Obnovení oprávnění správce pro předplatná Azure CSP konkrétního zákazníka

Příslušné role: Globální správce | Agent pro správu

Vaši zákazníci se na vás, jako na partnera programu CSP (Cloud Solution Provider), často spoléhají při správě využití Azure a svých systémů. Abyste jim mohli pomoct, budete potřebovat oprávnění správce. Pokud ještě nemáte oprávnění správce, můžete si je ve spolupráci se zákazníkem udělit.

Oprávnění správce pro Azure v programu CSP

Některá oprávnění správce se udělí automaticky při navázání vztahu prodejce se zákazníkem. Ostatní vám musí být uděleni zákazníkem.

Azure v CSP má dvě úrovně oprávnění správce:

• Oprávnění správce na úrovni tenanta (tj . delegovaná oprávnění správce) umožňují přístup k tenantům vašich zákazníků. Tento delegovaný přístup umožňuje provádět funkce správy, jako je přidávání a správa uživatelů, resetování hesel a správa uživatelských licencí.

  Oprávnění správce na úrovni tenanta získáte při vytváření vztahů prodejců CSP se zákazníky.

• Oprávnění správce na úrovni předplatného poskytují úplný přístup k předplatným Azure CSP zákazníka. Tento přístup vám umožňuje zřizovat a spravovat jejich prostředky Azure.

  Při vytváření předplatných Azure CSP pro vaše zákazníky získáte oprávnění správce na úrovni předplatného.

Obnovení oprávnění správce CSP: Vaše akce

Vy i váš zákazník máte akce, které je potřeba provést k obnovení oprávnění správce CSP. Tato část popisuje akce, které můžete provést.

Pokud chcete obnovit oprávnění správce CSP, postupujte následovně:

1. Přihlaste se do Partnerského centra a pak vyberte možnost Zákazníci.

2. V seznamu zákazníků vyberte Požádat o vztah prodejce.

3. Pro delegovaná oprávnění správce zaškrtávací políčko:

   • Pokud chcete vytvořit relaci s delegovanými oprávněními správce, ponechte toto políčko zaškrtnuté.
   • Zrušte zaškrtnutí políčka, pokud chcete vytvořit relaci bez delegovaných oprávnění správce.

   

4. Zkontrolujte koncept e-mailové pozvánky.

   • Výběrem možnosti Otevřít v e-mailu otevřete koncept pozvánky ve vaší výchozí e-mailové aplikaci.
   • Výběrem možnosti Kopírovat do schránky zkopírujte pozvánku a vložte ji do e-mailové zprávy.

   Důležité

   Text v konceptu e-mailové zprávy můžete upravit, ale nezapomeňte přidat přizpůsobený odkaz , protože odkazuje přímo zákazníka na váš účet.

5. Vyberte Hotovo.

6. Pošlete zákazníkovi e-mailovou pozvánku.

   Poznámka:

   Aby bylo možné žádost přijmout, musí být osoba ve vaší organizaci zákazníka globálním správcem tenanta vašeho zákazníka.

   • Zákazník vybere odkaz, který obdržel v e-mailu. Odkaz je přenese do Centra pro správu Microsoftu, kde může přijmout vaši pozvánku.
   • Jakmile zákazník vaši žádost přijme, uvidíte ho na stránce Zákazníci v Partnerském centru, odkud budete moct zřizovat a spravovat službu pro zákazníka.

7. Jakmile zákazník schválí pozvánku na vztah prodejce pomocí zadaného odkazu, připojte se k partnerskému tenantovi a získejte object ID skupinu AdminAgents.

   Connect-AzAccount -Tenant "Partner tenant"
   # Get Object ID of AdminAgents group
   Get-AzADGroup -DisplayName AdminAgents
   

8. Ověřte, že zákazník má:

   • Roli vlastníka nebo správce přístupu uživatelů
   • Oprávnění k vytváření přiřazení rolí na úrovni předplatného

Obnovení oprávnění správce CSP: Akce zákazníka

Tato část popisuje akce zákazníka k obnovení oprávnění správce CSP.

K dokončení opětovného uvedení oprávnění správce CSP použije zákazník k provedení následujících kroků PowerShell nebo Azure CLI:

1. Zákazník k aktualizaci Az.Resources modulu používá PowerShell.

   Update-Module Az.Resources
   

2. Zákazník se připojí k tenantovi, ve kterém existuje předplatné CSP.

   Connect-AzAccount -TenantID "<Customer tenant>"
   

   az login --tenant <Customer tenant>
   

3. Zákazník se připojí k předplatnému.

   Tento krok platí jenom v případě, že uživatel má oprávnění k přiřazení role pro více předplatných v tenantovi.

   Set-AzContext -SubscriptionID "<CSP Subscription ID>"
   

   az account set --subscription <CSP Subscription ID>
   

4. Váš zákazník vytvoří přiřazení role.

   New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
   

   az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
   

Místo udělení oprávnění vlastníka na úrovni předplatného je možné je udělit na úrovni skupiny prostředků nebo prostředku :

• Na úrovni skupiny prostředků

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
  

• Na úrovni prostředku

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
  

Řešení potíží s kroky zákazníka

Pokud zákazník nemůže dokončit předchozí kroky, navrhněte následující příkaz a poskytněte společnosti Microsoft výsledný newRoleAssignment.log soubor pro další analýzu:

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

Obnovení oprávnění správce CSP: Procedura catchall v PowerShellu

Pokud kroky v předchozích částech nefungují nebo pokud při pokusu o ně dojde k chybám, zkuste následující postup catchall obnovit práva správce pro zákazníka:

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

Pokud se procedura catchall nezdaří, Import-Modulezkuste následující kroky:

• Pokud import selže, protože se modul používá, restartujte relaci PowerShellu zavřením a opětovným otevřením všech oken.
• Zkontrolujte verzi s Az.Resources Get-Module Az.Resources -ListAvailable.
  • Pokud verze 4.1.1 není v seznamu dostupných, musíte použít Update-Module Az.Resources -Force.
• Pokud chyba uvádí, že Az.Accounts musí být konkrétní verze, aktualizujte tento modul také a nahraďte Az.Resources ho .Az.Accounts Pak musíte restartovat relaci PowerShellu.

Jak může nepřímý prodejce získat oprávnění zákazníka AOBO (Admin on Behalf of) pro předplatná Azure

Nepřímý prodejce může k získání zákaznických oprávnění AOBO pro předplatná Azure postupovat následovně:

1. Vytvořte vztah s koncovým zákazníkem.
2. Požádejte o podrobná delegovaná oprávnění správce (GDAP) s koncovým zákazníkem pro předplatná Azure.
3. Podívejte se na vlastní azure Portal a id objektu skupiny AdminAgent pro vašeho vlastního tenanta (informace o tom, jak to udělat, projděte si průvodce odstraňováním potíží s kreditem získaným partnerem).
4. Pokud má nepřímý poskytovatel oprávnění OBO pro role vlastníka zákazníka a RBAC, může spustit skript uvedený v části Obnovení oprávnění správce CSP: Akce zákazníka k udělení oprávnění AOBO k ID objektu agenta správce nepřímého prodejce. Případně to může koncový zákazník provést, pokud má k předplatnému práva vlastnictví.

Související obsah

• Správa předplatných a prostředků v rámci plánu Azure