Wiederherstellen von Administratorrechten für Azure CSP-Abonnements eines Kunden

Geeignete Rollen: Globaler Administrator | Administrator-Agent

Als Partner im CSP-Programm (Cloud Solution Provider) vertrauen Ihre Kunden häufig darauf, dass Sie deren Azure-Nutzung und Systeme verwalten. Sie benötigen Administratorrechte, um ihnen zu helfen. Wenn Sie noch nicht über Administratorrechte verfügen, können Sie diese gemeinsam mit Ihrem Kunden einrichten.

Administratorrechte für Azure im CSP-Programm

Einige Administratorrechte werden automatisch gewährt, wenn Sie eine Händlerbeziehung mit einem Kunden einrichten. Anderen personen muss Ihnen von einem Kunden gewährt werden.

Es gibt zwei Ebenen von Administratorrechten für Azure in CSP:

• Administratorrechte auf Mandantenebene (d. h. delegierte Administratorrechte) gewähren Ihnen Zugriff auf die Mandanten Ihrer Kunden. Mit diesem delegierten Zugriff können Sie administrative Funktionen ausführen, z. B. Hinzufügen und Verwalten von Benutzern, Zurücksetzen von Kennwörtern und Verwalten von Benutzerlizenzen.

  Sie erhalten Administratorrechte auf Mandantenebene, wenn Sie CSP-Vertriebspartnerbeziehungen mit Kunden einrichten.

• Administratorrechte auf Abonnementebene ermöglichen Ihnen den vollständigen Zugriff auf Azure CSP-Abonnements Ihrer Kunden. Mit diesem Zugriff können Sie deren Azure-Ressourcen bereitstellen und verwalten.

  Sie erhalten Administratorrechte auf Abonnementebene beim Erstellen von Azure CSP-Abonnements für Ihre Kunden.

Erneutes Aktivieren Ihrer CSP-Administratorrechte: Ihre Aktionen

Sie und Ihr Kunde verfügen jeweils über Aktionen, die sie ausführen müssen, um Ihre CSP-Administratorrechte erneut zu aktivieren. In diesem Abschnitt werden die Auszuführenden Aktionen beschrieben.

Führen Sie die folgenden Schritte aus, um Ihre CSP-Administratorrechte erneut zu aktivieren:

1. Melden Sie sich bei Partner Center an, und wählen Sie Kunden aus.

2. Wählen Sie in der Kundenliste die Option "Händlerbeziehung anfordern" aus.

3. Aktivieren Sie für das Kontrollkästchen "Delegierte Administratorrechte" :

   • Lassen Sie das Kontrollkästchen aktiviert, um die Beziehung mit delegierten Administratorrechten einzurichten.
   • Deaktivieren Sie das Kontrollkästchen, um die Beziehung ohne delegierte Administratorrechte einzurichten.

   

4. Überprüfen Sie den Entwurf der E-Mail-Einladung.

   • Wählen Sie "In E-Mail öffnen" aus, um die Einladung zum Entwurf in Ihrer Standard-E-Mail-Anwendung zu öffnen.
   • Wählen Sie "In Zwischenablage kopieren" aus, um die Einladung in eine E-Mail-Nachricht zu kopieren und einzufügen.

   Wichtig

   Sie können den Text in der E-Mail-Entwurfsnachricht bearbeiten, aber achten Sie darauf, den personalisierten Link einzuschließen, da er den Kunden direkt mit Ihrem Konto verknüpft.

5. Wählen Sie Fertig aus.

6. Senden Sie die E-Mail-Einladung an Ihren Kunden.

   Hinweis

   Um die Anfrage annehmen zu können, muss die Person in der Organisation Ihres Kunden ein globaler Administrator des Mandanten Ihres Kunden sein.

   • Ihr Kunde wählt den Link aus, den er in der E-Mail erhalten hat. Über den Link gelangen Sie zum Microsoft Admin Center , wo sie Ihre Einladung annehmen können.
   • Nachdem der Kunde die Einladung angenommen hat, wird er auf der Seite Kunden im Partner Center angezeigt, und Sie können den Dienst für den Kunden von dort aus bereitstellen und verwalten.

7. Nachdem Ihr Kunde die Einladung zur Händlerbeziehung über den bereitgestellten Link genehmigt hat, stellen Sie eine Verbindung mit dem Partnermandanten her, um die object ID AdminAgents-Gruppe abzurufen.

   Connect-AzAccount -Tenant "Partner tenant"
   # Get Object ID of AdminAgents group
   Get-AzADGroup -DisplayName AdminAgents
   

8. Stellen Sie sicher, dass Ihr Kunde über Folgendes verfügt:

   • Rolle des Besitzers oder die des Benutzerzugriffsadministrators
   • Berechtigungen zum Erstellen von Rollenzuweisungen auf Abonnementebene

Erneutes Aktivieren Ihrer CSP-Administratorrechte: Kundenaktionen

In diesem Abschnitt werden die Aktionen des Kunden zum Erneuten Aktivieren Ihrer CSP-Administratorrechte beschrieben.

Um ihre CSP-Administratorrechte wiederhergestellt zu haben, verwendet Ihr Kunde PowerShell oder die Azure CLI, um die folgenden Schritte auszuführen:

1. Ihr Kunde verwendet PowerShell zum Aktualisieren des Moduls Az.Resources .

   Update-Module Az.Resources
   

2. Ihr Kunde stellt eine Verbindung mit dem Mandanten herstellt, in dem das CSP-Abonnement vorhanden ist.

   Connect-AzAccount -TenantID "<Customer tenant>"
   

   az login --tenant <Customer tenant>
   

3. Ihr Kunde stellt eine Verbindung mit dem Abonnement bereit.

   Dieser Schritt gilt nur , wenn der Benutzer über Rollenzuweisungsberechtigungen für mehrere Abonnements im Mandanten verfügt.

   Set-AzContext -SubscriptionID "<CSP Subscription ID>"
   

   az account set --subscription <CSP Subscription ID>
   

4. Ihr Kunde erstellt die Rollenzuweisung.

   New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
   

   az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
   

Anstatt Besitzerberechtigungen auf Abonnementebene zu gewähren, können sie auf Ressourcengruppen- oder Ressourcenebene erteilt werden:

• Auf Ressourcengruppenebene

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
  

• Auf Ressourcenebene

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
  

Problembehandlung bei den Kundenschritten

Wenn Ihr Kunde die vorstehenden Schritte nicht ausführen kann, schlagen Sie den folgenden Befehl vor, und stellen Sie die resultierende newRoleAssignment.log Datei für die weitere Analyse an Microsoft bereit:

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

Erneutes Aktivieren Ihrer CSP-Administratorrechte: PowerShell-Catchall-Verfahren

Wenn die Schritte in den vorherigen Abschnitten nicht funktionieren oder wenn Beim Versuch Fehler auftreten, probieren Sie das folgende "catchall"-Verfahren aus, um Administratorrechte für Ihren Kunden wieder freizugeben:

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

Wenn die Prozedur "catchall" fehlschlägt Import-Module, führen Sie die folgenden Schritte aus:

• Wenn beim Import ein Fehler auftritt, weil das Modul verwendet wird, starten Sie die PowerShell-Sitzung neu, indem Sie alle Fenster schließen und erneut öffnen.
• Überprüfen Sie die Version von Az.Resources mit Get-Module Az.Resources -ListAvailable.
  • Wenn Version 4.1.1 nicht in der verfügbaren Liste enthalten ist, müssen Sie dies verwenden Update-Module Az.Resources -Force.
• Wenn ein Fehler besagt, dass es Az.Accounts sich um eine bestimmte Version handeln muss, aktualisieren Sie dieses Modul ebenfalls, und ersetzen Sie es durch Az.Resources Az.Accounts. Anschließend müssen Sie die PowerShell-Sitzung neu starten.

Wie ein indirekter Wiederverkäufer Administrator im Auftrag von (AOBO) Kundenberechtigungen für Azure-Abonnements erhalten kann

Ein indirekter Wiederverkäufer kann die folgenden Schritte ausführen, um AOBO-Kundenberechtigungen für Azure-Abonnements zu erhalten:

1. Richten Sie eine Beziehung mit dem Endkunden ein.
2. Fordern Sie präzise delegierte Administratorrechte (GDAP) mit dem Endbenutzer für Azure-Abonnements an.
3. Checken Sie ihre eigene Azure-Portal die Objekt-ID der AdminAgent-Gruppe für Ihren eigenen Mandanten ein (um zu erfahren, wie Sie dies tun können, finden Sie im Handbuch zur Problembehandlung für Partnerguthaben).
4. Wenn der indirekte Anbieter über OBO-Rechte für die Rollen "Kunde" und "RBAC"-Besitzer verfügt, kann er das skript ausführen, das unter "Neuanstellen Ihrer CSP-Administratorberechtigungen" bereitgestellt wird: Kundenaktionen , um AOBO-Berechtigungen für die Objekt-ID des Admin-Agents des indirekten Händlers zu erteilen. Alternativ kann der Endbenutzer dies tun, wenn er über Eigentumsrechte für das Abonnement verfügt.

Zugehöriger Inhalt

• Verwalten von Abonnements und Ressourcen in einem Azure-Plan