Partilhar via


Restabelecer os privilégios de administrador para as subscrições do Azure CSP

Funções apropriadas: Administrador global | Agente administrativo

Como parceiro do programa Fornecedor de Soluções Cloud (CSP), os clientes dependem frequentemente de si para gerirem a utilização do Azure e os sistemas. Tem de ter privilégios de administrador para os ajudar. Se ainda não tiver privilégios de administrador, poderá trabalhar com o cliente para os restabelecer.

Privilégios de administrador para o Azure no programa CSP

Alguns privilégios de administrador são concedidos automaticamente quando você estabelece um relacionamento de revendedor com um cliente. Outros devem ser concedidos a você por um cliente.

Há dois níveis de privilégios de administrador para o Azure no CSP:

  • Os privilégios de administrador ao nível do inquilino (ou seja, privilégios de administrador delegado) dão-lhe acesso aos inquilinos dos seus clientes. Esse acesso delegado permite que você execute funções administrativas, como adicionar e gerenciar usuários, redefinir senhas e gerenciar licenças de usuário.

    Você obtém privilégios de administrador no nível do locatário quando estabelece relacionamentos de revendedor CSP com clientes.

  • Os privilégios de administrador ao nível da subscrição concedem-lhe acesso completo às subscrições do Azure CSP dos clientes. Este acesso permite-lhe aprovisionar e gerir os recursos do Azure desses clientes.

    Você obtém privilégios de administrador no nível de assinatura ao criar assinaturas do Azure CSP para seus clientes.

Restabelecer seus privilégios de administrador do CSP: suas ações

Você e seu cliente têm ações a serem executadas para restabelecer seus privilégios de administrador do CSP. Esta seção descreve as ações a serem tomadas.

Para restabelecer seus privilégios de administrador do CSP, use as seguintes etapas:

  1. Inicie sessão no Partner Center e selecione Clientes.

  2. Na Lista de clientes, selecione Solicitar um relacionamento de revendedor.

  3. Para a caixa de seleção Privilégios de administrador delegado:

    • Deixe a caixa de seleção marcada para estabelecer o relacionamento com privilégios de administrador delegado.
    • Desmarque a caixa de seleção para estabelecer o relacionamento sem privilégios de administrador delegado.

    Captura de ecrã da página

  4. Analise o rascunho do convite por e-mail.

    • Selecione Abrir no e-mail para abrir o convite de rascunho no seu aplicativo de e-mail padrão.
    • Selecione Copiar para área de transferência para copiar e colar o convite em uma mensagem de email.

    Importante

    Você pode editar o texto na mensagem de e-mail de rascunho, mas certifique-se de incluir o link personalizado, pois ele vincula o cliente diretamente à sua conta.

  5. Selecionar Concluído.

  6. Envie o convite por e-mail para o seu cliente.

    Nota

    Para poder aceitar o pedido, a pessoa na organização do cliente tem de ser um administrador global do inquilino do cliente.

    • O cliente seleciona o link que recebeu no e-mail. O link os leva ao Centro de Administração da Microsoft, onde eles podem aceitar seu convite.
    • Após aceitar o convite, o cliente será apresentado na página Clientes no Centro de Parceiros e poderá aprovisionar e gerir o serviço em nome do cliente a partir daí.
  7. Depois que seu cliente aprovar o convite de relacionamento de revendedor usando o link fornecido, conecte-se ao locatário parceiro para obter o object ID do grupo AdminAgents.

    Connect-AzAccount -Tenant "Partner tenant"
    # Get Object ID of AdminAgents group
    Get-AzADGroup -DisplayName AdminAgents
    
  8. Confirme que o cliente tem:

    • A função de proprietário ou administrador de acesso de utilizador
    • Permissões para criar atribuições de funções ao nível da subscrição

Restabelecer seus privilégios de administrador do CSP: ações do cliente

Esta seção descreve as ações do cliente para restabelecer seus privilégios de administrador do CSP.

Para concluir o restabelecimento de seus privilégios de administrador do CSP, seu cliente usa o PowerShell ou a CLI do Azure para executar as seguintes etapas:

  1. Seu cliente usa o PowerShell para atualizar o Az.Resources módulo.

    Update-Module Az.Resources
    
  2. Seu cliente se conecta ao locatário no qual a assinatura CSP existe.

    Connect-AzAccount -TenantID "<Customer tenant>"
    
    az login --tenant <Customer tenant>
    
  3. Seu cliente se conecta à assinatura.

    Esta etapa é aplicável somente se o usuário tiver permissões de atribuição de função em várias assinaturas no locatário.

    Set-AzContext -SubscriptionID "<CSP Subscription ID>"
    
    az account set --subscription <CSP Subscription ID>
    
  4. Seu cliente cria a atribuição de função.

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
    
    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
    

Em vez de conceder permissões de proprietário no nível da assinatura , elas podem ser concedidas no grupo de recursos ou no nível do recurso :

  • Ao nível do grupo de recursos

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
    
    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
    
  • Ao nível dos recursos

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
    
    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
    

Solução de problemas das etapas do cliente

Se o cliente não conseguir concluir as etapas anteriores, sugira o seguinte comando e forneça o arquivo resultante newRoleAssignment.log à Microsoft para análise adicional:

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

Restabelecer seus privilégios de administrador do CSP: procedimento catchall do PowerShell

Se as etapas nas seções anteriores não funcionarem, ou se você receber erros ao tentá-las, tente o seguinte procedimento "catchall" para restabelecer os direitos de administrador para seu cliente:

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

Se o procedimento "catchall" falhar no Import-Module, tente as seguintes etapas:

  • Se a importação falhar porque o módulo está em uso, reinicie a sessão do PowerShell fechando e reabrindo todas as janelas.
  • Verifique a versão do Az.Resources com Get-Module Az.Resources -ListAvailable.
    • Se a versão 4.1.1 não estiver na lista disponível, você deverá usar Update-Module Az.Resources -Forceo .
  • Se um erro indicar que Az.Accounts deve ser uma versão específica, atualize esse módulo também, substituindo Az.Resources por Az.Accounts. Em seguida, reinicie a sessão do PowerShell.

Como um Revendedor Indireto pode obter privilégios de Administrador em Nome de (AOBO) para assinaturas do Azure

Um Revendedor Indireto pode seguir estas etapas para obter privilégios de cliente AOBO para assinaturas do Azure:

  1. Estabelecer uma relação com o cliente final.
  2. Solicite privilégios de administrador delegado granulares (GDAP) com o cliente final para assinaturas do Azure.
  3. Verifique em seu próprio portal do Azure a ID do objeto do grupo AdminAgent para seu próprio locatário (para saber como fazer isso, consulte o Guia de solução de problemas de crédito obtido pelo parceiro).
  4. Se o Provedor Indireto tiver direitos OBO para as funções de cliente e proprietário do RBAC, ele poderá executar o script fornecido em Restabelecer seus privilégios de administrador do CSP: ações do cliente para conceder permissões AOBO ao ID do objeto do agente Admin do Revendedor Indireto. Como alternativa, o cliente final pode fazer isso se tiver direitos de propriedade sobre a assinatura.