Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Roles adecuados: Agente de administración
Como partner del programa Proveedor de soluciones en la nube (CSP), sus clientes suelen confiar en usted para que administre el uso que hacen de Azure y sus sistemas. Para ayudarlos, debe tener privilegios de administrador. Si aún no tiene privilegios de administrador, puede trabajar con el cliente para restablecerlos.
Privilegios de administrador para Azure en el programa Proveedor de soluciones en la nube (CSP)
Algunos privilegios de administrador se conceden automáticamente al establecer una relación de revendedor con un cliente. Los otros deben ser concedidos por un cliente.
Hay dos niveles de privilegios de administrador para Azure en CSP:
Los privilegios de administrador a nivel de arrendatario (es decir, privilegios de administrador delegado) proporcionan acceso a los arrendatarios de los clientes. Este acceso delegado le permite realizar funciones administrativas, como agregar y administrar usuarios, restablecer contraseñas y administrar licencias de usuario.
Al establecer relaciones de revendedor de CSP con los clientes, obtendrá privilegios de administrador de nivel de inquilino.
Los privilegios de administrador de nivel de suscripción le dan acceso completo a las suscripciones de CSP de Azure de sus clientes. Este acceso le permite aprovisionar y administrar sus recursos de Azure.
Obtiene privilegios de administrador de nivel de suscripción al crear suscripciones de CSP de Azure para los clientes.
Restablecer los privilegios de administrador de CSP: sus acciones
Usted y su cliente tienen acciones que realizar para restablecer los privilegios de administrador de CSP. En esta sección se describen las acciones que debe realizar.
Para restablecer los privilegios de administrador de CSP, siga estos pasos:
Inicie sesión en el Centro de partners y seleccione Clientes.
En la lista de clientes, seleccione Solicitar una relación de revendedor.
Para la casilla Privilegios de administrador delegado:
- Deje activada la casilla para establecer la relación con privilegios de administrador delegado.
- Desactive la casilla para establecer la relación sin privilegios de administrador delegados.
Revise el borrador de invitación por correo electrónico.
- Seleccione Abrir en el correo electrónico para abrir la invitación de borrador en la aplicación de correo electrónico predeterminada.
- Seleccione Copiar en el Portapapeles para copiar y pegar la invitación en un mensaje de correo electrónico.
Importante
Puede editar el texto en el borrador del mensaje de correo electrónico, pero asegúrese de incluir el vínculo personalizado porque vincula al cliente directamente a su cuenta.
Seleccione Listo.
Envíe la invitación por correo electrónico al cliente.
Nota:
Para poder aceptar la solicitud, la persona de la organización del cliente debe ser un administrador global de la entidad del cliente.
- El cliente selecciona el vínculo que recibió en el correo electrónico. El vínculo los lleva al Centro de administración de Microsoft, donde pueden aceptar la invitación.
- Una vez que el cliente acepte la invitación, aparecerá en la página Clientes del Centro de partners y, podrá aprovisionar y administrar el servicio para el cliente desde allí.
Después de que el cliente apruebe la invitación de relación de revendedor mediante el enlace proporcionado, conéctese al inquilino del socio para obtener el
object IDdel grupo AdminAgents.Connect-AzAccount -Tenant "Partner tenant" # Get Object ID of AdminAgents group Get-AzADGroup -DisplayName AdminAgentsAsegúrese de que el cliente tenga lo siguiente:
- El rol de propietario o administrador de acceso de usuario.
- Permisos para crear asignaciones de roles en el nivel de suscripción.
Restablecer los privilegios de administrador de CSP: acciones del cliente
En esta sección se describen las acciones del cliente para restablecer tus privilegios de administrador de CSP.
Para completar la reinseveración de los privilegios de administrador de CSP, el cliente usa PowerShell o la CLI de Azure para realizar los pasos siguientes:
El cliente usa PowerShell para actualizar el
Az.Resourcesmódulo.Update-Module Az.ResourcesSu cliente se conecta a la entidad donde existe la suscripción de CSP.
Connect-AzAccount -TenantID "<Customer tenant>"az login --tenant <Customer tenant>El cliente se conecta a la suscripción.
Este paso solo es aplicable si el usuario tiene permisos de asignación de roles en varias suscripciones del arrendatario.
Set-AzContext -SubscriptionID "<CSP Subscription ID>"az account set --subscription <CSP Subscription ID>El cliente crea la asignación de roles.
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
En lugar de conceder permisos de propietario en el nivel de suscripción, se pueden conceder en el nivel de grupo de recursos o en el nivel de recurso.
En el nivel de grupo de recursos
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"En el nivel de recurso
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
Resolución de problemas en los pasos del cliente
Si el cliente no puede completar los pasos anteriores, sugiera el siguiente comando y proporcione el archivo resultante newRoleAssignment.log a Microsoft para su posterior análisis:
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log
Procedimiento general de PowerShell para restablecer los privilegios de administrador de CSP
Si los pasos de las secciones anteriores no funcionan o si recibe errores al intentarlos, pruebe el siguiente procedimiento "catchall" para restablecer los derechos de administrador para el cliente:
Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"
Si se produce un error en el procedimiento "catchall" en Import-Module, pruebe los pasos siguientes:
- Si se produce un error en la importación porque el módulo está en uso, cierre y vuelva a abrir todas las ventanas para reiniciar la sesión de PowerShell.
- Compruebe la versión de
Az.ResourcesconGet-Module Az.Resources -ListAvailable.- Si la versión 4.1.1 no está en la lista disponible, debe usar
Update-Module Az.Resources -Force.
- Si la versión 4.1.1 no está en la lista disponible, debe usar
- Si un error indica que
Az.Accountsdebe ser una versión específica, actualice también ese módulo, reemplazando porAz.ResourcesAz.Accounts. A continuación, debe reiniciar la sesión de PowerShell.
Cómo revendedor indirecto puede obtener privilegios de cliente de Administrador en nombre de (AOBO) para las suscripciones de Azure
Un revendedor indirecto puede seguir estos pasos para obtener privilegios de cliente de AOBO para las suscripciones de Azure:
- Establezca una relación con el cliente final.
- Solicite privilegios de administrador delegados pormenorizados (GDAP) con el cliente final para las suscripciones de Azure.
- En su propio Azure portal, compruebe el id. de objeto del grupo AdminAgent para su propio inquilino (para aprender cómo hacerlo, consulte la Guía de solución de problemas sobre la obtención de crédito del asociado).
- Si el proveedor indirecto tiene derechos de OBO para los roles de propietario del cliente y de propietario de RBAC, puede ejecutar el script proporcionado en Restablecer sus privilegios de administrador de CSP: acciones del cliente para conceder permisos de AOBO al identificador de objeto del agente de administración del revendedor indirecto. Como alternativa, el cliente final puede hacerlo si tiene derechos de propiedad para la suscripción.