Partneri kreditekkel kapcsolatos hibaelhárítási útmutató

Megfelelő szerepkörök: globális rendszergazda | Felhasználókezelési rendszergazda | Rendszergazdai ügynök | Számlázási rendszergazda | Értékesítési ügynök

Gyakori hibaelhárítási forgatókönyvek

Az Azure új kereskedelmi felületén a partnerek kedvezményeket kaphatnak a felügyelt szolgáltatásokért a partneri krediteken (PEC) keresztül. A PEC csak jogosult engedélyekkel rendelkező partnereknek adható. Tudnivalók arról, hogy ki jogosult PEC-re, és hogyan történik a számítása és a kifizetése.

Ez a cikk alapvető hibaelhárítási útmutatást nyújt, ha a PEC nincs megadva.

Előfeltételek

Ha problémákat tapasztal a PEC-lel kapcsolatban, például a hozzáféréssel vagy a hiányzó adatokkal kapcsolatban, először ellenőrizze az alábbi elemeket.

Feljegyzés

Csak közvetett szolgáltatók és közvetlen számlapartnerek jogosultak a PEC megszerzésére.

• Győződjön meg arról, hogy a G (új kereskedelmi felület) számlát és a rekonstruktfájlt vizsgáljuk meg. Az Azure-csomag és a PEC nem jelenik meg a D (örökölt) számlán vagy a rekonstruálási fájlban.

• Győződjön meg arról, hogy a Microsoft AI Cloud Partner programszerződés aktív.

• Ellenőrizze, hogy az ajánlat jogosult-e. (Az örökölt Azure-ajánlatok, az Azure Reserved Instances, az Azure Savings Plans, az Azure SPOT virtuális gépek és a külső termékek nem jogosultak.)

• Győződjön meg arról, hogy Ön (vagy az Azure-csomagban rekordként beállított közvetett viszonteladó) rendelkezik érvényes rendszergazdai (AOBO) vagy Azure-szerepköralapú hozzáférés-vezérlési (Azure RBAC) szerepkörrel az előfizetéshez/erőforráscsoporthoz/erőforráshoz. Alternatív megoldás:

  • Ha Azure Lighthouse-t használ, győződjön meg arról, hogy partnerazonosítója legalább egy felhasználói fiókkal van társítva. Azt is ellenőrizze, hogy rendelkezik-e hozzáféréssel az ügyfél előfizetéséhez/erőforráscsoportához.
  • Ha Azure RBAC-társítást használ, győződjön meg arról, hogy a felhasználó jogosult szerepkörrel rendelkezik a PEC-hez és az Azure RBAC-hez az egyes ügyfél-bérlői környezetekben.

• Ellenőrizze, hogy az ügyfél eltávolította-e az AOBO-engedélyeket. Az engedélyek alapértelmezés szerint az Azure-csomag kiépítésekor lettek beállítva. Ha el lettek távolítva, tekintse meg az ügyfél Azure Felhőszolgáltató (CSP) előfizetéseinek rendszergazdai jogosultságainak visszaállítása című témakört.

• Győződjön meg arról, hogy rendszergazdai hozzáféréssel rendelkezik az egész napra.

• Győződjön meg arról, hogy a megfelelő oszlopokat tekinti át az egyeztetési fájlokban. További információ: Azure-csomag számlázása: A számlaegyeztetési fájl ismertetése.

Többpartneres forgatókönyvek

A PEC esetében csak az a fontos, hogy az áttűnő partner beállította a rendelkezésre álló engedélybeállításokat. A közvetett modell esetében lehet a szolgáltató, a viszonteladó vagy mindkettő.

Egy másik partner, amely további AOBO- vagy egyéb engedélyeket állít be, és további Azure RBAC-engedélyeket állít be az Azure RBAC-engedélyekkel rendelkező felhasználók számára, az nem érinti az átjátszó partner PEC-ét.

Lásd az alábbi táblázatot. Az MPN1 egy közvetett szolgáltató, az MPN2 a tranzakcióhoz rekord-viszonteladóként kapcsolódó közvetett viszonteladó, az MPN3 pedig egy másik CSP-partner (közvetlen vagy más közvetett viszonteladó):

Tranzakciós partner (BillTo)	Azure RBAC (pec-jogosult szerepkörrel rendelkező felhasználó vagy Lighthouse esetén)	AOBO (PEC-jogosult szerepkör)	PEC
MPN1	MPN1	N.A.	Igen
MPN1	n/a	MPN1	Igen
MPN1	MPN2	N.A.	Igen
MPN1	n/a	MPN2	Igen
MPN1	MPN3	MPN1	Igen
MPN1	MPN1	MPN3	Igen
MPN1	MPN1	MPN2	Igen
MPN1	MPN2	MPN1	Igen
MPN1	MPN2	MPN3	Igen
MPN1	MPN3	MPN2	Igen
MPN1	MPN3	n/a	Nem
MPN1	n/a	MPN3	Nem
MPN1	N.A.	N.A.	Nem
MPN1	MPN3	MPN3	Nem

Azure-előfizetések átvitele

Amikor egy partner egy Azure-előfizetést ad át egy másik partnertől vagy másik partnernek, az átvitelhez nem változnak az engedélyek.

Ezért ha az AOBO-t vagy egy másik engedélymodellt használtak az átvitel előtt, és a régi "áttűnő partner" engedélyeit állította be, az engedélyek az átvitel után is a régi partnerre fognak mutatni. Most azonban egy másik partner lesz az "átjátszó partner".

Minden Azure-előfizetés-átvitel esetén ajánlott, hogy az új célpartner az átvitel előtt adjon hozzá engedélyeket, például az Azure RBAC-t. Ezt biztonságosan megtehetik anélkül, hogy befolyásolnák a régi partner PEC-ét az átadásig.

PartnerID-frissítések

A Partnerközpont lehetővé teszi a CSP-regisztrációhoz társított PartnerID módosítását. A PartnerID frissítése egy másik Microsoft AI Cloud Partner Program helyazonosítóra ugyanazon a Microsoft AI Cloud Partner Program globális szervezetén belül (egy másik Microsoft AI Cloud Partner Program helyazonosítója ugyanazon a Microsoft AI Cloud Partner Program globális azonosítója alatt) nem befolyásolja a PEC-t.

Ha a partnerazonosítót egy másik Microsoft AI Cloud Partner Program-szervezetben lévő helyazonosítóra módosítják, a PEC-et azonban érintheti. Ebben az esetben, és amikor a PEC hiányzik, javasoljuk, hogy forduljon az ügyfélszolgálathoz (említse meg, hogy nemrég egy másik Microsoft AI Cloud Partner Program-szervezethez rendelte újra a CSP-regisztrációt).

AOBO-engedélyek ellenőrzése

Amikor egy partner létrehoz egy Azure-csomag-előfizetést egy ügyfél számára, az AOBO egy "külföldi tag" formájában van beállítva. A külföldi tag örökli az Azure-előfizetés tulajdonosi engedélyeit. Az AOBO-engedélyek azt jelentik, hogy a CSP Partnerközpont bérlőjének egy bizonyos csoportja (rendszergazdai ügynökök) örökli ezeket az engedélyeket.

A külföldi tag az Azure Portalon látható módon nem tartalmazza az adott partnerbérlében leképezendő csoport részleteit.

Amikor megtekinti a külföldi tagot az Azure Portalon, az egy partnernevet jelenít meg, például a "Contoso" idegen tagját ...", de a "Contoso" csak a partner Microsoft Entra-bérlőjének megjelenítendő neve, és nem egyedi.

Az AZ PowerShell vagy az Azure CLI használatával 100%-os biztonsággal ellenőrizni kell, hogy az AOBO megfelelően van-e beállítva, és a megfelelő CSP-bérlő megfelelő csoportjára mutat.

1. lépés – Az átjátszott partner ügynökcsoportjainak objektumazonosítóinak azonosítása

• Az Azure Portalon keresztül: A partnerek bejelentkezhetnek az Azure Portalra a saját bérlőjükben, és megkereshetik a megfelelő csoportokat a Microsoft Entra azonosító > csoportjaiban. Az ObjectID a csoportnév jobb oldalán jelenik meg.

• PowerShellen keresztül: Indítsa el a PowerShellt (helyi PowerShell vagy Azure Cloud Shell).

Az Azure Cloud Shell használata előtt be kell állítania egy tárfiókot. Ez a fiók kis havi költséggel jár a bérlői környezetben elérhető Azure-előfizetésben. A megosztást az alábbi lépések után törölheti.

Feljegyzés

Az Azure AD- és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információkért olvassa el az elavulás frissítését. Ezen dátum után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok 2025. március 30-ától működnek tovább.

Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. Gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadást tapasztalhatnak.

Győződjön meg arról, hogy a következő modulok vannak telepítve és frissítve a legújabb verzióra:

• AzureAD-modul
• AZ PowerShell-modul (a Cloud Shellhez nem szükséges)

Ha szükséges, a PowerShell-ablakokban az alábbiakat cmdlets használva telepítse ezeket a modulokat:

Install-Module -Name AzureAD -Force

Install-Module -Name Az -AllowClobber -Force

Először csatlakozzon a Partnerközpont-bérlőhöz a Partnerközpont felhasználói fiókjával, és kérje le az AdminAgents és a HelpdeskAgents csoport objektumazonosítóit:

Connect-AzureAD -TenantDomain CSPtenantname.onmicrosoft.com

Jelentkezzen be a Partnerközpont hitelesítő adataival:

Az ügynökcsoportok adatainak lekérdezése:

Get-AzureADGroup | Where-Object { $_.DisplayName.Endswith('Agents') }

A ObjectID csoportok neve a következőkkel együtt jelenik meg:

Feljegyzés

Ha nem kap eredményt, győződjön meg arról, hogy csatlakozott a Partnerközpont-fiókjához.

Feljegyzés

A közvetett viszonteladók nem láthatják a SalesAgents csoportot. Ezt a lépést csak egyszer kell elvégezni, mivel az AOBO minden ügyfélbérlõben ugyanazokat az azonosítókat fogja használni.

2. lépés – ObjectID-k összehasonlítása a külső tag által használtakkal

Fontos, hogy a Bérlőazonosítót használja a bérlői paraméter értékeként (a bérlői tartománynév helyett) egy olyan felhasználói fiókkal, amely vagy: - több címtárhoz/bérlőhöz, például a Partnerközpont felhasználói fiókjához, vagy - vendégként lett hozzáadva több bérlőhöz.

Ezért az adott ügyfél bérlőazonosítóját kell megadnia.

• Az Azure Portalon keresztül: A Bérlőazonosítót egyszerűen lekérheti a Partnerközpont ügyféllistájából. A bérlőazonosító a következő címkével van ellátva: "Microsoft ID":

  

• PowerShell-lel: Csatlakozzon az ügyfél Azure-előfizetéséhez érvényes hitelesítő adatokkal. A hitelesítő adatoknak engedéllyel kell rendelkezniük az ügyfélbérlelő Azure-előfizetésének és AzureAD-jének olvasásához:

  Connect-AzAccount -Tenant $CustomerTenantID
  

  • Az ügyfél Azure-előfizetéseinek külföldi tagjának szerepkör-hozzárendeléseinek olvasása:

  Get-AzRoleassignment | ? {$_.DisplayName -like "Foreign*"}
  

  

  • Az eredményül kapott ObjectID-nek meg kell egyeznie az 1. lépésben azonosított AdminAgent vagy HelpDeskAgent csoport ObjectID azonosítójával.

Összegzés

Minden szempontnak meg kell egyeznie a PEC AOBO-on keresztüli fogadásához:

• Az ügyfél Azure-előfizetése rendelkezik egy külső taggal, amely jogosult Azure RBAC-szerepkör-hozzárendeléssel rendelkezik.
• Az idegen tag által használt csoport ObjectID azonosítója a partnerbérlében lévő AdminAgent vagy HelpdeskAgent csoport ObjectID azonosítójára hivatkozik.
• A "partnerbérligen" a közvetlen számlázási partner bérlője. A közvetett modellben ez a közvetett szolgáltatót vagy a közvetett viszonteladói partner bérlőt jelenti.

Mintaszkriptek

Ez a szakasz olyan példaszkripteket tartalmaz, amelyek segíthetnek összegyűjteni az adatokat több előfizetésben, és tárolni őket egy . CSV-fájl. Ezek a szkriptek példaként szolgálnak, és támogatás nélkül érhetők el. Bár a szkriptek nem módosítják a beállításokat, alaposan tesztelni kell őket, és szükség lehet a testreszabásra a konkrét partner-/ügyfélforgatókönyv esetében.

• Egyetlen ügyfél AOBO-részleteinek felsorolása: Ez a példa Microsoft Entra-azonosítót és Azure PowerShell-modulokat használ.

### Install-Module -Name AzureAD -Force ###
### Install-Module -Name Az -AllowClobber -Force ###
### Variables ####
$CSVname = "c:tempAOBOchecker.csv"
$CustomertenantId = ""
### Get Agent-Groups Object IDs and write to CSV - This step needs to be done with a Partner Center User ###
Connect-AzureAD -TenantDomain $PartnerTenantDomain
$Headers = "GroupName`tObjectID`tPartnerTenantName`tPartnerTenantID" >>$CSVname
$PartnerTenant = Get-AzureADTenantDetail
$groups = Get-AzureADGroup | Where-Object { $_.DisplayName.Endswith('Agents') }
ForEach ($Group in $Groups)
{
$NewLine = $Group.DisplayName + "`t" + $Group.ObjectID + "`t" + $PartnerTenant.DisplayName + "`t" + $PartnerTenant.ObjectID
$NewLine >>$CSVname
}
### Get list of Azure Subscriptions for a customer, get list of Foreign Principals and add them to the same CSV ###
Clear-AzContext -Scope CurrentUser -Force
Connect-AzAccount -Tenant $CustomertenantId
$CustomerTenant = Get-AzureADTenantDetail
$CustomerTenantSubscriptions = Get-AzSubscription -TenantId $CustomertenantId
ForEach ($Subscription in $CustomerTenantSubscriptions)
{
$Roles = Get-AzRoleassignment -Scope /subscriptions/$Subscription | ? {$_.DisplayName -like "Foreign*"}
ForEach ($Role in $Roles)
{
$NewLine = $CustomerTenant.Domain + "`t" + $CustomerTenant.CustomerId + "`t" + $Subscription.Id + "`t" + $Role.DisplayName + "`t" + $Role.ObjectID + "`t" + $Role.RoleDefinitionName
$NewLine >>$CSVname
}
}

• Az AOBO részleteinek felsorolása több ügyfél számára: Ez a kód csak illusztrációs célra szolgál.
  • Lekérheti a CSP-ügyfelek és az összes külföldi tag előfizetéseinek listáját, és megállapíthatja, hogy van-e eltérés. Ez a kód a támogatással kapcsolatos információk gyűjtésére is használható.
  • Ellenőrizze, hogy mely Azure-előfizetéseket (Azure-csomagjogosultságokat) értékesítették, és melyek érhetők el az aktuális hitelesítő adatokkal.
  • A közvetett viszonteladók esetében ez a szkript is működik. De minden előfizetésnél a "nem értékesített" üzenet jelenik meg, még akkor is, ha az értékesítés rekordpartnere.

### Note - below examples use interactive login experience and aren't suitable for production use ###
### See https://learn.microsoft.com/partner-center/develop/enable-secure-app-model#powershell for info on how to authenticate to each customer tenant silently using secure app model ###
### Below examples use AzureAD, AZ and Partner Center PowerShell modules ###
### Install-Module -Name AzureAD -Force ###
### Install-Module -Name Az -AllowClobber -Force ###
### Install-Module -Name PartnerCenter -Force ###
### Variables ####
$PartnertenantDomain = "xyz.onmicrosoft.com"
$PartnerTenantID = ""
$CSVname = "c:tempAOBOchecker.csv"
### Get Agent-Groups Object IDs and write to CSV ###
Connect-AzureAD -TenantDomain $PartnerTenantDomain
$Headers = "GroupName`tObjectID`tPartnerTenantName`tPartnerTenantID" >>$CSVname
$PartnerTenant = Get-AzureADTenantDetail
$groups = Get-AzureADGroup | Where-Object { $_.DisplayName.Endswith('Agents') }
ForEach ($Group in $Groups)
{
$NewLine = $Group.DisplayName + "`t" + $Group.ObjectID + "`t" + $PartnerTenant.DisplayName + "`t" + $PartnerTenant.ObjectID
$NewLine >>$CSVname
}
### Get list of CSP Customers, get List of Azure Subscriptions, get list of Foreign Principals and add them to the same CSV ###
Connect-PartnerCenter -TenantID $PartnertenantID
$Customers = Get-PartnerCustomer
$Headers = "`r`nCustomerTenantName`tCustomerTenantID`tSubscriptionId`tForeignPrincipalName`tObjectID`tAzureRBACRole`tTimeChecked`tNotes`tCredentialsUsedForAccessCheck" >>$CSVname
Foreach ($customer in $Customers)
{
$AzurePlanId = Get-PartnerCustomerSubscription -CustomerId $Customer.CustomerId | ? {$_.OfferName -eq "Azure Plan"}
if ($AzurePlanID -eq $null)
{
Write-Host "Customer $($Customer.Name) does not have Azure Plan"
}
else
{
$AzurePlanSubscriptionsSold = Get-PartnerCustomerAzurePlanEntitlement -CustomerId $Customer.CustomerId -SubscriptionId $AzurePlanId.SubscriptionId
}
Clear-AzContext -Scope CurrentUser -Force
Connect-AzAccount -Tenant $Customer.CustomerId
$CurrentUser = Get-azcontext
$CustomerTenantSubscriptionsAccessible = Get-AzSubscription -TenantId $Customer.CustomerId
$SoldAndAccessibleSubscriptions = $AzurePlanSubscriptionsSold | Where {$CustomerTenantSubscriptionsAccessible -Contains $_}
$SoldButNotAccessibleSubscriptions = $AzurePlanSubscriptionsSold | Where {$CustomerTenantSubscriptionsAccessible -notcontains $_}
$NotSoldButAccessibleSubscriptions = $CustomerTenantSubscriptionsAccessible | Where {$AzurePlanSubscriptionsSold -notcontains $_}
ForEach ($Subscription in $SoldAndAccessibleSubscriptions)
{
$Roles = Get-AzRoleassignment -Scope /subscriptions/$Subscription | ? {$_.DisplayName -like "Foreign*"}
ForEach ($Role in $Roles)
{
$CurrentTime = Get-Date -format "dd-MMM-yyyy HH:mm:ss"
$NewLine = $Customer.Domain + "`t" + $Customer.CustomerId + "`t" + $Subscription.Id + "`t" + $Role.DisplayName + "`t" + $Role.ObjectID + "`t" + $Role.RoleDefinitionName + "`t" + $CurrentTime + "`t" + "Access with current credentials and sold as CSP Partner" + "`t" + $CurrentUser.Account.Id
$NewLine >>$CSVname
}
}
ForEach ($Subscription in $SoldButNotAccessibleSubscriptions)
{
$CurrentTime = Get-Date -format "dd-MMM-yyyy HH:mm:ss"
$NewLine = $Customer.Domain + "`t" + $Customer.CustomerId + "`t" + "N/A" + "`t" + "N/A" + "`t" + "N/A" + "`t" + "N/A" + "`t" + $CurrentTime + "`t" + "Sold via CSP, but no access with current credentials" + "`t" + $CurrentUser.Account.Id
$NewLine >>$CSVname
}
ForEach ($Subscription in $NotSoldButAccessibleSubscriptions)
{
$Roles = Get-AzRoleassignment -Scope /subscriptions/$Subscription | ? {$_.DisplayName -like "Foreign*"}
ForEach ($Role in $Roles)
{
$CurrentTime = Get-Date -format "dd-MMM-yyyy HH:mm:ss"
$NewLine = $Customer.Domain + "`t" + $Customer.CustomerId + "`t" + $Subscription.Id + "`t" + $Role.DisplayName + "`t" + $Role.ObjectID + "`t" + $Role.RoleDefinitionName + "`t" + $CurrentTime + "`t" + "Access with current credentials, but not sold as CSP Partner" + "`t" + $CurrentUser.Account.Id
$NewLine >>$CSVname
}
}
}

• A szkript kimenete így formázható:

  

Az Azure Lighthouse-engedélyek és az Azure PAL ellenőrzése

Az AOBO-hoz hasonlóan az Azure Lighthouse lehetővé teszi a (partner)felügyeleti bérlő felhasználói csoportjai számára, hogy delegált engedélyeket örököljenek az ügyfél Azure-előfizetésében. A különbség az, hogy lehetővé teszi a csoportok és engedélyszintek részletesebb meghatározását, mint az AOBO.

Ebben az engedélymodellben könnyebb ellenőrizni, hogy helyesen lett-e beállítva az Azure Portal felhasználói felületén. Csak a partner tud teljes körűen ellenőrizni, hogy az Azure Lighthouse beállítása helyes-e.

Az alábbi lépések bemutatják, hogyan állapítható meg, hogy mely ügyfelekhez delegálták véglegesen az Azure RBAC-szerepkör-engedélyeket, és hogy mely csoportokhoz. Ezután ellenőrizheti, hogy az Azure RBAC-társítást használó felhasználó tagja-e ezeknek a csoportoknak.

1. lépés – Lighthouse-delegálások ellenőrzése az ügyfeleken

Ellenőrizze, hogy az alkalmazható delegálások PEC-re jogosult Azure RBAC-szerepköröket használnak-e.

• Nyissa meg az Azure Portalt (a partner felügyeleti bérlőjének egy felhasználójával). Ezután keressen rá a "Lighthouse" kifejezésre, és válassza a Saját ügyfelek lehetőséget.

  

• Az ügyfél áttekintésében válassza a Delegálások lehetőséget a bal oldalon. Ezzel megnyitja azoknak az erőforrásoknak (előfizetéseknek vagy erőforráscsoportoknak) a listáját, amelyekhez delegált hozzáférés lett biztosítva:

  

• Nyissa meg a delegálásokat a jobb oldali oszlopban a "Szerepkör-hozzárendelések" alatt, és nézze meg, hogy a partner/felügyeleti bérlő mely felhasználói csoportja örökli az egyes engedélyeket (lásd a "Szerepkör" oszlopot). Azt is láthatja, hogy ezek az engedélyek állandóak-e (lásd a "Hozzáférési típus" oszlopot):

  

2. lépés – Csoporttagság ellenőrzése

Válassza ki a csoport megjelenítendő nevét. Ezzel megnyitja a csoport részleteit. Válassza a "Tagok" lehetőséget annak szabályozásához, hogy melyik felhasználó rendelkezik Azure RBAC-készlettel, és tagja a megfelelő csoportnak:

3. lépés – Annak ellenőrzése, hogy a felhasználó beállította-e az Azure PAL-t

Csak az Azure PAL-t beállított felhasználó ellenőrizheti az Azure PAL-hozzárendelést; ezt más rendszergazdai felhasználó nem teheti meg. Tekintse meg Hogyan a partneradminisztrátori kapcsolat (PAL) és az ügyfél közötti kapcsolat ismertetését? Az Azure-fiók partnerazonosítóval való összekapcsolása című témakörben talál további információt arról, hogy a felhasználó hogyan ellenőrizheti, hogy az Azure PAL be van-e állítva a felhasználói felületen vagy a PowerShellen keresztül.

Feljegyzés

Az Azure PAL-nak olyan PartnerID-t kell használnia, amely ugyanahhoz a Microsoft AI Cloud Partner Program szervezethez tartozik, amely az Azure-előfizetés tranzakciópartnere. A közvetett modellben ez lehet a szolgáltató partnerazonosítója, vagy az értékesítéshez csatolt adott viszonteladó.

4. lépés – Időkorlátos csoporthozzárendelések ellenőrzése

Mivel előfordulhat, hogy a csoporttagság nem állandó, ellenőrizze, hogy a csoport engedélyezve van-e a jogosultságalapú hozzáférés-kezeléshez. A csoportbeállításokban keresse meg a bal oldalon a "Privileged access" (Kiemelt hozzáférés) lehetőséget a "Tevékenység" alatt. Ha igaz, ellenőrizze, hogy a felhasználó rendelkezik-e aktív hozzárendeléssel és a hozzárendelés időkeretével.

Feljegyzés

Mivel a "befejezési idő" az, amikor egy felhasználó automatikusan törlődik a csoportból, a PEC elveszik az Azure RBAC-készlettel rendelkező felhasználók számára. Hasonlóképpen, a PEC csak a "kezdési időpont" hozzárendelés után adható meg.

Egyéni felhasználói hozzárendelés és Azure PAL ellenőrzése

Bizonyos esetekben célszerűbb az Azure-előfizetésekre vonatkozó engedélyekkel rendelkező egyéni felhasználói fiókokkal dolgozni. Ezek a fiókok lehetnek vendégfelhasználói fiókok (bármely bérlőből) vagy az ügyfélbérlelőben vagy szolgáltatásnevekben létrehozott felhasználói fiókok.

Ha egyéni felhasználói fiókokat használ járműként a PEC megszerzéséhez, az ellenőrzés magában foglalja a hozzárendelt engedélyek áttekintését a felhasználó Azure-előfizetés-kezelésében, és annak ellenőrzését, hogy a felhasználó helyesen állította-e be az Azure RBAC-t. Szolgáltatásnév használata esetén az Azure RBAC ellenőrzésének a PowerShellen keresztül kell történnie.

1. lépés – Engedélyek áttekintése az Azure-előfizetések kezelésében

• Nyissa meg az Azure Portalt. Győződjön meg arról, hogy olyan felhasználóként jelentkezett be, aki Azure RBAC-szerepkörrel rendelkezik, és legalább olvasási hozzáféréssel rendelkezik a kérdéses előfizetéshez.

• Az előfizetés részleteinek megnyitásához keressen rá az "Előfizetések" kifejezésre a keresősávban:

  

• Nyissa meg a "Hozzáférés-vezérlés (IAM)" elemet az előfizetés részletei között. Ezután válassza a "Szerepkör-hozzárendelések" lehetőséget az előfizetési szinten hozzáféréssel rendelkező felhasználók áttekintéséhez, és ha a "Szerepkör" oszlopban a PEC-re jogosult Azure RBAC-szerepkörök láthatók. Ha az engedélyek erőforráscsoport szintjén lettek beállítva, ugyanaz a "Hozzáférés-vezérlés (IAM)" nézet is elérhető egy erőforráscsoporton belül.

Feljegyzés

Az engedélyeket olyan felhasználók csoportjának is meg lehet adni, ahol az Azure RBAC-készlettel rendelkező felhasználó csoporttagságát is ellenőrizni kell.

2. lépés – Győződjön meg arról, hogy az engedélyek állandóak, és hogy nem vonatkoznak megtagadási hozzárendelések

Bár úgy tűnhet, hogy a felhasználók hozzáféréssel rendelkeznek, előfordulhat, hogy az engedélyeiket továbbra is ideiglenesen letiltják vagy letiltják a Megtagadási hozzárendelésekkel.

A Privileged Identity Management (PIM) Azure RBAC-szerepkör-hozzárendelés használata időkorlátot jelenthet. Bár előfordulhat, hogy engedéllyel rendelkező felhasználókat lát, előfordulhat, hogy csak rövid ideig léteznek. Annak ellenőrzéséhez, hogy az Azure RBAC-szerepkör-hozzárendelés végleges-e, ellenőrizze a PIM felügyeletét az Azure Portalon. Pontosabban ellenőrizze, hogy az előfizetésben lévő Azure-erőforrásokat hol kezelik a PIM-szabályzatok, és hogy a felhasználóra vonatkoznak-e szabályzatok.

Emellett előfordulhat, hogy az engedélyek listája azt mutatja, hogy a felhasználó rendelkezik engedélyekkel az előfizetéshez, de lehetnek olyan Megtagadási hozzárendelések, amelyek továbbra is megakadályozzák a felhasználó hozzáférését valamihez. A Hozzáférés-vezérlés (IAM)" területen válassza a Megtagadás hozzárendelés lapját annak ellenőrzéséhez, hogy a megtagadási hozzárendelések érvényesek-e:

Feljegyzés

A teljesség érdekében a partnereknek azt is ellenőriznie kell, hogy az erőforráscsoportokban nincsenek-e megtagadási hozzárendelések az előfizetésen belül.

3. lépés – Annak ellenőrzése, hogy a felhasználó beállította-e az Azure PAL-t

Csak az Azure PAL-t beállított felhasználó ellenőrizheti az Azure PAL-hozzárendeléseket; ezt más rendszergazdai felhasználó nem teheti meg. További információ arról, hogy a felhasználó hogyan ellenőrizheti, hogy az Azure PAL be van-e állítva, lásd : Azure-fiók csatolása partnerazonosítóhoz.

Feljegyzés

Az Azure PAL-nak olyan PartnerID-t kell használnia, amely ugyanahhoz a Microsoft AI Cloud Partner Program szervezethez tartozik, amely az Azure-előfizetés tranzakciópartnere. A közvetett modellben ez lehet a szolgáltató partnerazonosítója, vagy az értékesítéshez csatolt viszonteladó partnerazonosítója.

Kapcsolódó tartalom

• Partneri jóváírás – áttekintés
• Szerepkörök, a partner által szerzett kreditre vonatkozó engedélyek