Przywracanie uprawnień administratora dla subskrypcji klienta w ramach programu Azure CSP

odpowiednie funkcje: Agent administracyjny

Gdy jesteś partnerem w programie Dostawca rozwiązań w chmurze (CSP), klienci często zlecają Ci zarządzanie użytkowaniem platformy Azure i ich systemami. Aby im pomagać, musisz mieć uprawnienia administratora. Jeśli nie masz jeszcze uprawnień administratora, możesz je przywrócić we współpracy z klientem.

Uprawnienia administratora na platformie Azure w programie CSP

Niektóre uprawnienia administratora są przyznawane automatycznie podczas ustanawiania relacji odsprzedawcy z klientem. Inne uprawnienia muszą zostać przyznane tobie przez klienta.

Istnieją dwa poziomy uprawnień administratora dla platformy Azure w programie CSP:

• Uprawnienia administratora na poziomie klienta (czyli delegowane uprawnienia administratora) zapewniają dostęp do zasobów klientów. Ten delegowany dostęp umożliwia wykonywanie funkcji administracyjnych, takich jak dodawanie użytkowników i zarządzanie nimi, resetowanie haseł i zarządzanie licencjami użytkowników.

  Uzyskujesz uprawnienia administratora na poziomie dzierżawy, gdy ustanawiasz relacje odsprzedawcy CSP z klientami.

• Uprawnienia administratora na poziomie subskrypcji zapewniają pełny dostęp do subskrypcji Azure CSP. Ten dostęp umożliwia aprowizowanie zasobów platformy Azure i zarządzanie nimi.

  Uprawnienia administratora na poziomie subskrypcji są uzyskiwane podczas tworzenia subskrypcji programu Azure CSP dla klientów.

Przywrócenie uprawnień administratora CSP: Twoje akcje

Ty i Twoi klienci mają akcje, które należy wykonać w celu przywrócenia uprawnień administratora CSP. W tej sekcji opisano akcje, które należy wykonać.

Aby przywrócić uprawnienia administratora CSP, wykonaj następujące czynności:

1. Zaloguj się do Partner Center i wybierz opcję Klienci.

2. Na liście klientów wybierz pozycję Zażądaj relacji odsprzedawcy.

3. Dla pola wyboru uprawnień administratora delegowanego:

   • Pozostaw zaznaczone pole wyboru, aby ustanowić relację z delegowanymi uprawnieniami administratora.
   • Wyczyść pole wyboru, aby ustanowić relację bez delegowanych uprawnień administratora.

   

4. Przejrzyj szkic zaproszenia e-mail.

   • Wybierz pozycję Otwórz w wiadomości e-mail , aby otworzyć wersję roboczą zaproszenia w domyślnej aplikacji poczty e-mail.
   • Wybierz pozycję Kopiuj do schowka , aby skopiować i wkleić zaproszenie do wiadomości e-mail.

   Ważne

   Możesz edytować tekst w wersji roboczej wiadomości e-mail, ale pamiętaj, aby dołączyć spersonalizowany link , ponieważ łączy klienta bezpośrednio z Kontem.

5. Wybierz pozycję Gotowe.

6. Wyślij wiadomość e-mail z zaproszeniem do klienta.

   Uwaga

   Aby można było zaakceptować żądanie, osoba w organizacji klienta musi być administratorem globalnym dzierżawy klienta.

   • Klient wybiera link otrzymany w wiadomości e-mail. Link umożliwia przejście do Centrum administracyjnego firmy Microsoft, w którym można zaakceptować zaproszenie.
   • Gdy klient zaakceptuje zaproszenie, pojawi się na stronie Klienci w Centrum partnerskim i będzie można aprowizować usługę klienta oraz zarządzać nią w tym miejscu.

7. Gdy klient zatwierdzi zaproszenie do relacji z odsprzedawcą przy użyciu podanego linku, połącz się z dzierżawcą partnera, aby uzyskać object ID grupy AdminAgents.

   Connect-AzAccount -Tenant "Partner tenant"
   # Get Object ID of AdminAgents group
   Get-AzADGroup -DisplayName AdminAgents
   

8. Upewnij się, że klient ma:

   • Rola właściciela lub administratora dostępu użytkowników
   • Uprawnienia do tworzenia przypisań ról na poziomie subskrypcji

Przywrócenie uprawnień administratora CSP: Akcje klienta

W tej sekcji opisano akcje klienta w celu przywrócenia uprawnień administratora CSP.

Aby zakończyć przywracanie uprawnień administratora CSP, klient używa programu PowerShell lub interfejsu wiersza polecenia platformy Azure do wykonania następujących kroków:

1. Klient używa programu PowerShell do aktualizacji modułu Az.Resources.

   Update-Module Az.Resources
   

2. Twój klient łączy się z dzierżawą, w której istnieje subskrypcja CSP.

   Connect-AzAccount -TenantID "<Customer tenant>"
   

   az login --tenant <Customer tenant>
   

3. Twój klient łączy się z usługą subskrypcyjną.

   Ten krok ma zastosowanie tylko wtedy, gdy użytkownik ma uprawnienia do przypisywania ról w wielu subskrypcjach dla dzierżawcy.

   Set-AzContext -SubscriptionID "<CSP Subscription ID>"
   

   az account set --subscription <CSP Subscription ID>
   

4. Twój klient tworzy przypisanie roli.

   New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
   

   az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
   

Zamiast udzielać uprawnień właściciela na poziomie subskrypcji , można je udzielić na poziomie grupy zasobów lub zasobu :

• Na poziomie grupy zasobów

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
  

• Na poziomie zasobu

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
  

Rozwiązywanie problemów z procesem postępowania klienta

Jeśli klient nie może wykonać powyższych kroków, zasugeruj następujące polecenie i podaj wynikowy newRoleAssignment.log plik do firmy Microsoft w celu dalszej analizy:

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

Przywrócenie uprawnień administratora CSP: procedura catchall programu PowerShell

Jeśli kroki opisane w poprzednich sekcjach nie działają lub występują błędy podczas ich próby, spróbuj wykonać następującą procedurę "catchall", aby przywrócić prawa administratora dla klienta:

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

Jeśli procedura "catchall" zawodzi w punkcie Import-Module, spróbuj wykonać następujące czynności:

• Jeśli importowanie nie powiedzie się, ponieważ moduł jest używany, uruchom ponownie sesję programu PowerShell, zamykając i ponownie otwierając wszystkie okna.
• Sprawdź wersję Az.Resources za pomocą Get-Module Az.Resources -ListAvailable.
  • Jeśli wersja 4.1.1 nie znajduje się na liście dostępnych, musisz użyć polecenia Update-Module Az.Resources -Force.
• Jeśli wystąpi błąd, który informuje, że Az.Accounts musi być określoną wersją, zaktualizuj również ten moduł, zastępując Az.ResourcesAz.Accounts. Następnie należy ponownie uruchomić sesję programu PowerShell.

Jak odsprzedawca pośredni może uzyskać uprawnienia administratora w imieniu klienta (AOBO) dla subskrypcji platformy Azure

Odsprzedawca pośredni może wykonać następujące kroki, aby uzyskać uprawnienia klienta usługi AOBO dla subskrypcji platformy Azure:

1. Ustanów relację z klientem końcowym.
2. Zażądaj szczegółowych delegowanych uprawnień administratora (GDAP) dla klienta końcowego dla subskrypcji platformy Azure.
3. Sprawdź w swoim własnym portalu Azure identyfikator obiektu grupy AdminAgent dla swojej dzierżawy (aby dowiedzieć się, jak to zrobić, zobacz przewodnik rozwiązywania problemów z uzyskanymi kredytami partnerów).
4. Jeśli dostawca pośredni ma prawa OBO dla klienta i ról właściciela RBAC, może uruchomić skrypt zawarty w sekcji Przywrócenie uprawnień administratora CSP: Akcje klienta w celu nadania uprawnień AOBO identyfikatorowi obiektu agenta administratora odsprzedawcy pośredniego. Alternatywnie klient końcowy może to zrobić, jeśli ma prawa własności do subskrypcji.

Powiązana zawartość

• Zarządzanie subskrypcjami i zasobami w ramach planu platformy Azure