Zarządzanie subskrypcjami i zasobami w ramach planu platformy Azure
Odpowiednie role: Agent administracyjny
W tym artykule wyjaśniono, jak partnerzy Dostawca rozwiązań w chmurze (CSP) mogą używać różnych opcji kontroli dostępu opartej na rolach (RBAC), aby uzyskać kontrolę operacyjną zasobów platformy Azure klienta i zarządzać nimi.
Kiedy przechodzisz z klientem na plan platformy Azure, domyślnie przypisywane są uprzywilejowane prawa administratora platformy Azure — prawa właściciela subskrypcji poprzez opcję "Admin on Behalf of" (AOBO).
Uwaga
Uprawnienia administratora do subskrypcji platformy Azure mogą zostać usunięte przez klienta na poziomie subskrypcji, na poziomie grupy zasobów lub na poziomie obciążenia.
Partnerzy mogą uzyskać ciągłą kontrolę operacyjną i zarządzanie zasobami platformy Azure klienta w programie CSP przy użyciu różnych opcji dostępnych za pośrednictwem funkcji kontroli dostępu opartej na rolach (RBAC).
Administrator W imieniu admina dla usługi AOBO, każdy użytkownik z rolą agenta administracyjnego w dzierżawie partnera ma dostęp właściciela RBAC do subskrypcji platformy Azure utworzonych w ramach programu CSP.
Azure Lighthouse: usługa AOBO nie ma elastyczności w tworzeniu odrębnych grup, które współpracują z różnymi klientami, ani też we włączaniu różnych ról dla grup czy użytkowników. Jednak przy użyciu usługi Azure Lighthouse można przypisać różne grupy do różnych klientów lub ról. Ponieważ użytkownicy mają odpowiedni poziom dostępu za pośrednictwem zarządzania delegowanymi zasobami platformy Azure, można zmniejszyć liczbę użytkowników, którzy mają rolę agenta administracyjnego (a tym samym mają pełny dostęp do usługi AOBO). Pomaga to zwiększyć bezpieczeństwo, ograniczając niepotrzebny dostęp do zasobów klientów. Zapewnia to również możliwość bardziej elastycznego zarządzania wieloma klientami na dużą skalę. Aby uzyskać więcej informacji, zapoznaj się z Azure Lighthouse i Programem Dostawców Rozwiązań w Chmurze.
Katalog, użytkownicy-goście lub zasady usługi: możesz delegować szczegółowy dostęp do subskrypcji CSP, dodając użytkowników do katalogu klienta lub użytkowników-gości i przypisując określone role RBAC.
W praktyce w zakresie zabezpieczeń firma Microsoft zaleca przypisywanie użytkownikom minimalnych uprawnień, których potrzebują do wykonywania swojej pracy. Aby uzyskać więcej informacji, zobacz zasoby usługi Microsoft Entra Privileged Identity Management.
Połącz identyfikator Partner ID z poświadczeniami, aby zarządzać zasobami Azure klienta
W poniższej tabeli przedstawiono metody używane do skojarzenia identyfikatora Partnera (wcześniej identyfikator MPN) z różnymi opcjami dostępu RBAC.
| Kategoria | Scenariusz | Skojarzenie PartnerID |
|---|---|---|
| AOBO | Bezpośredni partner lub dostawca pośredni CSP tworzy subskrypcję dla klienta, co czyni partnera CSP bezpośrednim lub dostawcą pośrednim domyślnym właścicielem subskrypcji przy użyciu usługi AOBO. Bezpośredni partner lub dostawca pośredni CSP zapewnia odsprzedawcy pośredniemu dostęp do subskrypcji przy użyciu usługi AOBO. | Automatyczne (brak wymaganej pracy partnera) |
| Azure Lighthouse | Partner tworzy nową ofertę zarządzaną w witrynie Marketplace. Oferta jest akceptowana w ramach subskrypcji CSP, a partner uzyskuje dostęp do subskrypcji CSP. | Automatyczne (brak wymaganej pracy partnera) |
| Azure Lighthouse | Partner wdraża szablon usługi Azure Resource Manager (ARM) w subskrypcji Azure | Partner musi skojarzyć identyfikator PartnerID z użytkownikiem lub jednostką usługi w dzierżawie partnera. Aby uzyskać więcej informacji, zobacz Połącz swój identyfikator PartnerID, aby śledzić wpływ na zasoby delegowane. |
| Katalog lub użytkownik-gość | Partner tworzy nowego użytkownika lub jednostkę usługi w katalogu klienta i zapewnia użytkownikowi dostęp do subskrypcji CSP. Partner tworzy nowego użytkownika lub podmiot usługi w katalogu klienta. Partner dodaje użytkownika do grupy i zapewnia dostęp do subskrypcji CSP do grupy. | Partner musi skojarzyć identyfikator PartnerID z użytkownikiem lub jednostką usługi w dzierżawie klienta. Aby uzyskać więcej informacji, zobacz Łączenie identyfikatora PartnerID z kontem używanym do zarządzania klientami. |
Upewnij się, że masz dostęp administratora
Musisz mieć dostęp administratora do zarządzania usługami klienta i otrzymywania środków uzyskanych. Aby uzyskać więcej informacji na temat środków uzyskanych przez partnerów, zobacz Środki uzyskane przez partnerów.
Aby określić, czy masz dostęp administratora, wykonaj następujące czynności:
- Przejrzyj plik dziennego użycia: Przejrzyj cenę jednostkową i efektywną cenę jednostkową w pliku dziennego użycia i sprawdź, czy rabat jest stosowany. Jeśli otrzymujesz rabat, jesteś administratorem.
Tworzenie alertu usługi Azure Monitor
Możesz utworzyć dziennik aktywności z alertem usługi Azure Monitor, aby otrzymywać powiadomienia, jeśli twój dostęp RBAC zostanie usunięty z subskrypcji CSP.
Aby utworzyć alert usługi Azure Monitor, wykonaj następujące kroki:
Utwórz alert.
Wybierz typ akcji, jaką ma podjąć alert.
Jeśli na przykład określisz, że chcesz wysłać wiadomość e-mail, otrzymasz wiadomość e-mail z powiadomieniem o usunięciu przypisania roli.
Zrzut ekranu w portalu Azure przedstawiający konfigurowanie alertu.
Zrzut ekranu przedstawiający alert w portalu Azure.
Zrzut ekranu w portalu Azure przedstawiający konfigurowanie alertu.Usuwanie AOBO
Klienci mogą zarządzać dostępem do swoich subskrypcji, przechodząc do Kontrola dostępu w portalu Azure. Na karcie Przypisania ról mogą wybrać pozycję Usuń dostęp.
Jeśli klient usunie dostęp, możesz:
Porozmawiaj z klientem, aby sprawdzić, czy można przywrócić dostęp administratora.
Użyj dostępu zapewnianego przez kontrolę dostępu opartą na rolach (RBAC).
Użyj dostępu udostępnianego za pośrednictwem usługi Azure Lighthouse.
Dostęp oparty na rolach różni się od dostępu administratora. Role dokładnie ograniczą to, co można i czego nie można zrobić. Dostęp administratora jest szerszy.
Zawieszanie i ponowne aktywowanie planu platformy Azure
Partnerzy mogą zawiesić lub ponownie aktywować plan platformy Azure bezpośrednio w Centrum partnerskim na stronie szczegółów planu platformy Azure.
- W Centrum partnerów w Klienci wybierz konto klienta
- Przejdź do subskrypcji Azure klienta
- Wybierz plan platformy Azure
- Wybierz status: Wstrzymano, a następnie Prześlij, aby zawiesić plan platformy Azure.
- Wybierz stan: Aktywny , a następnie prześlij , aby ponownie aktywować plan platformy Azure.
Istniejący plan platformy Azure można zawiesić tylko wtedy, gdy nie ma już żadnych aktywnych zasobów użycia skojarzonych z nim, w tym subskrypcji użycia platformy Azure i rezerwacji platformy Azure.
Partnerzy mogą kupić tylko jeden plan Azure dla konkretnego odsprzedawcy i klienta. Jeśli klient odsprzedawcy ma zawieszony plan, klient nie może kupić nowego planu. Anulowanie nie jest dostępne dla planu platformy Azure.
Aby zapoznać się z zawieszeniem planu platformy Azure przez API, zobacz Zawieszenie subskrypcji — deweloper aplikacji partnerskich.
Aby ponownie aktywować plan platformy Azure przy użyciu interfejsu API, zobacz Ponowne aktywowanie zawieszonej subskrypcji — dewelopera aplikacji partnera.
Anulowanie subskrypcji platformy Azure
W przypadku naruszenia zabezpieczeń subskrypcji planu platformy Azure klienta partnerzy mogą anulować subskrypcje platformy Azure z Centrum partnerskiego. Ta funkcja jest dostępna tylko dla ról agenta administracyjnego. Aby to zrobić:
- Wybierz Klient z listy klientów
- Przejdź do subskrypcji Azure klienta
- Wybierz plan Azure, w ramach którego znajduje się subskrypcja
- Na stronie Szczegółów planu platformy Azure wybierz subskrypcje platformy Azure, które chcesz anulować
- Prześlij zmiany, wybierając pozycję Anuluj subskrypcję
Spowoduje to anulowanie tylko wybranych subskrypcji platformy Azure. Klienci z dostępem do subskrypcji platformy Azure mogą ponownie aktywować subskrypcję, jeśli plan platformy Azure jest nadal aktywny. Aby temu zapobiec, partnerzy powinni anulować wszystkie subskrypcje platformy Azure, a następnie sam plan platformy Azure.
Partnerzy mogą wybrać wiele subskrypcji, ale jednocześnie nie mogą anulować więcej niż 10 subskrypcji. Partnerzy mogą anulować plan platformy Azure, jeśli nie ma w niej aktywnych subskrypcji platformy Azure. Dzięki temu partnerzy mogą zamknąć plany i subskrypcje platformy Azure, które mogły zostać naruszone, nawet jeśli zły aktor usunął swoje uprawnienia RBAC.
Partnerzy mogą anulować subskrypcje platformy Azure za pośrednictwem portalu Centrum partnerskiego lub interfejsu API. Aby uzyskać szczegółowe informacje o interfejsie API, zobacz Anulowanie subskrypcji Azure, a aby spróbować, zobacz Wydatki na Azure — Anulowanie uprawnień Azure — interfejs API REST.
Aby dowiedzieć się więcej na temat anulowania subskrypcji platformy Azure, zobacz Co się dzieje po anulowaniu subskrypcji?
Ponowna aktywacja subskrypcji platformy Azure
Partnerzy mogą ponownie aktywować subskrypcje platformy Azure, które zostały anulowane z powodu naruszenia zabezpieczeń klienta ze strony szczegółów planu platformy Azure, korzystając z karty Nieaktywne subskrypcje platformy Azure. Ta funkcja jest dostępna tylko dla ról agenta administracyjnego. Aby to zrobić:
- Wybierz klienta z listy klientów
- Przejdź do subskrypcji platformy Azure klienta
- Wybierz plan Azure, pod który podlega subskrypcja
- Na stronie szczegółów planu platformy Azure w sekcji Subskrypcja platformy Azure wybierz kartę Nieaktywne
- Wybierz subskrypcję platformy Azure, aby ponownie uaktywnić
- Zatwierdź zmiany, wybierając pozycję Aktywuj ponownie subskrypcję
To rozwiązanie reaktywuje tylko wybrane subskrypcje platformy Azure. Partnerzy mogą wybrać wiele subskrypcji, ale jednocześnie nie mogą ponownie uaktywnić więcej niż 10 subskrypcji. Skojarzony plan platformy Azure musi być aktywny, aby ponownie aktywować subskrypcje platformy Azure. Partnerzy mogą ponownie aktywować plany platformy Azure bezpośrednio w Centrum partnerskim, przechodząc do strony szczegółów planu platformy Azure i aktualizując stan planu platformy Azure z powrotem do aktywnej.
Jeśli subskrypcja platformy Azure została anulowana przez klienta lub właściciela rozliczeń w witrynie Azure Portal, należy skontaktować się z klientem lub właścicielem rozliczeń, aby ponownie aktywować subskrypcję w witrynie Azure Portal.
Aby ponownie uaktywnić przez interfejs API, odwiedź stronę Ponowne aktywowanie subskrypcji platformy Azure — dewelopera aplikacji partnerskiej. Aby to wypróbować, zobacz Wydatki na platformę Azure — ponowne aktywowanie uprawnień.
Więcej informacji na temat ponownego aktywowania subskrypcji Azure można znaleźć w dokumentacji Azure.