Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Rôles appropriés : Agent d’administration
Cet article explique comment les partenaires fournisseur de solutions Cloud (CSP) peuvent utiliser différentes options de contrôle d’accès en fonction du rôle (RBAC) pour obtenir le contrôle opérationnel et la gestion des ressources Azure d’un client.
Quand vous opérez la transition d’un client vers le plan Azure, des droits d’administrateur privilégié vous sont attribués par défaut dans Azure—droits de propriétaire d’abonnement via les privilèges Administrateur au nom de (AOBO).
Remarque
Les clients peuvent supprimer les droits d’administrateur à l’un de ces niveaux : abonnement, groupe de ressources et charge de travail.
Pour gérer les ressources Azure d’un client dans csp, les partenaires peuvent utiliser le contrôle d’accès en fonction du rôle (RBAC). Cette fonctionnalité vous permet de maintenir le contrôle opérationnel et de superviser en permanence les tâches de gestion.
Administrateur au nom de : avec AOBO, tout utilisateur disposant du rôle d’agent d’administration dans le locataire partenaire dispose d’un accès au propriétaire RBAC aux abonnements Azure que vous créez via le programme CSP.
Azure Lighthouse : AOBO n’a pas la possibilité de créer des groupes distincts qui fonctionnent avec différents clients, ou d’activer différents rôles pour les groupes ou les utilisateurs. Toutefois, à l’aide d’Azure Lighthouse, vous pouvez affecter différents groupes à différents clients ou rôles. Étant donné que les utilisateurs disposent du niveau d’accès approprié via la gestion des ressources déléguées Azure, vous pouvez réduire le nombre d’utilisateurs disposant du rôle d’agent d’administration (et ainsi disposer d’un accès AOBO complet). Cela permet d’améliorer la sécurité en limitant l’accès inutile aux ressources de vos clients. Cela permet aussi de gérer plusieurs clients selon les besoins avec une plus grande souplesse. Pour plus d’informations, consultez Azure Lighthouse et le programme du fournisseur de solutions Cloud.
Utilisateurs du répertoire ou invités ou Principaux de service : vous pouvez déléguer l’accès granulaire aux abonnements CSP en ajoutant des utilisateurs dans le répertoire du client ou en ajoutant des utilisateurs invités et en attribuant des rôles RBAC spécifiques.
En tant que pratique de sécurité, Microsoft recommande d’attribuer aux utilisateurs les autorisations minimales dont ils ont besoin pour effectuer leur travail. Pour plus d’informations, consultez Ressources Microsoft Entra Privileged Identity Management.
Lier votre PartnerID à vos informations d’identification pour gérer les ressources Azure d’un client
Le tableau suivant présente les méthodes utilisées pour associer votre PARTNERID (anciennement ID MPN) à différentes options d’accès RBAC.
Catégorie | Scénario | Association d'ID de partenaire |
---|---|---|
AOBO | Le partenaire direct csp ou le fournisseur indirect crée l’abonnement pour le client, ce qui rend le partenaire direct CSP ou le fournisseur indirect le propriétaire par défaut de l’abonnement à l’aide d’AOBO. Un partenaire direct CSP ou un fournisseur indirect donne à un revendeur indirect l’accès à l’abonnement à l’aide d’AOBO. | Automatique (aucun travail nécessaire de la part du partenaire) |
Azure Lighthouse | Le partenaire crée une offre de service géré dans Marketplace. L’offre est acceptée sur l’abonnement CSP et le partenaire accède à l’abonnement CSP. | Automatique (aucun travail nécessaire de la part du partenaire) |
Azure Lighthouse | Le partenaire déploie un modèle Azure Resource Manager (ARM) dans un abonnement Azure | Le partenaire doit associer le PartnerID à l’utilisateur ou au principal du service dans le client partenaire. Pour plus d’informations, consultez Lier votre PartnerID pour suivre votre impact sur les ressources déléguées. |
Annuaire ou utilisateur invité | Le partenaire crée un utilisateur ou un principal du service dans l’annuaire du client et accorde à l’utilisateur un accès à l’abonnement CSP. Le partenaire crée un utilisateur ou un principal du service dans l’annuaire du client. Le partenaire ajoute l’utilisateur à un groupe et accorde au groupe un accès à l’abonnement CSP. | Le partenaire doit associer le PartnerID à l’utilisateur ou au principal du service dans le locataire client. Pour plus d’informations, consultez Lier un PartnerID à votre compte utilisé pour gérer les clients. |
Vérifier que vous disposez d’un accès administrateur
Vous devez disposer d’un accès administrateur pour gérer les services de votre client et recevoir des crédits gagnés. Pour plus d’informations sur les crédits gagnés par les partenaires, consultez crédits gagnés partenaires.
Pour déterminer si vous disposez d’un accès administrateur, procédez comme suit :
- Passez en revue le fichier d’utilisation quotidienne : passez en revue le prix unitaire et le prix unitaire effectif dans le fichier d’utilisation quotidienne et vérifiez si une remise est appliquée. Si vous recevez la remise, vous êtes l’administrateur.
Créer une alerte Azure Monitor
Vous pouvez créer une alerte du journal d'activité Azure Monitor pour être notifié si votre accès RBAC est supprimé d’un abonnement CSP.
Pour créer une alerte Azure Monitor, procédez comme suit :
Créez une alerte.
Sélectionnez le type d’action que vous souhaitez que l’alerte prenne.
Par exemple, si vous spécifiez que vous souhaitez un e-mail, vous recevez un e-mail vous informant si une suppression d’attribution de rôle se produit.
Capture d’écran de la Portail Azure de configuration d’une alerte.
Supprimer l’accès AOBO
Les clients peuvent gérer l’accès à leurs abonnements en accédant à Access Control dans le portail Azure. Sous l’onglet Attributions de rôles, ils peuvent sélectionner Supprimer l’accès.
Si un client supprime votre accès, vous pouvez :
Demander à votre client si l’accès administrateur peut être rétabli.
Utiliser l’accès accordé via le contrôle d’accès basé sur les rôles (RBAC).
Utilisez l'accès fourni par Azure Lighthouse.
L’accès basé sur les rôles se distingue de l’accès administrateur. Les rôles délimitent précisément ce que vous pouvez faire et ne pas faire. L’accès administrateur est plus étendu.
Suspendre et réactiver un plan Azure
Les partenaires peuvent suspendre ou réactiver un plan Azure directement dans l’Espace partenaires à partir de la page de détails du plan Azure.
- Dans le Centre des partenaires, dans Clients, sélectionnez le compte client
- Accédez aux abonnements Azure du client
- Sélectionnez le plan Azure
- Sélectionnez l’état : suspendu , puis envoyez-le pour suspendre le plan Azure.
- Sélectionnez l’état : actif , puis envoyez pour réactiver le plan Azure.
Vous ne pouvez suspendre qu’un plan Azure existant s’il n’a plus de ressources d’utilisation actives associées, y compris les abonnements d’utilisation Azure et les réservations Azure.
Les partenaires ne peuvent acheter qu’un seul plan Azure par revendeur et combinaison client spécifique. Si le client d’un revendeur a un plan suspendu, ce client ne peut pas acheter de nouveau plan. L’annulation n’est pas disponible pour le plan Azure.
Pour la suspension d’un plan Azure en utilisant l’API, consultez Suspendre un abonnement – Développeur d’applications partenaires.
Pour réactiver le plan Azure suspendu par l’API, consultez Réactiver un abonnement suspendu – Développeur d’applications partenaires.
Annuler un abonnement Azure
Si les abonnements au plan Azure du client sont compromis, les partenaires peuvent annuler des abonnements Azure à partir de l’Espace partenaires. Les partenaires doivent disposer de privilèges d’administrateur général et de rôles d’agent d’administration pour annuler les abonnements Azure. Pour annuler :
- Sélectionnez le client dans la liste des clients
- Accédez aux abonnements Azure du client
- Sélectionnez le plan Azure auquel est associé l'abonnement
- Dans la page détails du plan Azure, sélectionnez les abonnements Azure à annuler
- Soumettre les modifications en sélectionnant Annuler l’abonnement
Ce processus annule uniquement les abonnements Azure sélectionnés. Les clients ayant accès à l’abonnement Azure peuvent réactiver l’abonnement si le plan Azure est toujours actif. Pour arrêter la réactivation, les partenaires doivent annuler tous les abonnements Azure, puis le plan Azure lui-même.
Les partenaires peuvent sélectionner plusieurs abonnements, mais ne peuvent pas annuler plus de 10 abonnements à la fois. Les partenaires peuvent annuler le plan Azure en l’absence d’abonnements Azure actifs. Ce processus permet aux partenaires d’arrêter les plans et abonnements Azure susceptibles d’être compromis, même si un acteur incorrect a supprimé ses autorisations RBAC.
Les partenaires peuvent annuler des abonnements Azure via le portail de l’Espace partenaires ou par API. Pour plus d’informations sur l’API, consultez Annuler un abonnement Azure et pour l’essayer, consultez Dépenses Azure – Annuler un droit Azure – API REST.
Pour en savoir plus sur l’annulation d’abonnements Azure, consultez Que se passe-t-il après l’annulation de l’abonnement ?
Réactiver un abonnement Azure
Les partenaires peuvent réactiver les abonnements Azure qui ont été annulés en raison de la compromission du client à partir de leur page de détails du plan Azure, à l’aide de l’onglet Abonnements Azure inactifs. Les partenaires doivent disposer de privilèges d’administrateur général et de rôles d’agent d’administration pour réactiver les abonnements Azure. Pour réactiver :
- Sélectionnez le client dans la liste des clients
- Accédez aux abonnements Azure du client
- Sélectionnez le plan Azure auquel est associé l'abonnement
- Dans la page détails du plan Azure, sous la section abonnement Azure, sélectionnez l’onglet Inactif
- Sélectionnez l’abonnement Azure à réactiver
- Soumettre les modifications en sélectionnant Réactiver l’abonnement
Il réactive uniquement les abonnements Azure sélectionnés. Les partenaires peuvent sélectionner plusieurs abonnements, mais ne peuvent pas réactiver plus de 10 abonnements à la fois. Le plan Azure associé doit être actif pour réactiver les abonnements Azure. Pour réactiver un plan Azure, accédez d’abord à la page de détails du plan Azure dans l’Espace partenaires. Ensuite, rétablissez l'état du plan à actif.
Pour réactiver l’abonnement, contactez le client ou le propriétaire de facturation qui l’a annulé dans le portail Azure. Ils doivent se connecter et terminer le processus de réactivation.
Pour réactiver via l’API, consultez Réactivation d’un abonnement Azure – Développeur d’applications partenaires. Pour l’essayer, consultez Dépenses Azure – Réactiver un droit Azure.
Pour plus d’informations sur la réactivation des abonnements Azure, consultez la documentation Azure.