Wiederherstellen von Administratorrechten für Azure CSP-Abonnements eines Kunden

Artikel
08/01/2023

Geeignete Rollen: Globaler Administrator | Administrator-Agent

Als Partner im CSP-Programm (Cloud Solution Provider) vertrauen Ihre Kunden häufig darauf, dass Sie deren Azure-Nutzung und Systeme verwalten. Sie müssen über Administratorrechte verfügen, um ihnen zu helfen. Wenn Sie noch nicht über Administratorrechte verfügen, können Sie diese gemeinsam mit Ihrem Kunden einrichten.

Administratorrechte für Azure im CSP-Programm

Einige Administratorrechte werden automatisch gewährt, wenn Sie eine Vertriebspartnerbeziehung mit einem Kunden einrichten. Andere müssen Ihnen von einem Kunden gewährt werden.

Es gibt zwei Ebenen von Administratorrechten für Azure in CSP:

Administratorrechte auf Mandantenebene (d. h . delegierte Administratorrechte) ermöglichen Ihnen den Zugriff auf die Mandanten Ihrer Kunden. Mit diesem delegierten Zugriff können Sie Verwaltungsfunktionen ausführen, z. B. das Hinzufügen und Verwalten von Benutzern, das Zurücksetzen von Kennwörtern und das Verwalten von Benutzerlizenzen.

Sie erhalten Administratorrechte auf Mandantenebene, wenn Sie CSP-Reseller-Beziehungen zu Kunden einrichten.
Administratorrechte auf Abonnementebene ermöglichen Ihnen den vollständigen Zugriff auf Azure CSP-Abonnements Ihrer Kunden. Mit diesem Zugriff können Sie deren Azure-Ressourcen bereitstellen und verwalten.

Sie erhalten Administratorrechte auf Abonnementebene, wenn Sie Azure CSP-Abonnements für Ihre Kunden erstellen.

Wiederherstellen Ihrer CSP-Administratorrechte: Ihre Aktionen

Sie und Ihre Kunden müssen jeweils Aktionen ausführen, um Ihre CSP-Administratorrechte wiederhergestellt zu haben. In diesem Abschnitt werden die zu ergreifenden Aktionen beschrieben.

Führen Sie die folgenden Schritte aus, um Ihre CSP-Administratorrechte wiederhergestellt zu haben:

Melden Sie sich beim Partner Center an, und wählen Sie Kunden aus.
Wählen Sie in der KundenlisteDie Option Vertriebspartnerbeziehung anfordern aus.
Für das Kontrollkästchen Delegierte Admin Berechtigungen:
- Lassen Sie das Kontrollkästchen aktiviert, um die Beziehung mit delegierten Administratorrechten herzustellen.
- Deaktivieren Sie das Kontrollkästchen, um die Beziehung ohne delegierte Administratorberechtigungen einzurichten.
Überprüfen Sie den Entwurf einer E-Mail-Einladung.
- Wählen Sie In E-Mail öffnen aus, um den Einladungsentwurf in Ihrer Standard-E-Mail-Anwendung zu öffnen.
- Wählen Sie In Zwischenablage kopieren aus, um die Einladung zu kopieren und in eine E-Mail-Nachricht einzufügen.
Wichtig

Sie können den Text in der Entwurfs-E-Mail-Nachricht bearbeiten, aber stellen Sie sicher, dass Sie den personalisierten Link einschließen , da er den Kunden direkt mit Ihrem Konto verknüpft.
Wählen Sie Fertigaus.
Senden Sie die E-Mail-Einladung an Ihren Kunden.

Hinweis

Um die Anforderung annehmen zu können, muss die Person in der Organisation Ihres Kunden ein globaler Administrator des Mandanten Ihres Kunden sein.
- Ihr Kunde wählt den Link aus, den er in der E-Mail erhalten hat. Über den Link gelangen sie zum Microsoft Admin Center, wo sie Ihre Einladung annehmen können.
- Nachdem der Kunde die Einladung angenommen hat, wird er auf der Seite Kunden im Partner Center angezeigt, und Sie können den Dienst für den Kunden von dort aus bereitstellen und verwalten.
Nachdem Ihr Kunde die Einladung zum Vertriebspartner über den angegebenen Link genehmigt hat, stellen Sie eine Verbindung mit dem Partnermandanten her, um die object ID der AdminAgents-Gruppe abzurufen.
```
Connect-AzAccount -Tenant "Partner tenant"
# Get Object ID of AdminAgents group
Get-AzADGroup -DisplayName AdminAgents
```
Stellen Sie sicher, dass Ihr Kunde über Folgendes verfügt:
- Rolle des Besitzers oder die des Benutzerzugriffsadministrators
- Berechtigungen zum Erstellen von Rollenzuweisungen auf Abonnementebene

Wiederherstellen Ihrer CSP-Administratorrechte: Kundenaktionen

In diesem Abschnitt werden die Aktionen des Kunden beschrieben, um Ihre CSP-Administratorrechte wiederhergestellt zu haben.

Um die Wiederherstellung Ihrer CSP-Administratorrechte abzuschließen, verwendet Ihr Kunde PowerShell oder die Azure CLI, um die folgenden Schritte auszuführen:

Ihr Kunde verwendet PowerShell, um das Az.Resources Modul zu aktualisieren.
```
Update-Module Az.Resources
```
Ihr Kunde stellt eine Verbindung mit dem Mandanten her, in dem das CSP-Abonnement vorhanden ist.
```
Connect-AzAccount -TenantID "<Customer tenant>"
```
```
az login --tenant <Customer tenant>
```
Ihr Kunde stellt eine Verbindung mit dem Abonnement her.

Dieser Schritt gilt nur , wenn der Benutzer über Rollenzuweisungsberechtigungen für mehrere Abonnements im Mandanten verfügt.
```
Set-AzContext -SubscriptionID "<CSP Subscription ID>"
```
```
az account set --subscription <CSP Subscription ID>
```

Ihr Kunde erstellt die Rollenzuweisung.

New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"

az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"

Anstatt Besitzerberechtigungen auf Abonnementebene zu erteilen, können sie auf Ressourcengruppen- oder Ressourcenebene erteilt werden:

Auf Ressourcengruppenebene

New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"

az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"

Auf Ressourcenebene

New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"

az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"

Problembehandlung für die Kundenschritte

Wenn Ihr Kunde die vorherigen Schritte nicht ausführen kann, schlagen Sie den folgenden Befehl vor, und stellen Sie die resultierende newRoleAssignment.log Datei für Microsoft zur weiteren Analyse bereit:

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

Wiederherstellen Ihrer CSP-Administratorrechte: PowerShell-Catchall-Prozedur

Wenn die Schritte in den vorherigen Abschnitten nicht funktionieren oder Fehler beim Versuch auftreten, führen Sie das folgende "Catchall"-Verfahren aus, um Administratorrechte für Ihren Kunden wiederhergestellt zu haben:

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

Wenn bei der Catchall-Prozedur ein Fehler auftritt Import-Module, führen Sie die folgenden Schritte aus:

Wenn beim Import ein Fehler auftritt, weil das Modul verwendet wird, starten Sie die PowerShell-Sitzung neu, indem Sie alle Fenster schließen und erneut öffnen.
Überprüfen Sie die Version von Az.Resources mit Get-Module Az.Resources -ListAvailable.
- Wenn Version 4.1.1 nicht in der liste verfügbar ist, müssen Sie verwenden Update-Module Az.Resources -Force.
Wenn ein Fehler besagt, dass Az.Accounts es sich um eine bestimmte Version handelt, aktualisieren Sie auch dieses Modul, und ersetzen Sie Az.Resources durch Az.Accounts. Anschließend müssen Sie die PowerShell-Sitzung neu starten.

Nächste Schritte

Verwalten von Abonnements und Ressourcen in einem Azure-Plan