Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Geeignete Rollen: Administrator-Agent
In diesem Artikel wird erläutert, wie Cloud Solution Provider (CSP)-Partner verschiedene rollenbasierte Zugriffssteuerungsoptionen (RBAC) verwenden können, um die betriebliche Kontrolle und Verwaltung der Azure-Ressourcen eines Kunden zu erhalten.
Wenn Sie einen Kunden in den Azure-Plan überführen, werden Ihnen standardmäßig privilegierte Administratorrechte in Azure zugewiesen – Rechte als Abonnementbesitzer über „Admin im Auftrag von“ (Admin on Behalf of, AOBO).
Hinweis
Kunden können Administratorrechte auf einer der folgenden Ebenen entfernen: Abonnement, Ressourcengruppe und Workload.
Um die Azure-Ressourcen eines Kunden in CSP zu verwalten, können Partner rollenbasierte Zugriffssteuerung (RBAC) verwenden. Mit diesem Feature können Sie die Operative Kontrolle behalten und die Verwaltungsaufgaben kontinuierlich überwachen.
Admin im Auftrag von – Mit AOBO hat jeder Benutzer mit der Agentenrolle „Admin“ im Partnermandanten Zugriff als RBAC-Eigentümer auf Azure-Abonnements, die Sie über das CSP-Programm erstellen.
Azure Lighthouse: AOBO verfügt nicht über die Flexibilität, unterschiedliche Gruppen zu erstellen, die mit unterschiedlichen Kunden arbeiten, oder um unterschiedliche Rollen für Gruppen oder Benutzer zu aktivieren. Mithilfe von Azure Lighthouse können Sie jedoch verschiedenen Kunden oder Rollen unterschiedliche Gruppen zuweisen. Da Benutzer über die entsprechende Zugriffsebene über die delegierte Azure-Ressourcenverwaltung verfügen, können Sie die Anzahl der Benutzer verringern, die über die Administrator-Agent-Rolle verfügen (und somit über vollständigen AOBO-Zugriff verfügen). Dies trägt zur Verbesserung der Sicherheit bei, indem der unnötige Zugriff auf die Ressourcen Ihrer Kunden eingeschränkt wird. Außerdem erhalten Sie mehr Flexibilität beim Verwalten mehrerer Kunden in großem Maßstab. Weitere Informationen finden Sie unter Azure Lighthouse und das Cloud Solution Provider-Programm.
Verzeichnis- oder Gastbenutzer oder Dienstprinzipale: Sie können den Zugriff auf CSP-Abonnements granular delegieren, indem Sie Benutzer im Kundenverzeichnis hinzufügen oder indem Sie Gastbenutzer hinzufügen und ihnen bestimmte RBAC-Rollen zuweisen.
Als Sicherheitspraxis empfiehlt Microsoft, Benutzern die Mindestberechtigungen zuzuweisen, die sie für ihre Arbeit benötigen. Weitere Informationen finden Sie unter Ressourcen für Microsoft Entra Privileged Identity Management.
Verknüpfen Sie Ihre PartnerID mit Ihren Anmeldeinformationen, um die Azure-Ressourcen eines Kunden zu verwalten.
In der folgenden Tabelle sind die Methoden aufgeführt, die verwendet werden, um Ihre PartnerID (ehemals MPN-ID) verschiedenen RBAC-Zugriffsoptionen zuzuordnen.
| Kategorie | Szenario | PartnerID-Zuordnung |
|---|---|---|
| AOBO | Der direkte CSP-Partner oder der indirekte Anbieter erstellt das Abonnement für den Kunden, wodurch der CSP-direkte Partner oder indirekter Anbieter der Standardbesitzer des Abonnements mit AOBO wird. Der direkte CSP-Partner oder der indirekte Anbieter ermöglicht dem indirekten Wiederverkäufer den Zugriff auf das Abonnement über AOBO. | Automatisch (keine Aktion vom Partner erforderlich) |
| Azure Lighthouse | Der Partner erstellt ein neues Angebot für verwaltete Dienste im Marketplace. Das Angebot wird im CSP-Abonnement akzeptiert, und der Partner erhält Zugriff auf das CSP-Abonnement. | Automatisch (keine Aktion vom Partner erforderlich) |
| Azure Lighthouse | Partner stellt eine Azure Resource Manager (ARM)-Vorlage im Azure-Abonnement bereit. | Der Partner muss die PartnerID mit dem Benutzer oder Dienstprinzipal im Partner-Mandanten verknüpfen. Weitere Informationen finden Sie unter "Verknüpfen Ihrer PartnerID", um Ihre Auswirkungen auf delegierte Ressourcen nachzuverfolgen. |
| Verzeichnis- oder Gastbenutzer | Der Partner erstellt im Kundenverzeichnis einen neuen Benutzer oder Dienstprinzipal und erteilt dem Benutzer Zugriff auf das CSP-Abonnement. Der Partner erstellt im Kundenverzeichnis einen neuen Benutzer oder Dienstprinzipal. Der Partner fügt den Benutzer einer Gruppe hinzu, und erteilt der Gruppe Zugriff auf das CSP-Abonnement. | Der Partner muss die PartnerID mit dem Benutzer oder dem Dienstprinzipal im Kundenmandanten verknüpfen. Weitere Informationen finden Sie unter Verknüpfen einer PartnerID mit Ihrem Konto, das zum Verwalten von Kunden verwendet wird. |
Überprüfen Sie, ob Sie über Administratorzugriff verfügen
Sie müssen über Administratorzugriff verfügen, um die Dienste Ihres Kunden zu verwalten und verdiente Gutschriften zu erhalten. Weitere Informationen zu verdienten Gutschriften finden Sie unter Partner Earned Credits.
Führen Sie die folgenden Schritte aus, um zu ermitteln, ob Sie über Administratorzugriff verfügen:
- Überprüfen der täglichen Verbrauchsdatei: Überprüfen Sie den Einzelpreis und den effektiven Einzelpreis in der täglichen Verbrauchsdatei, und überprüfen Sie, ob ein Rabatt angewendet wird. Wenn Sie den Rabatt erhalten, sind Sie der Administrator.
Erstellen einer Azure Monitor-Warnmeldung
Sie können ein Aktivitätsprotokoll Azure Monitor Alert erstellen, um benachrichtigt zu werden, falls Ihr RBAC-Zugriff aus einem CSP-Abonnement entfernt wird.
Führen Sie die folgenden Schritte aus, um eine Azure-Monitorbenachrichtigung zu erstellen:
Erstellen einer Benachrichtigung.
Wählen Sie den Aktionstyp aus, den die Warnung ausführen soll.
Wenn Sie beispielsweise angeben, dass sie eine E-Mail wünschen, erhalten Sie eine E-Mail, die Sie benachrichtigt, wenn eine Rollenzuweisung gelöscht wird.
Screenshot im Azure-Portal zum Konfigurieren einer Warnung.AOBO-Zugriff entfernen
Kunden können den Zugriff auf ihre Abonnements verwalten, indem sie im Azure-Portal zur Zugriffssteuerung gehen. Von der Rollenzuweisungen-Tab können sie Zugriff entfernen auswählen.
Wenn ein Kunde Ihren Zugriff entfernt, können Sie Folgendes tun:
Setzen Sie sich mit Ihrem Kunden in Verbindung, um herauszufinden, ob der Administratorzugriff wiederhergestellt werden kann.
Verwenden Sie den durch die rollenbasierte Zugriffssteuerung (RBAC) bereitgestellten Zugriff.
Verwenden Sie den Zugriff, der über Azure Lighthouse zur Verfügung steht.
Der rollenbasierte Zugriff unterscheidet sich vom Administratorzugriff. Rollen grenzen präzise ein, was Sie ausführen können und was nicht. Der Administratorzugriff ist breiter.
Anhalten und Reaktivieren eines Azure-Plans
Partner können einen Azure-Plan direkt im Partner Center von der Azure-Plandetailseite aus anhalten oder reaktivieren.
- Wählen Sie im Partner Center unter Kunden das Kundenkonto aus.
- Navigieren sie zu den Azure-Abonnements des Kunden
- Wählen Sie den Azure-Plan
- Wählen Sie den Status: Suspended und anschließend Absenden aus, um den Azure-Plan auszusetzen.
- Wählen Sie den Status aus: Aktiv und dann übermitteln , um den Azure-Plan erneut zu aktivieren.
Sie können einen vorhandenen Azure-Plan nur aussetzen, wenn ihr keine aktiven Nutzungsressourcen mehr zugeordnet sind, einschließlich Azure-Nutzungsabonnements und Azure-Reservierungen.
Partner können nur einen Azure-Plan pro bestimmter Wiederverkäufer und Kundenkombinationen kaufen. Wenn der Kunde eines Händlers über einen ausgesetzten Plan verfügt, kann dieser Kunde keinen neuen Plan erwerben. Die Kündigung steht für Azure-Plan nicht zur Verfügung.
Informationen zum Aussetzen des Azure-Plans über die API finden Sie unter Aussetzen eines Abonnements – Partner-App-Entwickler.
Informationen zum Reaktivieren eines Azure-Plans über die API finden Sie unter Reaktivieren eines ausgesetzten Abonnements – Partner-App-Entwickler.
Kündigen eines Azure-Abonnements
Wenn die Azure-Planabonnements des Kunden kompromittiert werden, können Partner Azure-Abonnements aus dem Partner Center kündigen. Partner müssen über globale Administratorrechte und Administrator-Agent-Rollen verfügen, um Azure-Abonnements zu kündigen. So kündigen Sie:
- Wählen Sie den Kunden aus der Kundenliste aus.
- Navigieren sie zu den Azure-Abonnements des Kunden
- Wählen Sie den Azure-Plan aus, dem das Abonnement zugeordnet ist.
- Wählen Sie auf der Seite mit den Azure-Plandetails die Azure-Abonnements aus, die Sie kündigen möchten.
- Übermitteln Sie die Änderungen, indem Sie Abonnement kündigen auswählen
Dieser Vorgang bricht nur die ausgewählten Azure-Abonnements ab. Kunden mit Zugriff auf das Azure-Abonnement können das Abonnement reaktivieren, wenn der Azure-Plan noch aktiv ist. Um die Reaktivierung zu beenden, sollten Partner alle Azure-Abonnements und dann den Azure-Plan selbst kündigen.
Partner können die Abonnements mehrfach auswählen, aber nicht mehr als 10 Abonnements gleichzeitig kündigen. Partner können den Azure-Plan kündigen, wenn keine aktiven Azure-Abonnements vorhanden sind. Mit diesem Prozess können Partner Azure-Pläne und -Abonnements herunterfahren, die möglicherweise kompromittiert werden, auch wenn ein fehlerhafter Akteur seine RBAC-Berechtigungen entfernt hat.
Partner können Azure-Abonnements über das Partner Center-Portal oder über die API kündigen. API-Details finden Sie unter Kündigen eines Azure-Abonnements. Um es auszuprobieren, besuchen Sie Azure-Ausgaben – Kündigen einer Azure-Berechtigung – REST-API.
Weitere Informationen zum Kündigen von Azure-Abonnements finden Sie unter Was geschieht nach der Abonnementabkündigung?.
Reaktivieren eines Azure-Abonnements
Partner können Azure-Abonnements reaktivieren, die aufgrund von Kundenkompromittierung von ihrer Azure-Plandetailseite mithilfe der Registerkarte "Inaktive Azure-Abonnements" abgebrochen wurden. Partner müssen über globale Administratorrechte und Administrator-Agent-Rollen verfügen, um Azure-Abonnements erneut zu aktivieren. So reaktivieren Sie:
- Wählen Sie den Kunden aus der Kundenliste aus.
- Navigieren sie zu den Azure-Abonnements des Kunden
- Wählen Sie den Azure-Plan aus, dem das Abonnement zugeordnet ist.
- Wählen Sie auf der Seite "Azure-Plan-Details" im Abschnitt "Azure-Abonnement" die Registerkarte "Inaktiv" aus.
- Wählen Sie das Azure-Abonnement aus, um es erneut zu aktivieren.
- Übermitteln Sie die Änderungen, indem Sie Abonnement reaktivieren auswählen
Es reaktiviert nur die ausgewählten Azure-Abonnements. Partner können die Abonnements mehrfach auswählen, aber nicht mehr als 10 Abonnements gleichzeitig reaktivieren. Der zugeordnete Azure-Plan muss aktiv sein, um Azure-Abonnements zu reaktivieren. Um einen Azure-Plan erneut zu aktivieren, wechseln Sie zuerst zur Azure-Plandetailseite im Partner Center. Ändern Sie dann den Status des Plans wieder in "aktiv".
Um das Abonnement erneut zu aktivieren, wenden Sie sich an den Kunden- oder Abrechnungsbesitzer, der es im Azure-Portal storniert hat. Sie müssen sich anmelden und den Reaktivierungsprozess abschließen.
Informationen zum Reaktivieren über die API finden Sie unter Reaktivieren eines Azure-Abonnements – Partner-App-Entwickler. Um es auszuprobieren, besuchen Sie Azure-Ausgaben – Reaktivieren einer Azure-Berechtigung.
Weitere Informationen zum Reaktivieren von Azure-Abonnements finden Sie in der Azure-Dokumentation.