恢復客戶的 Azure CSP 訂用帳戶管理員權限

適當的角色：全域管理員 |系統管理代理程式

身為「雲端解決方案提供者」(CSP) 計劃的合作夥伴，您的客戶通常會倚賴您代為管理其 Azure 使用量及系統。 您必須管理員權限才能協助他們。 如果您還沒有管理員權限，您可以與客戶合作恢復相關權限。

CSP 計畫中的 Azure 管理員權限

當您與客戶建立經銷商關係時，會自動授與某些系統管理員許可權。 其他人必須由客戶授與您。

CSP 中有兩個層級的 Azure 系統管理員許可權：

• 租用戶層級系統管理員許可權 （也就是 委派的系統管理員許可權）可讓您存取客戶的租使用者。 此委派存取可讓您執行系統管理功能，例如新增和管理使用者、重設密碼，以及管理用戶授權。

  當您與客戶建立 CSP 轉銷商關係時，您會取得租用戶層級系統管理員許可權。

• 訂用帳戶層級的管理員權限可讓您完整存取客戶的 Azure CSP 訂用帳戶。 此存取權可讓您佈建及管理其 Azure 資源。

  為您的客戶建立 Azure CSP 訂用帳戶時，您會獲得訂用帳戶層級的系統管理員許可權。

恢復您的 CSP 系統管理員許可權：您的動作

您和您的客戶各有動作可恢復 CSP 系統管理員許可權。 本節說明要採取的動作。

若要恢復 CSP 系統管理員許可權，請使用下列步驟：

1. 登入合作夥伴中心，並選取 [客戶]。

2. 在 [ 客戶清單] 上，選取 [ 要求經銷商關係]。

3. 針對 [ 委派系統管理員許可權] 複選框：

   • 保留選取複選框，以建立與委派系統管理員許可權的關聯性。
   • 清除複選框，以建立沒有委派系統管理員許可權的關聯性。

   

4. 檢閱草稿電子郵件邀請。

   • 選取 [ 以電子郵件 開啟]，以在您的預設電子郵件應用程式中開啟草稿邀請。
   • 選取 [ 複製到剪貼簿 ] 以複製邀請並貼到電子郵件訊息中。

   重要

   您可以在草稿電子郵件訊息中編輯文字，但 請務必包含個人化連結 ，因為它會將客戶直接連結到您的帳戶。

5. 選取完成。

6. 傳送電子郵件邀請給您的客戶。

   注意

   若要能夠接受要求，您客戶組織中的人員必須是 客戶租使用者的全域管理員 。

   • 您的客戶會選取他們在電子郵件中收到的連結。 連結會將他們帶至 Microsoft系統管理中心 ，讓他們可以接受您的邀請。
   • 客戶接受您的邀請之後，他們將會出現在合作夥伴中心的 [客戶] 頁面，而且您將能從該處為客戶佈建及管理服務。

7. 客戶使用所提供的連結核准轉銷商關係邀請之後，請連線至合作夥伴租使用者以取得 object ID AdminAgents 群組的 。

   Connect-AzAccount -Tenant "Partner tenant"
   # Get Object ID of AdminAgents group
   Get-AzADGroup -DisplayName AdminAgents
   

8. 請確定您的客戶具有：

   • 擁有者或使用者存取系統管理員的角色
   • 在訂用帳戶層級建立角色指派的許可權

恢復您的 CSP 系統管理員許可權：客戶動作

本節說明 客戶 恢復 CSP 系統管理員許可權的動作。

若要完成恢復 CSP 系統管理員許可權，您的客戶會使用 PowerShell 或 Azure CLI 來執行下列步驟：

1. 您的客戶會使用PowerShell來更新 Az.Resources 模組。

   Update-Module Az.Resources
   

2. 您的客戶會連線到 CSP 訂用帳戶所在的租使用者。

   Connect-AzAccount -TenantID "<Customer tenant>"
   

   az login --tenant <Customer tenant>
   

3. 您的客戶會連線到訂用帳戶。

   只有在使用者具有租使用者中多個訂用帳戶的角色指派許可權時，才適用此步驟。

   Set-AzContext -SubscriptionID "<CSP Subscription ID>"
   

   az account set --subscription <CSP Subscription ID>
   

4. 您的客戶會建立角色指派。

   New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
   

   az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
   

您可以在資源群組或資源層級授與擁有者許可權，而不是在訂用帳戶層級授與擁有者許可權：

• 在 資源群組 層級

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
  

• 在 資源 層級

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
  

針對客戶步驟進行疑難解答

如果您的客戶無法完成上述步驟，請建議下列命令，並提供產生的 newRoleAssignment.log 檔案以Microsoft以進行進一步分析：

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

恢復 CSP 系統管理員許可權：PowerShell catchall 程式

如果上述各節中的步驟無法運作，或在嘗試時收到錯誤，請嘗試下列「catchall」程式來恢復客戶的系統管理員許可權：

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

如果 「catchall」 程式在 Import-Module失敗，請嘗試下列步驟：

• 如果匯入因為模組正在使用而失敗，請關閉並重新開啟所有視窗，以重新啟動 PowerShell 會話。
• 使用 Get-Module Az.Resources -ListAvailable檢查的版本Az.Resources。
  • 如果 4.1.1 版不在可用的清單中，您必須使用 Update-Module Az.Resources -Force。
• 如果錯誤指出必須是 Az.Accounts 特定版本，請更新該模組，並將 取代為 Az.Resources Az.Accounts。 您接著必須重新啟動 PowerShell 工作階段。

間接轉銷商如何代表 Azure 訂用帳戶取得系統管理員 （AOBO） 客戶許可權

間接轉銷商可以遵循下列步驟來取得 Azure 訂用帳戶的 AOBO 客戶許可權：

1. 建立與終端客戶的關係。
2. 向 Azure 訂用帳戶的最終客戶要求細微的委派系統管理員許可權 （GDAP）。
3. 簽入自己的 Azure 入口網站 您自己租使用者 AdminAgent 群組的物件標識碼（若要瞭解如何這麼做，請參閱合作夥伴獲得信用疑難解答指南）。
4. 如果間接提供者具有客戶和 RBAC 擁有者角色的 OBO 許可權，他們可以執行在恢復 CSP 系統管理員許可權中 提供的腳本：客戶動作 ，將 AOBO 許可權授與間接轉銷商的管理代理程式物件標識符。 或者，如果終端客戶擁有訂用帳戶的擁有權，則可以執行此動作。

相關內容

• 管理 Azure 方案下的訂用帳戶和資源