Przywracanie uprawnień administratora dla subskrypcji klienta w ramach programu Azure CSP

Odpowiednie role: administrator globalny | Agent administracyjny

Gdy jesteś partnerem w programie Dostawca rozwiązań w chmurze (CSP), klienci często zlecają Ci zarządzanie użytkowaniem platformy Azure i ich systemami. Aby im pomagać, musisz mieć uprawnienia administratora. Jeśli nie masz jeszcze uprawnień administratora, możesz je przywrócić we współpracy z klientem.

Uprawnienia administratora na platformie Azure w programie CSP

Niektóre uprawnienia administratora są przyznawane automatycznie podczas ustanawiania relacji odsprzedawcy z klientem. Inne osoby muszą zostać ci przyznane przez klienta.

Istnieją dwa poziomy uprawnień administratora dla platformy Azure w programie CSP:

• Uprawnienia administratora na poziomie dzierżawy (czyli delegowane uprawnienia administratora) zapewniają dostęp do dzierżaw klientów. Ten delegowany dostęp umożliwia wykonywanie funkcji administracyjnych, takich jak dodawanie użytkowników i zarządzanie nimi, resetowanie haseł i zarządzanie licencjami użytkowników.

  Uprawnienia administratora na poziomie dzierżawy są uzyskiwane podczas ustanawiania relacji odsprzedawców CSP z klientami.

• Uprawnienia administratora na poziomie subskrypcji zapewniają pełny dostęp do subskrypcji Azure CSP. Ten dostęp umożliwia aprowizowanie zasobów platformy Azure i zarządzanie nimi.

  Uprawnienia administratora na poziomie subskrypcji są uzyskiwane podczas tworzenia subskrypcji programu Azure CSP dla klientów.

Przywrócenie uprawnień administratora CSP: Twoje akcje

Ty i Twoi klienci mają akcje, które należy wykonać w celu przywrócenia uprawnień administratora CSP. W tej sekcji opisano akcje, które należy wykonać.

Aby przywrócić uprawnienia administratora CSP, wykonaj następujące czynności:

1. Zaloguj się do Partner Center i wybierz opcję Klienci.

2. Na liście klientów wybierz pozycję Zażądaj relacji odsprzedawcy.

3. W przypadku uprawnień administratora delegowanego pole wyboru:

   • Pozostaw zaznaczone pole wyboru, aby ustanowić relację z delegowanymi uprawnieniami administratora.
   • Wyczyść pole wyboru, aby ustanowić relację bez delegowanych uprawnień administratora.

   

4. Przejrzyj robocze zaproszenie e-mail.

   • Wybierz pozycję Otwórz w wiadomości e-mail , aby otworzyć wersję roboczą zaproszenia w domyślnej aplikacji poczty e-mail.
   • Wybierz pozycję Kopiuj do schowka , aby skopiować i wkleić zaproszenie do wiadomości e-mail.

   Ważne

   Możesz edytować tekst w wersji roboczej wiadomości e-mail, ale pamiętaj, aby dołączyć spersonalizowany link , ponieważ łączy klienta bezpośrednio z Kontem.

5. Wybierz pozycję Gotowe.

6. Wyślij wiadomość e-mail z zaproszeniem do klienta.

   Uwaga

   Aby można było zaakceptować żądanie, osoba w organizacji klienta musi być administratorem globalnym dzierżawy klienta.

   • Klient wybiera link otrzymany w wiadomości e-mail. Link umożliwia przejście do Centrum administracyjnego firmy Microsoft, w którym można zaakceptować zaproszenie.
   • Gdy klient zaakceptuje zaproszenie, pojawi się na stronie Klienci w Centrum partnerskim i będzie można aprowizować usługę klienta oraz zarządzać nią w tym miejscu.

7. Gdy klient zatwierdzi zaproszenie do relacji odsprzedawcy przy użyciu podanego linku, połącz się z dzierżawą partnera, aby uzyskać object ID grupę AdminAgents.

   Connect-AzAccount -Tenant "Partner tenant"
   # Get Object ID of AdminAgents group
   Get-AzADGroup -DisplayName AdminAgents
   

8. Upewnij się, że klient ma:

   • Rolę Właściciel lub Administrator dostępu użytkowników
   • Uprawnienia do tworzenia przypisań ról na poziomie subskrypcji

Przywrócenie uprawnień administratora CSP: Akcje klienta

W tej sekcji opisano akcje klienta w celu przywrócenia uprawnień administratora CSP.

Aby zakończyć przywracanie uprawnień administratora CSP, klient używa programu PowerShell lub interfejsu wiersza polecenia platformy Azure do wykonania następujących kroków:

1. Klient aktualizuje moduł przy Az.Resources użyciu programu PowerShell.

   Update-Module Az.Resources
   

2. Klient łączy się z dzierżawą, w której istnieje subskrypcja CSP.

   Connect-AzAccount -TenantID "<Customer tenant>"
   

   az login --tenant <Customer tenant>
   

3. Klient łączy się z subskrypcją.

   Ten krok ma zastosowanie tylko wtedy, gdy użytkownik ma uprawnienia do przypisywania ról w wielu subskrypcjach w dzierżawie.

   Set-AzContext -SubscriptionID "<CSP Subscription ID>"
   

   az account set --subscription <CSP Subscription ID>
   

4. Klient tworzy przypisanie roli.

   New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
   

   az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
   

Zamiast udzielać uprawnień właściciela na poziomie subskrypcji , można je udzielić na poziomie grupy zasobów lub zasobu :

• Na poziomie grupy zasobów

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
  

• Na poziomie zasobu

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
  

Rozwiązywanie problemów z krokami klienta

Jeśli klient nie może wykonać powyższych kroków, zasugeruj następujące polecenie i podaj wynikowy newRoleAssignment.log plik do firmy Microsoft w celu dalszej analizy:

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

Przywrócenie uprawnień administratora CSP: procedura catchall programu PowerShell

Jeśli kroki opisane w poprzednich sekcjach nie działają lub występują błędy podczas ich próby, spróbuj wykonać następującą procedurę "catchall", aby przywrócić prawa administratora dla klienta:

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

Jeśli procedura "catchall" kończy się niepowodzeniem w Import-Modulepunkcie , spróbuj wykonać następujące czynności:

• Jeśli importowanie nie powiedzie się, ponieważ moduł jest używany, uruchom ponownie sesję programu PowerShell, zamykając i ponownie otwierając wszystkie okna.
• Sprawdź wersję programu za pomocą Get-Module Az.Resources -ListAvailablepolecenia Az.Resources .
  • Jeśli wersja 4.1.1 nie znajduje się na liście dostępnych, musisz użyć polecenia Update-Module Az.Resources -Force.
• Jeśli wystąpi błąd, który Az.Accounts musi być określoną wersją, zaktualizuj również ten moduł, zastępując element Az.Resources Az.Accounts. Następnie należy ponownie uruchomić sesję programu PowerShell.

Jak odsprzedawca pośredni może uzyskać uprawnienia administratora w imieniu klienta (AOBO) dla subskrypcji platformy Azure

Odsprzedawca pośredni może wykonać następujące kroki, aby uzyskać uprawnienia klienta usługi AOBO dla subskrypcji platformy Azure:

1. Ustanów relację z klientem końcowym.
2. Zażądaj szczegółowych delegowanych uprawnień administratora (GDAP) dla klienta końcowego dla subskrypcji platformy Azure.
3. Zaewidencjonuj własną witrynę Azure Portal identyfikator obiektu grupy AdminAgent dla własnej dzierżawy (aby dowiedzieć się, jak to zrobić, zobacz Przewodnik rozwiązywania problemów z kredytami uzyskanymi przez partnerów).
4. Jeśli dostawca pośredni ma prawa OBO dla ról klienta i właściciela RBAC, może uruchomić skrypt podany w sekcji Przywrócenie uprawnień administratora CSP: Akcje klienta w celu udzielenia uprawnień AOBO do identyfikatora obiektu agenta administratora odsprzedawcy pośredniego. Alternatywnie klient końcowy może to zrobić, jeśli ma prawa własności do subskrypcji.

Powiązana zawartość

• Zarządzanie subskrypcjami i zasobami w ramach planu platformy Azure