebruiken om operationeel beheer en beheer van de Azure-resources van een klant te krijgen.

Wanneer u een klant overdragt naar het Azure-plan, krijgt u standaard bevoegde beheerdersrechten in Azure: abonnementseigenaarrechten via Beheerder namens (AOBO).

Notitie

Beheerdersrechten voor het Azure-abonnement kunnen door de klant worden verwijderd op abonnementsniveau, resourcegroepniveau of workloadniveau.

Partners kunnen continu operationeel beheer en beheer van de Azure-resources van een klant in CSP krijgen met behulp van verschillende opties die beschikbaar zijn via de functie voor op rollen gebaseerd toegangsbeheer (RBAC).

  • Beheerder namens - Met AOBO heeft elke gebruiker met de rol van beheerder-agent in de partnertenant eigenaarsrechten binnen RBAC tot Azure-abonnementen die u aanmaakt via het CSP-programma.

  • Azure Lighthouse: AOBO heeft niet de flexibiliteit om afzonderlijke groepen te maken die met verschillende klanten werken of om verschillende rollen in te schakelen voor groepen of gebruikers. Met Behulp van Azure Lighthouse kunt u echter verschillende groepen toewijzen aan verschillende klanten of rollen. Omdat gebruikers het juiste toegangsniveau hebben via gedelegeerd resourcebeheer van Azure, kunt u het aantal gebruikers met de rol Beheerderagent verminderen (en dus volledige toegang tot AOBO hebben). Dit helpt de beveiliging te verbeteren door onnodige toegang tot de resources van uw klanten te beperken. Het biedt je ook meer flexibiliteit om meerdere klanten op schaal te beheren. Voor meer informatie, zie Azure Lighthouse en het Cloud Solution Provider-programma.

  • Directory- of gastgebruikers of service-principals: u kunt gedetailleerde toegang tot CSP-abonnementen delegeren door gebruikers toe te voegen in de klantdirectory of door gastgebruikers toe te voegen en specifieke RBAC-rollen toe te wijzen.

Als beveiligingspraktijk raadt Microsoft aan gebruikers de minimale machtigingen toe te wijzen die ze nodig hebben om hun werk te doen. Zie Microsoft Entra Privileged Identity Management-resources voor meer informatie.

In de volgende tabel ziet u de methoden die worden gebruikt om uw PartnerID (voorheen MPN-id) te koppelen aan verschillende RBAC-toegangsopties.

Categorie Scenario PartnerID-koppeling
AOBO CSP directe partner of indirecte provider maakt het abonnement voor de klant, waardoor de directe CSP-partner of indirecte provider de standaardeigenaar van het abonnement is met behulp van AOBO. CSP direct partner of indirect provider geeft indirecte reseller toegang tot het abonnement met behulp van AOBO. Automatisch (geen werk met een partner vereist)
Azure Lighthouse Partner maakt een nieuw Managed Service-aanbod in de Marketplace. De aanbieding wordt geaccepteerd voor het CSP-abonnement en de partner krijgt toegang tot het CSP-abonnement. Automatisch (geen samenwerking vereist)
Azure Lighthouse Partner implementeert een Azure Resource Manager (ARM) sjabloon in een Azure-abonnement De partner moet de PartnerID koppelen aan de gebruiker of service-principal in de partnertenant. Voor meer informatie, zie Uw Partner-id koppelen om uw impact op gedelegeerde hulpbronnen bij te houden.
Directory- of gastgebruiker Partner maakt een nieuwe gebruiker of service-principal in de klantdirectory en geeft toegang tot het CSP-abonnement aan de gebruiker. Partner maakt een nieuwe gebruiker of service-principal in de klantdirectory. Partner voegt de gebruiker toe aan een groep en geeft toegang tot het CSP-abonnement aan de groep. Partner moet de PartnerID koppelen aan de gebruiker of service-principal in de tenant van de klant. Voor meer informatie, zie Een partner-id koppelen aan uw account die wordt gebruikt voor het beheren van klanten.

Controleer of u beheerderstoegang hebt

U moet beheerderstoegang hebben om de services van uw klant te beheren en om verdiende tegoeden te ontvangen. Zie Partnertegoeden voor meer informatie over verdiende tegoeden.

Gebruik de volgende stappen om te bepalen of u beheerderstoegang hebt:

  • Bekijk het dagelijkse gebruiksbestand: Controleer de eenheidsprijs en de effectieve eenheidsprijs in het dagelijkse gebruiksbestand en controleer of er korting wordt toegepast. Als u de korting ontvangt, bent u de beheerder.

Een Azure Monitor-waarschuwing maken

U kunt een activiteitlogboek-Azure Monitor-waarschuwing maken om een melding te ontvangen als uw RBAC-toegang wordt verwijderd uit een CSP-abonnement.

Gebruik de volgende stappen om een Azure Monitor-waarschuwing te maken:

  1. Maak een waarschuwing.

    Screenshot of an Azure portal alert.Schermopname van een Azure Portal-waarschuwing.

  2. Selecteer het type actie dat u wilt uitvoeren voor de waarschuwing.

    Als u bijvoorbeeld opgeeft dat u een e-mailbericht wilt ontvangen, ontvangt u een e-mailbericht met de melding dat een roltoewijzing wordt verwijderd.

    Screenshot in the Azure portal of configuring an alert.Schermopname in de Azure-portal voor het instellen van een waarschuwing.

AOBO verwijderen

Klanten kunnen de toegang tot hun abonnementen beheren door naar Toegangsbeheer te gaan in de Azure-portal. Op het tabblad Roltoewijzingen kunnen ze Toegang verwijderen selecteren.

Als een klant uw toegang verwijdert, kunt u het volgende doen:

  • Neem contact op met uw klant om te zien of beheerderstoegang kan worden hersteld.

  • Gebruik de toegang die is verkregen via rolgebaseerde toegangscontrole (RBAC).

  • Gebruik de toegang die wordt geboden via Azure Lighthouse.

Op rollen gebaseerde toegang verschilt van beheerderstoegang. Rollen scheiden precies wat u wel en niet kunt doen. Beheerderstoegang is breder.

Een Azure-plan onderbreken en opnieuw activeren

Partners kunnen een Azure-plan rechtstreeks in partnercentrum onderbreken of opnieuw activeren vanaf de pagina met details van het Azure-plan.

  1. In Partner Center, selecteer in Klanten het klantaccount
  2. Ga naar de Azure-abonnementen van de klant
  3. Het Azure-plan selecteren
  4. Selecteer de status: geschorst en klik vervolgens op Indienen om het Azure-plan te schorsen.
  5. Selecteer de status: Actief en verzend vervolgensom het Azure-plan opnieuw te activeren.

U kunt een bestaand Azure-abonnement alleen onderbreken als er geen actieve gebruiksactiva meer aan zijn gekoppeld, waaronder Azure-gebruiksabonnementen en Azure-reserveringen.

Partners kunnen slechts één Azure-abonnement kopen per specifieke reseller en klantcombinatie. Als de klant van een wederverkoper een onderbroken abonnement heeft, kan die klant geen nieuw abonnement kopen. Annulering is niet beschikbaar voor een Azure-abonnement.

Voor het onderbreken van een Azure-abonnement per API, zie Een abonnement onderbreken - partner-app-ontwikkelaar.

Zie Reactiveren van een geschorst abonnement voor Azure-plan via API - Partner-app-ontwikkelaar.

Een Azure-abonnement annuleren

Als er inbreuk is gemaakt op de Azure-abonnementsabonnementen van de klant, kunnen partners Azure-abonnementen annuleren vanuit het Partnercentrum. Deze mogelijkheid is alleen beschikbaar voor beheerdersagentrollen. Dit doet u als volgt:

  1. Selecteer de klant uit de lijst met klanten
  2. Ga naar de Azure-abonnementen van de klant
  3. Selecteer het Azure-abonnement waaronder het abonnement valt
  4. Selecteer op de pagina met details van het Azure-plan de Azure-abonnementen die u wilt annuleren
  5. Verzend de wijzigingen door Abonnement annuleren te selecteren.

Hiermee worden alleen de geselecteerde Azure-abonnementen geannuleerd. Klanten met toegang tot het Azure-abonnement kunnen het abonnement opnieuw activeren als het Azure-abonnement nog steeds actief is. Om dit te voorkomen, moeten partners alle Azure-abonnementen en vervolgens het Azure-abonnement zelf annuleren.

Partners kunnen meerdere abonnementen selecteren maar kunnen niet meer dan 10 abonnementen tegelijk annuleren. Partners kunnen het Azure-abonnement annuleren wanneer er geen actieve Azure-abonnementen zijn. Hierdoor kunnen partners Azure-abonnementen en -abonnementen afsluiten die mogelijk zijn aangetast, zelfs als een slechte actor de RBAC-machtigingen heeft verwijderd.

Partners kunnen Azure-abonnementen annuleren via de Partnercentrum-portal of per API. Zie Een Azure-abonnement opzeggen voor API-details en om het uit te proberen, zie Azure-uitgaven - Een Azure-rechten annuleren - REST API.

Zie voor meer informatie over het annuleren van Azure-abonnementen Wat gebeurt er na het opzeggen van een abonnement?

Een Azure-abonnement opnieuw activeren

Partners kunnen Azure-abonnementen die zijn geannuleerd vanwege een inbreuk door de klant opnieuw activeren vanuit de detailspagina van hun Azure-abonnementen, met behulp van het tabblad Inactieve Azure-abonnementen. Deze mogelijkheid is alleen beschikbaar voor beheerdersrollen. Dit doet u als volgt:

  1. Selecteer de klant in de lijst met klanten
  2. Ga naar de Azure-abonnementen van de klant
  3. Selecteer het Azure-abonnement waaronder het abonnement valt
  4. Selecteer op de pagina met details van het Azure-plan, onder de sectie Azure-abonnement, het tabblad Inactief
  5. Selecteer het Azure-abonnement om opnieuw te activeren
  6. Verzend de wijzigingen door abonnement opnieuw activeren te selecteren

Hierdoor worden alleen de geselecteerde Azure-abonnementen opnieuw geactiveerd. Partners kunnen meerdere abonnementen selecteren, maar niet meer dan 10 abonnementen tegelijk opnieuw activeren. Het bijbehorende Azure-plan moet actief zijn om Azure-abonnementen opnieuw te activeren. Partners kunnen Azure-abonnementen rechtstreeks opnieuw activeren in het Partnercentrum door naar de pagina met details van het Azure-plan te gaan en de status van het Azure-plan weer bij te werken naar Actief.

Als het Azure-abonnement is geannuleerd door de klant of factureringseigenaar in Azure Portal, moet de klant of factureringseigenaar contact opnemen om het abonnement opnieuw te activeren vanuit de Azure-portal.

Voor heractiveren via de API, zie Een Azure-abonnement opnieuw activeren - Partner-app-ontwikkelaar. Zie Azure-uitgaven - een Azure-entitlement opnieuw activeren om het uit te proberen.

Meer informatie over het opnieuw activeren van Azure-abonnementen vindt u in de Azure-documentatie.

Gerelateerde inhoud