Поделиться через


Связывание идентификатора партнера с учетной записью, используемой для управления клиентами

Партнеры Microsoft предоставляют услуги, которые помогают клиентам достичь целей бизнеса и задач с помощью продуктов Microsoft. Когда партнер действует от имени клиента для управления, настройки и поддержки служб Azure, пользователям партнера потребуется доступ к среде клиента. Если партнеры используют ссылку администратора партнера (PAL), они могут связать идентификатор сети партнера с учетными данными, используемыми для доставки служб.

PAL позволяет корпорации Майкрософт выявлять и идентифицировать партнеров, которые обеспечивают успех клиентов Azure. Корпорация Майкрософт может атрибутировать влияние и потребляемый доход Azure в вашей организации на основе разрешений учетной записи (роль Azure) и области (подписка, группа ресурсов, ресурс). Если в группы есть доступ к Azure RBAC, список доступа к публикации будет признан для всех пользователей в группе.

Получение доступа от клиента

Перед привязкой идентификатора партнера клиент должен предоставить вам доступ к своим ресурсам Azure. Это можно сделать с помощью одного из следующих вариантов.

  • Гостевой пользователь: клиент может добавить вас в качестве гостевого пользователя и назначить все роли Azure. Дополнительные сведения см. в статье Что такое служба совместной работы Azure AD B2B.

  • Учетная запись каталога. Клиент может создать учетную запись пользователя в собственном каталоге и назначить любую роль Azure.

  • Субъект-служба. Клиент может добавить приложение или скрипт из организации в свой каталог и назначить любую роль Azure. Идентификатор приложения или сценария называют субъектом-службой.

  • Azure Lighthouse: клиент может делегировать подписку (или группу ресурсов), чтобы пользователи могли работать с ним из вашего клиента. Для получения дополнительной информации см. Azure Lighthouse.

Если у вас есть доступ к ресурсам клиента, используйте портал Azure, PowerShell или Azure CLI для связывания идентификатора партнера с идентификатором пользователя или субъектом-службой. Свяжите идентификатор партнера в каждом клиенте клиента.

  1. Перейдите на страницу Link to a partner ID (Привязка идентификатора партнера) на портале Azure.

  2. Войдите на портал Azure.

  3. Введите идентификатор партнера Майкрософт. Идентификатор партнера — это идентификатор программы Microsoft Cloud Partner для вашей организации. Обязательно используйте идентификатор связанного партнера, отображаемый в профиле партнера.

    Снимок экрана: ссылка на идентификатор партнера.

  4. Чтобы привязать идентификатор партнера к другому клиенту, переключите каталог. В разделе Переключение каталога выберите свой каталог.

    Снимок экрана: каталог Switch.

  1. Установите модуль Az.ManagementPartner PowerShell.

  2. Войдите в клиент пользователя с помощью учетной записи пользователя или субъекта-службы. Дополнительные сведения см. в разделе Вход с помощью PowerShell.

     C:\> Connect-AzAccount -TenantId XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
    
  3. Привяжите новый идентификатор партнера. Идентификатор партнера — это идентификатор программы Microsoft Cloud Partner для вашей организации. Обязательно используйте идентификатор связанного партнера, отображаемый в профиле партнера.

    C:\> New-AzManagementPartner -PartnerId 12345
    

Получение связанного идентификатора партнера

C:\> Get-AzManagementPartner

Обновление связанного идентификатора партнера

C:\> Update-AzManagementPartner -PartnerId 12345

Удаление связанного идентификатора партнера

C:\> Remove-AzManagementPartner -PartnerId 12345
  1. Установите расширение Azure CLI .

    C:\ az extension add --name managementpartner
    
  2. Войдите в клиент пользователя с помощью учетной записи пользователя или субъекта-службы. Дополнительные сведения см. в разделе Вход с помощью Azure CLI.

    C:\ az login --tenant <tenant>
    
  3. Привяжите новый идентификатор партнера. Идентификатор партнера — это идентификатор программы Microsoft Cloud Partner для вашей организации.

    C:\ az managementpartner create --partner-id 12345
    

Получение связанного идентификатора партнера

C:\ az managementpartner show

Обновление связанного идентификатора партнера

C:\ az managementpartner update --partner-id 12345

Удаление связанного идентификатора партнера

C:\ az managementpartner delete --partner-id 12345

Часто задаваемые вопросы

Какие разрешения на идентификацию PAL необходимы для отображения дохода?

PAL может быть как детализированный как экземпляр ресурса. Например, одна виртуальная машина. Однако для учетной записи пользователя задано ЗНАЧЕНИЕ PAL. Область измерения "Потребляемый доход Azure" (ACR) — это все административные разрешения, имеющиеся в учетной записи пользователя в среде. Область администрирования может быть подпиской, группой ресурсов или экземпляром ресурсов с помощью стандартных ролей Azure RBAC.

Другими словами, связь PAL может произойти для всех ролей RBAC. Роли определяют право на поощрения партнеров. Дополнительные сведения о правах см. в разделе "Стимулы партнеров".

Например, если вы являетесь партнером, ваш клиент может нанять вас для выполнения проекта. Клиент может предоставить вам учетную запись администратора для развертывания, настройки и поддержки приложения. Клиент может ограничить доступ к группе ресурсов. Если вы используете PAL и связываете идентификатор MPN с учетной записью администратора, корпорация Майкрософт измеряет потребляемый доход от служб в группе ресурсов.

Если удостоверение Microsoft Entra, используемое для PAL, удаляется или отключено, aCR attribution останавливается для партнера в связанных ресурсах.

Различные партнерские программы имеют разные правила для ролей RBAC. Обратитесь к диспетчеру разработки партнеров для получения правил о конкретных ролях RBAC Azure, необходимых во время PAL, чтобы реализовать ACR.

Дополнительные сведения см. в разделе:

Кто может привязать идентификатор партнера?

Любой пользователь из партнерской организации, который управляет ресурсами Azure клиента, может привязать идентификатор партнера к учетной записи.

Можно ли изменить идентификатор партнера после его привязки?

Да. Связанный идентификатор партнера можно изменить, добавить или удалить.

Могут ли другие партнеры или клиенты изменить или удалить привязку к идентификатору партнера?

Привязка создана на уровне учетной записи пользователя. Только вы можете изменить или удалить привязку к идентификатору партнера. Клиенты и другие партнеры не могут изменять привязку к идентификатору партнера.

Какой идентификатор партнера следует использовать, если у моей компании несколько?

Обязательно используйте идентификатор связанного партнера, показанный в профиле партнера.

Где я могу найти информацию, оказавшую влияние на отчетность по доходам для идентификатора связанного партнера?

Отчеты о производительности облачных продуктов доступны для партнеров в партнерском центре в Моя информационная панель . В качестве типа партнерской ассоциации необходимо выбрать Ссылку администратора партнера.

Почему в отчетах не отображается клиент?

Вы не видите клиента в отчетах по следующим причинам:

  1. Для связанной учетной записи пользователя не настроено управление доступом на основе ролей (Azure RBAC) ни в одном клиентском ресурсе или подписке Azure.

  2. Отсутствуют сведения об использовании подписки Azure, в которой пользователь имеет доступ на основе Azure RBAC.

Что делать, если у пользователя есть учетная запись в нескольких клиентах?

Привязка идентификатора партнера к учетной записи выполняется для каждого клиента. Привяжите идентификатор партнера в каждом клиенте.

Однако если вы управляете ресурсами клиентов с помощью Azure Lighthouse, необходимо создать ссылку в клиенте поставщика услуг с помощью учетной записи, которая имеет доступ к ресурсам клиента.

Как связать идентификатор партнера, если моя компания использует Azure Lighthouse для получения доступа к ресурсам клиента?

Чтобы распознать действия Azure Lighthouse, необходимо связать идентификатор партнера по крайней мере с одной учетной записью пользователя, которая имеет доступ к каждой подключенной подписке клиента. Связь необходима в клиенте поставщика услуг, а не в каждом клиенте клиента.

Для простоты мы рекомендуем создать учетную запись субъекта-службы в клиенте, связав ее с идентификатором партнера, а затем предоставить ему доступ ко всем клиентам, которые вы подключены со встроенной ролью Azure, которая имеет право на получение кредита партнера.

Если вы уже подключены к клиенту, вы можете связать идентификатор партнера с учетной записью пользователя, которая уже имеет разрешение на работу в клиенте этого клиента, чтобы вам не пришлось выполнять другое развертывание.

Дополнительные сведения см. в статье "Подключение клиента к Azure Lighthouse".

Работает ли связывание идентификатора партнера с Azure Stack?

Да, вы можете связать идентификатор партнера для Azure Stack.

Как объяснить клиенту, что такое Ссылка администратора партнера (PAL)?

Ссылка администратора партнера (PAL) позволяет корпорации Майкрософт определять и поощрять партнеров, которые помогают клиентам достигать бизнес-целей и извлекать коммерческую выгоду с помощью облака. Клиенты должны предоставить партнеру доступ к своему ресурсу Azure, После предоставления доступа будет связан идентификатор программы Microsoft Cloud Partner Партнера партнера. Эта связь помогает корпорации Майкрософт понять экосистему поставщиков ИТ-услуг и усовершенствовать средства и программы, необходимые для поддержки наших общих клиентов.

Какие данные собираются через PAL?

Связь PAL с существующими учетными данными не предоставляет новых данных о клиентах в корпорацию Майкрософт. Он просто предоставляет сведения корпорации Майкрософт, где партнер активно участвует в среде Azure клиента. Корпорация Майкрософт может связать показатели влияния и потребления ресурсов Azure между клиентской средой и партнерской организацией на основе разрешений учетной записи (роли Azure) и области (группа управления, подписка, группа ресурсов, ресурс), предоставленных партнеру клиентом.

Влияет ли это на безопасность среды Azure клиента?

Сопоставление PAL добавляет только идентификатор партнера к уже подготовленным учетным данным, и он не изменяет разрешения (роль Azure) или предоставляет другие данные службы Azure партнеру или корпорации Майкрософт.

Что произойдет, если удостоверение PAL удалено?

Если идентификатор партнерской сети, также называемый идентификатором MPN, удаляется, то все механизмы распознавания, включая атрибуцию "Потребляемый доход Azure" (ACR), перестают работать.

Следующие шаги

Присоединитесь к обсуждениям сообщества партнеров Майкрософт, чтобы получать обновления или отправлять отзывы.