Manage subscriptions and resources under the Azure plan (Gerir subscrições e recursos ao abrigo do plano do Azure)

Funções apropriadas: Agente de administração

Este artigo explica como os parceiros do Provedor de Soluções na Nuvem (CSP) podem usar várias opções de controle de acesso baseado em função (RBAC) para obter controle operacional e gerenciamento dos recursos do Azure de um cliente.

Quando faz a transição de um cliente para o plano do Azure, são-lhe atribuídos direitos de administrador privilegiado no Azure — direitos de proprietário da subscrição através de Administração em Nome de Outros (AOBO) por predefinição.

Nota

Os direitos de administrador para a assinatura do Azure podem ser removidos pelo cliente no nível da assinatura, no nível do grupo de recursos ou no nível da carga de trabalho.

Os parceiros podem obter controle operacional contínuo e gerenciamento dos recursos do Azure de um cliente no CSP usando várias opções disponíveis por meio do recurso de controle de acesso baseado em função (RBAC).

• Administrador em nome de - Com o AOBO, qualquer utilizador com a função de agente de administração no inquilino parceiro tem acesso de proprietário RBAC às assinaturas do Azure que cria através do programa CSP.

• Azure Lighthouse: AOBO não tem a flexibilidade para criar grupos distintos que trabalham com clientes diferentes ou para habilitar funções diferentes para grupos ou usuários. No entanto, usando o Azure Lighthouse, você pode atribuir grupos diferentes a clientes ou funções diferentes. Como os usuários têm o nível apropriado de acesso por meio do gerenciamento de recursos delegados do Azure, você pode reduzir o número de usuários que têm a função de agente Admin (e, portanto, têm acesso AOBO completo). Isso ajuda a melhorar a segurança, limitando o acesso desnecessário aos recursos dos seus clientes. Também lhe oferece mais flexibilidade para gerir vários clientes em escala. Para mais informações, consulte Azure Lighthouse e o programa Cloud Solution Provider.

• Diretório ou Utilizadores Convidados ou Entidades de Serviço: Poderá delegar acesso granular a assinaturas de CSP adicionando utilizadores no diretório de clientes ou adicionando utilizadores convidados e atribuindo funções RBAC específicas.

Como prática de segurança, a Microsoft recomenda atribuir aos usuários as permissões mínimas de que precisam para fazer seu trabalho. Para obter mais informações, ver recursos do Microsoft Entra Privileged Identity Management.

Vincule seu PartnerID às suas credenciais para gerenciar os recursos do Azure de um cliente

A tabela a seguir mostra os métodos usados para associar seu PartnerID (anteriormente MPN ID) a várias opções de acesso RBAC.

Categoria	Cenário	Associação PartnerID
AOBO	O parceiro direto ou provedor indireto do CSP cria a assinatura para o cliente, tornando o parceiro direto ou o provedor indireto do CSP o proprietário padrão da assinatura usando o AOBO. O parceiro direto ou fornecedor indireto da CSP fornece ao revendedor indireto acesso à assinatura usando AOBO.	Automático (não é necessário trabalho de parceiro)
Azure Lighthouse	O parceiro cria uma nova oferta de Serviço Gerido no Marketplace. A oferta é aceita na assinatura CSP e o parceiro tem acesso à assinatura CSP.	Automático (não é necessário trabalho de parceiro)
Azure Lighthouse	O parceiro implanta um modelo do Gestor de Recursos do Azure (ARM) na assinatura do Azure	O parceiro deve associar o PartnerID ao utilizador ou principal de serviço no inquilino parceiro. Para obter mais informações, consulte Vincular seu PartnerID para acompanhar seu impacto nos recursos delegados.
Diretório ou usuário convidado	O parceiro cria um novo usuário ou entidade de serviço no diretório de clientes e dá acesso à assinatura CSP ao usuário. O parceiro cria um novo usuário ou entidade de serviço no diretório de clientes. O parceiro adiciona o usuário a um grupo e dá acesso à assinatura CSP do grupo.	O parceiro deve associar o PartnerID ao utilizador ou principal de serviço no inquilino do cliente. Para obter mais informações, consulte Vincular um PartnerID à sua conta usada para gerenciar clientes.

Confirme que tem acesso de administrador

Tem de ter acesso de administrador para gerir os serviços do seu cliente e para receber os créditos ganhos. Para obter mais informações sobre créditos ganhos, consulte Créditos ganhos de parceiros.

Para determinar se você tem acesso de administrador, use as seguintes etapas:

• Revise o ficheiro de uso diário: analise o preço unitário e o preço unitário efetivo no ficheiro de uso diário e confirme se está a ser aplicado um desconto. Se você estiver recebendo o desconto, você será o administrador.

Criar um alerta de monitor do Azure

Você pode criar um log de atividades do Alerta do Azure Monitor para ser notificado se o seu acesso RBAC for removido de uma assinatura CSP.

Para criar um alerta de monitor do Azure, use as seguintes etapas:

1. Crie um alerta.

   Captura de ecrã de um alerta no portal Azure.

2. Selecione o tipo de ação que você deseja que o alerta realize.

   Por exemplo, se você especificar que deseja um e-mail, receberá um e-mail notificando se ocorrer alguma exclusão de atribuição de função.

   Captura de ecrã no portal do Azure de configuração de um alerta.

Remoção de AOBO

Os clientes podem gerir o acesso às suas subscrições indo ao Controlo de Acesso no portal do Azure. No separador Atribuições de funções, eles podem selecionar Remover acesso.

Se um cliente remover seu acesso, você poderá:

• Fale com o seu cliente para ver se o acesso de administrador pode ser restabelecido.

• Utilize o acesso fornecido através do controlo de acesso baseado em função (RBAC).

• Use o acesso fornecido por meio do Azure Lighthouse.

O acesso baseado em função difere do acesso de administrador. Os papéis delimitam precisamente o que você pode e o que não pode fazer. O acesso de administrador é mais amplo.

Suspender e reativar um plano do Azure

Os parceiros podem suspender ou reativar o plano do Azure diretamente no Partner Center na página de detalhes do plano do Azure.

1. No Partner Center, em Clientes, selecione a conta do cliente
2. Navegue até as assinaturas do Azure do cliente
3. Selecione o plano Azure
4. Selecione o estado: Suspenso e depois Submeter para suspender o plano do Azure.
5. Selecione o estado: Ativo e, em seguida, Submeter para reativar o plano do Azure.

Você só pode suspender um plano existente do Azure se ele não tiver mais ativos de uso ativos associados a ele, incluindo assinaturas de uso do Azure e reservas do Azure.

Os parceiros só podem comprar um plano do Azure por combinação específica de revendedor e cliente. Se o cliente de um revendedor tiver um plano suspenso, esse cliente não poderá comprar um novo plano. O cancelamento não está disponível para o plano do Azure.

Para a suspensão do plano do Azure através da API, consulte Suspender uma assinatura - Desenvolvedor de aplicações parceiro.

Para reativar o plano do Azure por API, consulte Reativar uma assinatura suspensa - Desenvolvedor de aplicativo parceiro.

Cancelar uma subscrição do Azure

Caso as subscrições do plano Azure do cliente tenham sido comprometidas, os Parceiros podem cancelar subscrições do Azure a partir do Partner Center. Esse recurso está disponível apenas para funções de Agente de Administração. Para tal:

1. Selecione o Cliente na lista de clientes
2. Navegue até às assinaturas do Azure do cliente
3. Selecione o plano do Azure ao qual a subscrição pertence
4. Na página Detalhes do plano do Azure, selecione as assinaturas do Azure a serem canceladas
5. Envie as alterações selecionando Cancelar assinatura

Isso cancela apenas as assinaturas selecionadas do Azure. Os clientes com acesso à assinatura do Azure podem reativar a assinatura se o plano do Azure ainda estiver ativo. Para impedir que isso aconteça, os Parceiros devem cancelar todas as assinaturas do Azure e, em seguida, o próprio plano do Azure.

Os parceiros podem selecionar várias subscrições, mas não podem cancelar mais de 10 subscrições de cada vez. Os parceiros podem cancelar o plano do Azure quando não houver assinaturas ativas do Azure sob ele. Isso permite que os parceiros encerrem planos e assinaturas do Azure que possam ter sido comprometidos, mesmo que um agente mal-intencionado tenha removido suas permissões RBAC.

Os parceiros podem cancelar subscrições do Azure através do portal do Partner Center ou por API. Para obter detalhes da API, consulte Cancelar uma assinatura do Azure e, para experimentá-la, consulte Gastos do Azure - Cancelar uma concessão do Azure - API REST.

Para saber mais sobre como cancelar as assinaturas do Azure, consulte O que acontece após o cancelamento da assinatura?

Reativar uma subscrição do Azure

Os parceiros podem reativar assinaturas do Azure que foram canceladas devido ao comprometimento do cliente na página de detalhes do plano do Azure, usando a guia Assinaturas inativas do Azure. Esse recurso está disponível apenas para funções de Agente de Administração. Para tal:

1. Selecione o Cliente na lista de clientes
2. Navegue até as assinaturas do Azure do cliente
3. Selecione o plano do Azure ao qual a assinatura pertence
4. Na página de detalhes do plano do Azure, na seção Assinatura Azure, selecione o separador Inativo
5. Selecione a assinatura do Azure para reativar
6. Envie as alterações selecionando Reativar assinatura

Isso reativa apenas as assinaturas selecionadas do Azure. Os parceiros podem selecionar várias subscrições, mas não podem reativar mais de 10 subscrições de cada vez. O plano do Azure associado deve estar ativo para reativar as assinaturas do Azure. Os parceiros podem reativar os planos do Azure diretamente no Partner Center acedendo à página de detalhes do plano do Azure e atualizando o estado do plano do Azure de volta para Ativo.

Se a subscrição do Azure tiver sido cancelada pelo cliente ou proprietário de faturação no portal do Azure, o cliente ou proprietário de faturação terá de ser contactado para reativar a subscrição a partir do portal do Azure.

Para reativar por API, consulte Reativar uma assinatura do Azure - para desenvolvedores de aplicativos parceiros. Para experimentá-lo, consulte <a href="/rest/api/partner-center/azure-spending/reactivate-an-azure-entitlement" data-linktype="absolute-path">Gastos do Azure - Reativar um subsídio</a> do Azure.

Mais informações sobre como reativar assinaturas do Azure podem ser encontradas na documentação do Azure.

Conteúdos relacionados

• Restabelecimento dos privilégios de administrador para assinaturas do Azure CSP
• Crédito ganho pelo(a) parceiro(a) - visão geral
• Crédito ganho pelo parceiro para serviços geridos