Compartir a través de


Administración de suscripciones y recursos en el plan de Azure

Roles adecuados: Agente de administración

En este artículo se explica cómo los asociados de Proveedor de soluciones en la nube (CSP) pueden usar varias opciones de control de acceso basado en rol (RBAC) para obtener el control operativo y la administración de los recursos de Azure de un cliente.

Al realizar la transición de un cliente al plan de Azure, se le asignan derechos de administrador con privilegios en Azure: derechos de propietario de la suscripción a través del administrador en nombre de (AOBO) de forma predeterminada.

Nota:

El cliente puede quitar los derechos de administrador de la suscripción de Azure en el nivel de suscripción, el nivel de grupo de recursos o el nivel de carga de trabajo.

Los asociados pueden obtener el control operativo continuo y la administración de los recursos de Azure de un cliente en CSP mediante varias opciones disponibles a través de la característica de control de acceso basado en rol (RBAC).

  • Administrador en nombre de : con AOBO, cualquier usuario con el rol de agente de administración en el inquilino del asociado tiene acceso de propietario de RBAC a las suscripciones de Azure que cree a través del programa CSP.

  • Azure Lighthouse: AOBO no tiene la flexibilidad de crear grupos distintos que funcionan con distintos clientes o para habilitar distintos roles para grupos o usuarios. Sin embargo, con Azure Lighthouse, puede asignar grupos diferentes a distintos clientes o roles. Dado que los usuarios tienen el nivel de acceso adecuado a través de la administración de recursos delegados de Azure, puede reducir el número de usuarios que tienen el rol de agente de administración (y, por tanto, tienen acceso completo de AOBO). Esto ayuda a mejorar la seguridad limitando el acceso innecesario a los recursos de los clientes. También ofrece más flexibilidad para administrar varios clientes a escala. Para obtener más información, consulte Azure Lighthouse y el programa Proveedor de soluciones en la nube.

  • Usuarios invitados o usuarios invitados o entidades de servicio: puede delegar el acceso pormenorizado a las suscripciones de CSP agregando usuarios en el directorio del cliente o agregando usuarios invitados y asignando roles RBAC específicos.

Como práctica de seguridad, Microsoft recomienda asignar a los usuarios los permisos mínimos que necesitan para realizar su trabajo. Para obtener más información, consulte Recursos de Microsoft Entra Privileged Identity Management.

En la tabla siguiente se muestran los métodos usados para asociar el Id. de PartnerID (anteriormente id. de MPN) con varias opciones de acceso RBAC.

Categoría Escenario Asociación de PartnerID
AOBO El asociado directo de CSP o el proveedor indirecto crea la suscripción para el cliente, haciendo que el asociado directo de CSP o el proveedor indirecto sea el propietario predeterminado de la suscripción mediante AOBO. El asociado directo de CSP o el proveedor indirecto proporcionan acceso indirecto al revendedor a la suscripción mediante AOBO. Automática (no se requiere ningún trabajo por parte del partner)
Azure Lighthouse El asociado crea una nueva oferta de servicio administrado en Marketplace. La oferta se acepta en la suscripción de CSP y el asociado obtiene acceso a la suscripción de CSP. Automática (no se requiere ningún trabajo por parte del partner)
Azure Lighthouse Partner implementa una plantilla de Azure Resource Manager (ARM) en la suscripción de Azure El asociado debe asociar el PartnerID con el usuario o la entidad de servicio en el inquilino del asociado. Para obtener más información, consulte Vincular el PartnerID para realizar un seguimiento del impacto en los recursos delegados.
Directorio o usuario invitado El partner crea un nuevo usuario o una entidad de servicio en el directorio del cliente y concede al usuario acceso a la suscripción de CSP. El partner crea un nuevo usuario o una entidad de servicio en el directorio del cliente. El partner agrega el usuario a un grupo y concede al grupo acceso a la suscripción de CSP. El asociado debe asociar el PartnerID con el usuario o la entidad de servicio en el inquilino del cliente. Para obtener más información, consulte Vincular un PartnerID a su cuenta que se usa para administrar los clientes.

Confirmación de que tiene acceso de administrador

Debe tener acceso de administrador para administrar los servicios del cliente y recibir créditos obtenidos. Para obtener más información sobre los créditos obtenidos, consulta Créditos obtenidos por el partner.

Para determinar si tiene acceso de administrador, siga estos pasos:

  • Revise el archivo de uso diario: revise el precio unitario y el precio unitario efectivo en el archivo de uso diario y confirme si se aplica un descuento. Si recibe el descuento, es el administrador.

Creación de una alerta de Azure Monitor

Puede crear una alerta de Azure Monitor del registro de actividad para recibir una notificación si el acceso RBAC se quita de una suscripción de CSP.

Para crear una alerta de Azure Monitor, siga estos pasos:

  1. Cree una alerta.

    Captura de pantalla de una alerta de Azure Portal.

  2. Seleccione el tipo de acción que desea que realice la alerta.

    Por ejemplo, si especifica que desea un correo electrónico, recibirá un correo electrónico que le notificará si se produce alguna eliminación de asignación de roles.

    Captura de pantalla en Azure Portal para configurar una alerta.

Eliminación de AOBO

Los clientes pueden administrar el acceso a sus suscripciones; para ello, vaya a Control de acceso en Azure Portal. En la pestaña Asignaciones de roles, pueden seleccionar Quitar acceso.

Si un cliente le quita el acceso, puede hacer lo siguiente:

El acceso basado en roles difiere del acceso de administrador. Los roles delimitan exactamente lo que puede y no puede hacer. El acceso de administrador es más amplio.

Suspender y reactivar un plan de Azure

Los partners pueden suspender o reactivar el plan de Azure directamente en el Centro de partners desde la página de detalles del plan de Azure.

  1. En el Centro de partners, en Clientes, seleccione la cuenta de cliente.
  2. Vaya a las suscripciones de Azure del cliente.
  3. Selección del plan de Azure
  4. Seleccione el estado: suspendido y, a continuación, Enviar para suspender el plan de Azure.
  5. Seleccione el estado: Activo y, a continuación, Enviar para reactivar el plan de Azure.

Solo puede suspender un plan de Azure existente si ya no tiene ningún recurso de uso activo asociado, incluidas las suscripciones de uso de Azure y las reservas de Azure.

Los partners solo pueden comprar un plan de Azure por revendedor específico y combinación de clientes. Si el cliente de un revendedor tiene un plan suspendido, ese cliente no puede comprar un nuevo plan. La cancelación no está disponible para el plan de Azure.

Para la suspensión del plan de Azure por API, consulte Suspender una suscripción: desarrollador de aplicaciones asociadas.

Para la reactivación del plan de Azure por API, consulte Reactivación de una suscripción suspendida: desarrollador de aplicaciones asociadas.

Cancelación de una suscripción de Azure

En caso de que las suscripciones del plan de Azure del cliente se hayan puesto en peligro, los partners pueden cancelar las suscripciones de Azure desde el Centro de partners. Esta funcionalidad solo está disponible para los roles del Agente de administración. Para ello, siga estos pasos:

  1. Seleccione el cliente en la lista de clientes.
  2. Vaya a las suscripciones de Azure del cliente.
  3. Seleccione el plan de Azure en el que se encuentra la suscripción.
  4. En la página de detalles del plan de Azure, seleccione las suscripciones de Azure para cancelar.
  5. Enviar los cambios seleccionando Cancelar suscripción

Esto cancela solo las suscripciones de Azure seleccionadas. Los clientes con acceso a la suscripción de Azure pueden reactivar la suscripción si el plan de Azure sigue activo. Para evitar que esto suceda, los partners deben cancelar todas las suscripciones de Azure y, a continuación, el propio plan de Azure.

Los asociados pueden seleccionar varias suscripciones, pero no pueden cancelar más de 10 suscripciones a la vez. Los asociados pueden cancelar el plan de Azure cuando no hay suscripciones activas de Azure en él. Esto permite a los asociados apagar los planes y suscripciones de Azure que podrían haber estado en peligro, incluso si un actor incorrecto ha quitado sus permisos de RBAC.

Los partners pueden cancelar suscripciones de Azure a través del portal del Centro de partners o por API. Para más información sobre la API, consulte Cancelar una suscripción de Azure y probarla, consulte Gastos de Azure: Cancelación de un derecho de Azure: API REST.

Para más información sobre la cancelación de suscripciones de Azure, consulte ¿Qué ocurre después de la cancelación de la suscripción?

Reactivación de una suscripción a Azure

Los asociados pueden reactivar las suscripciones de Azure que se cancelaron debido al compromiso del cliente desde su página de detalles del plan de Azure, mediante la pestaña Suscripciones de Azure inactivas. Esta funcionalidad solo está disponible para los roles del Agente de administración. Para ello, siga estos pasos:

  1. Seleccione el cliente en la lista de clientes.
  2. Vaya a las suscripciones de Azure del cliente.
  3. Seleccione el plan de Azure en el que se encuentra la suscripción.
  4. En la página Detalles del plan de Azure, en la sección Suscripción de Azure, seleccione la pestaña Inactivo .
  5. Selección de la suscripción de Azure para reactivar
  6. Enviar los cambios seleccionando Reactivar suscripción

Esto reactiva solo las suscripciones de Azure seleccionadas. Los asociados pueden seleccionar varias suscripciones, pero no pueden reactivar más de 10 suscripciones a la vez. El plan de Azure asociado debe estar activo para reactivar las suscripciones de Azure. Los partners pueden reactivar los planes de Azure directamente en el Centro de partners; para ello, vaya a la página de detalles del plan de Azure y actualice el estado del plan de Azure a Activo.

Si el cliente o el propietario de facturación canceló la suscripción de Azure en Azure Portal, el cliente o el propietario de facturación deberán ponerse en contacto con él para reactivar la suscripción desde Azure Portal.

Para reactivar por API, consulte Reactivación de una suscripción de Azure: desarrollador de aplicaciones asociadas. Para probarlo, consulte Gastos de Azure: Reactivación de un derecho de Azure.

Puede encontrar más información sobre la reactivación de suscripciones de Azure en la documentación de Azure.