Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Roles adecuados: Agente de administración
En este artículo se explica cómo los asociados de Proveedor de soluciones en la nube (CSP) pueden usar varias opciones de control de acceso basado en rol (RBAC) para obtener el control operativo y la administración de los recursos de Azure de un cliente.
Al realizar la transición de un cliente al plan de Azure, se le asignan derechos de administrador con privilegios en Azure: derechos de propietario de la suscripción por defecto mediante "Admin on Behalf of" (AOBO).
Nota:
Los clientes pueden quitar derechos de administrador en cualquiera de estos niveles: suscripción, grupo de recursos y carga de trabajo.
Para administrar los recursos de Azure de un cliente en CSP, los asociados pueden usar el control de acceso basado en rol (RBAC). Esta característica permite mantener el control operativo y supervisar continuamente las tareas de administración.
Administración en nombre de: con AOBO, cualquier usuario con el rol de agente de administración en el inquilino del partner tiene acceso de propietario de RBAC a las suscripciones de Azure que cree a través del programa CSP.
Azure Lighthouse: AOBO no tiene la flexibilidad de crear grupos distintos que funcionan con distintos clientes o para habilitar distintos roles para grupos o usuarios. Sin embargo, con Azure Lighthouse, puede asignar grupos diferentes a distintos clientes o roles. Dado que los usuarios tienen el nivel de acceso adecuado a través de la administración de recursos delegados de Azure, puede reducir el número de usuarios que tienen el rol de agente de administración (y, por tanto, tienen acceso completo de AOBO). Esto ayuda a mejorar la seguridad limitando el acceso innecesario a los recursos de los clientes. También ofrece más flexibilidad para administrar varios clientes a escala. Para obtener más información, consulte Azure Lighthouse y el programa Proveedor de soluciones en la nube.
Usuarios invitados o de directorio o Entidades de servicio:Puede delegar el acceso granular a las suscripciones de CSP agregando usuarios en el directorio del cliente o agregando usuarios invitados y asignando roles de RBAC específicos.
Como práctica de seguridad, Microsoft recomienda asignar a los usuarios los permisos mínimos que necesitan para realizar su trabajo. Para obtener más información, consulte Recursos de Privileged Identity Management de Microsoft Entra.
Vinculación del PartnerID a las credenciales para administrar los recursos de Azure de un cliente
En la tabla siguiente se muestran los métodos usados para asociar el Id. de PartnerID (anteriormente id. de MPN) con varias opciones de acceso RBAC.
Categoría | Escenario | Asociación de PartnerID |
---|---|---|
AOBO | El asociado directo de CSP o el proveedor indirecto crea la suscripción para el cliente, haciendo que el asociado directo de CSP o el proveedor indirecto sea el propietario predeterminado de la suscripción mediante AOBO. El asociado directo de CSP o el proveedor indirecto proporcionan acceso indirecto al revendedor a la suscripción mediante AOBO. | Automática (no se requiere ningún trabajo por parte del partner) |
Azure Lighthouse | El asociado crea una nueva oferta de servicio administrado en Marketplace. La oferta se acepta en la suscripción de CSP y el asociado obtiene acceso a la suscripción de CSP. | Automática (no se requiere ningún trabajo por parte del partner) |
Azure Lighthouse | Partner despliega una plantilla de Azure Resource Manager (ARM) en la suscripción de Azure | El partner debe asociar el PartnerID con el usuario o la entidad de servicio en el inquilino del partner. Para obtener más información, consulte Vincular el PartnerID para realizar un seguimiento de su efecto en los recursos delegados. |
Directorio o usuario invitado | El partner crea un nuevo usuario o una entidad de servicio en el directorio del cliente y concede al usuario acceso a la suscripción de CSP. El partner crea un nuevo usuario o una entidad de servicio en el directorio del cliente. El partner agrega el usuario a un grupo y concede al grupo acceso a la suscripción de CSP. | El partner debe asociar el PartnerID con el usuario o la entidad de servicio en el inquilino del cliente. Para obtener más información, consulte Vincular un PartnerID a su cuenta que se usa para administrar los clientes. |
Confirmación de que tiene acceso de administrador
Debe tener acceso de administrador para administrar los servicios del cliente y recibir créditos obtenidos. Para obtener más información sobre los créditos ganados, consulte créditos ganados por el partner.
Para determinar si tiene acceso de administrador, siga estos pasos:
- Revise el archivo de uso diario: revise el precio por unidad y el precio por unidad efectivo en el archivo de uso diario y confirme si se aplica un descuento. Si recibe el descuento, es el administrador.
Creación de una alerta de Azure Monitor
Puede crear una alerta de Azure Monitor de registro de actividad para que se le notifique si se quita el acceso de RBAC de una suscripción de CSP.
Para crear una alerta de Azure Monitor, siga estos pasos:
Seleccione el tipo de acción que desea que realice la alerta.
Por ejemplo, si especifica que desea un correo electrónico, recibirá un correo electrónico que le notificará si se produce alguna eliminación de asignación de roles.
Captura de pantalla en el portal de Azure para la configuración de una alerta.
Elimina el acceso AOBO
Los clientes pueden administrar el acceso a sus suscripciones y, para ello, deben ir al Control de Acceso en el portal de Azure. En la pestaña Asignaciones de roles, pueden seleccionar Eliminar acceso.
Si un cliente le quita el acceso, puede hacer lo siguiente:
Hable con el cliente para ver si se puede restablecer el acceso de administrador.
Utilice el acceso proporcionado a través del control de acceso basado en roles (RBAC).
Utiliza el acceso proporcionado a través de Azure Lighthouse.
El acceso basado en roles difiere del acceso de administrador. Los roles delimitan exactamente lo que puede y no puede hacer. El acceso de administrador es más amplio.
Suspender y reactivar un plan de Azure
Los partners pueden suspender o reactivar un plan de Azure directamente en el Centro de partners desde la página de detalles del plan de Azure.
- En el Centro de socios, en Clientes, seleccione la cuenta de cliente.
- Vaya a las suscripciones de Azure del cliente
- Selecciona el plan de Azure
- Seleccione el estado: Suspended y luego Enviar para suspender el plan de Azure.
- Seleccione el estado: Activo y luego Enviar para reactivar el plan de Azure.
Solo puede suspender un plan de Azure existente si ya no tiene ningún recurso de uso activo asociado, incluidas las suscripciones de uso de Azure y las reservas de Azure.
Los partners solo pueden comprar un plan de Azure por revendedor específico y combinación de clientes. Si el cliente de un revendedor tiene un plan suspendido, ese cliente no puede comprar un nuevo plan. La cancelación no está disponible para el plan de Azure.
Para la suspensión del plan de Azure por API, consulte Suspender una suscripción: desarrollador de aplicación de partner.
Para la reactivación del plan de Azure mediante API, consulte Reactivar una suscripción suspendida: desarrollador de aplicaciones de partner.
Cancelación de una suscripción de Azure
En caso de que las suscripciones del plan de Azure del cliente estén en peligro, los partners pueden cancelar las suscripciones de Azure desde el Centro de partners. Los partners deben tener privilegios de administrador global y roles de agente de administración para cancelar las suscripciones de Azure. Para cancelar:
- Seleccione el cliente de la lista de clientes.
- Vaya a las suscripciones de Azure del cliente
- Seleccione el plan de Azure en el que se encuentra la suscripción
- En la página de detalles del plan de Azure, seleccione las suscripciones de Azure para cancelar.
- Enviar los cambios seleccionando Cancelar suscripción
Este proceso cancela solo las suscripciones de Azure seleccionadas. Los clientes con acceso a la suscripción de Azure pueden reactivar la suscripción si el plan de Azure sigue activo. Para detener la reactivación, los asociados deben cancelar todas las suscripciones de Azure y, a continuación, el propio plan de Azure.
Los asociados pueden seleccionar varias suscripciones, pero no pueden cancelar más de 10 suscripciones a la vez. Los asociados pueden cancelar el plan de Azure cuando no hay suscripciones activas de Azure en él. Este proceso permite a los asociados apagar los planes y suscripciones de Azure que podrían estar en peligro, incluso si un actor incorrecto quitó sus permisos de RBAC.
Los partners pueden cancelar suscripciones de Azure a través del portal del Centro de partners o por API. Para más información sobre la API, consulte Cancelar una suscripción de Azure y para probarla, consulte Gastos de Azure: cancelar un derecho de Azure - API de REST.
Para obtener más información sobre cómo cancelar suscripciones de Azure, consulte ¿Qué ocurre después de la cancelación de la suscripción?
Reactivación de una suscripción a Azure
Los asociados pueden reactivar las suscripciones de Azure que se cancelaron debido al compromiso del cliente desde su página de detalles del plan de Azure, mediante la pestaña Suscripciones de Azure inactivas. Los partners deben tener privilegios de administrador global y roles de agente de administración para reactivar las suscripciones de Azure. Para reactivar:
- Seleccione el cliente de la lista de clientes.
- Vaya a las suscripciones de Azure del cliente
- Seleccione el plan de Azure en el que se encuentra la suscripción
- En la página de detalles del plan de Azure, en la sección Suscripción de Azure, seleccione la pestaña Inactiva.
- Selección de la suscripción de Azure para reactivar
- Enviar los cambios seleccionando Reactivar suscripción
Reactiva solo las suscripciones de Azure seleccionadas. Los asociados pueden seleccionar varias suscripciones, pero no pueden reactivar más de 10 suscripciones a la vez. El plan de Azure asociado debe estar activo para reactivar las suscripciones de Azure. Para reactivar un plan de Azure, vaya primero a la página de detalles del plan de Azure en el Centro de partners. A continuación, cambie el estado del plan a activo.
Para reactivar la suscripción, póngase en contacto con el cliente o el propietario de facturación que lo canceló en Azure Portal. Deben iniciar sesión y completar el proceso de reactivación.
Para reactivar mediante la API, consulte Reactivar una suscripción de Azure: desarrollador de aplicación de partner. Para hacerlo, consulte Gastos de Azure: reactivar un derecho de Azure.
Puede encontrar más información sobre la reactivación de suscripciones de Azure en la documentación de Azure.