Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Megfelelő szerepkörök: Rendszergazdai ügynök
Ez a cikk azt ismerteti, hogy Felhőszolgáltató (CSP) partnerek hogyan használhatják a különböző szerepköralapú hozzáférés-vezérlési (RBAC) lehetőségeket az ügyfél Azure-erőforrásainak működési vezérléséhez és felügyeletéhez.
Amikor egy ügyfelet áttérít az Azure-csomagra, az Azure-ban kiemelt rendszergazdai jogosultságokat kap – alapértelmezés szerint az előfizetés tulajdonosi jogosultságait az AOBO (Admin on Behalf of) szolgáltatáson keresztül.
Feljegyzés
Az ügyfelek az alábbi szintek bármelyikén eltávolíthatják a rendszergazdai jogosultságokat: előfizetés, erőforráscsoport és számítási feladat.
Az ügyfél Azure-erőforrásainak CSP-ben való kezeléséhez a partnerek szerepköralapú hozzáférés-vezérlést (RBAC) használhatnak. Ez a funkció lehetővé teszi a működési felügyelet fenntartását és a felügyeleti feladatok folyamatos felügyeletét.
Rendszergazda a nevében – Az AOBO-val minden olyan felhasználó, aki adminisztrátori ügynöki szerepkörrel rendelkezik a partner bérleményben, RBAC-tulajdonosi hozzáférést kap az Azure-előfizetésekhez, amelyeket a CSP programon keresztül hoz létre.
Azure Lighthouse: Az AOBO nem rendelkezik rugalmasan különböző csoportokkal, amelyek különböző ügyfelekkel dolgoznak, vagy különböző szerepköröket engedélyeznek csoportok vagy felhasználók számára. Az Azure Lighthouse használatával azonban különböző csoportokat rendelhet különböző ügyfelekhez vagy szerepkörökhöz. Mivel a felhasználók megfelelő szintű hozzáféréssel rendelkeznek az Azure delegált erőforrás-kezelésével, csökkentheti a rendszergazdai ügynöki szerepkörrel rendelkező felhasználók számát (és így teljes AOBO-hozzáféréssel rendelkezik). Ez segít a biztonság javításában azáltal, hogy korlátozza az ügyfelek erőforrásaihoz való szükségtelen hozzáférést. Emellett rugalmasabban kezelhet nagy számú ügyfelet is. További információ: Azure Lighthouse és a Felhőalapú Megoldásszolgáltató program.
Címtár- vagy vendégfelhasználók vagy szolgáltatási főazonosítók: Részletes hozzáférést delegálhat a CSP-előfizetésekhez úgy, hogy felhasználókat ad hozzá az ügyfélkönyvtárban, vagy vendégfelhasználókat ad hozzá, és meghatározott RBAC-szerepköröket rendel hozzá.
Biztonsági gyakorlatként a Microsoft azt javasolja a felhasználóknak, hogy rendeljék hozzá a munkájukhoz szükséges minimális engedélyeket. További információkért lásd: Microsoft Entra Privileged Identity Management erőforrások.
A partnerazonosító csatolása a hitelesítő adatokhoz az ügyfél Azure-erőforrásainak kezeléséhez
Az alábbi táblázat a PartnerID (korábbi nevén MPN-azonosító) különböző RBAC-hozzáférési lehetőségekhez való társításához használt módszereket mutatja be.
| Kategória | Forgatókönyv | PartnerID társítás |
|---|---|---|
| AOBO | A közvetlen CSP-partner vagy közvetett szolgáltató létrehozza az előfizetést az ügyfél számára, így a közvetlen CSP-partner vagy a közvetett szolgáltató lesz az előfizetés alapértelmezett tulajdonosa az AOBO használatával. A közvetlen CSP-partner vagy közvetett szolgáltató közvetett viszonteladói hozzáférést biztosít az előfizetéshez az AOBO használatával. | Automatikus (nincs szükség partnermunkára) |
| Azure Lighthouse | A partner létrehoz egy új felügyeltszolgáltatás-ajánlatot a Microsoft Marketplace-en. Az ajánlatot a CSP-előfizetés fogadja el, és a partner hozzáfér a CSP-előfizetéshez. | Automatikus (nincs szükség partnermunkára) |
| Azure Lighthouse | A partner üzembe helyez egy Azure Resource Manager (ARM) sablont egy Azure előfizetésben. | A partnernek társítania kell a partnerazonosítót a partner bérlőben lévő felhasználóval vagy szolgáltatási jogosulttal. További információt a PartnerID csatolása a delegált erőforrásokra gyakorolt hatás nyomon követéséhez című témakörben talál. |
| Címtár vagy vendégfelhasználó | A partner létrehoz egy új felhasználót vagy szolgáltatásnevet az ügyfélkönyvtárban, és hozzáférést biztosít a felhasználónak a CSP-előfizetéshez. A partner létrehoz egy új felhasználót vagy szolgáltatásnevet az ügyfélkönyvtárban. A partner hozzáadja a felhasználót egy csoporthoz, és hozzáférést biztosít a csoporthoz tartozó CSP-előfizetéshez. | A partnernek társítania kell a PartnerID-t az ügyféltárhelyen lévő felhasználóval vagy szolgáltatási szerepkörrel. További információért lásd: a PartnerID hozzárendelése az ügyfelek kezeléséhez használt fiókhoz. |
Ellenőrizze, hogy rendelkezik-e rendszergazdai hozzáféréssel
Rendszergazdai hozzáféréssel kell rendelkeznie az ügyfél szolgáltatásainak kezeléséhez és a megszerzett kreditek fogadásához. További információt a partner által megtermelt kreditekről a Partner által megtermelt kreditek témakörben talál.
Annak megállapításához, hogy rendelkezik-e rendszergazdai hozzáféréssel, kövesse az alábbi lépéseket:
- Tekintse át a napi használati fájlt: Tekintse át az egységárat és a tényleges egységárat a napi használati fájlban, és ellenőrizze, hogy alkalmaz-e kedvezményt. Ha kedvezményt kap, ön a rendszergazda.
Azure Monitor-riasztás létrehozása
Létrehozhat egy tevékenységnaplót Azure Monitor Alert, amely értesítést küld, ha az RBAC-hozzáférése el lett távolítva egy CSP-előfizetésből.
Azure Monitor-riasztás létrehozásához kövesse az alábbi lépéseket:
-
Válassza ki a riasztás által végrehajtandó művelet típusát.
Ha például megadja, hogy e-mailt szeretne küldeni, e-mailben értesítést kap arról, hogy a szerepkör-hozzárendelés törlése történik-e.
Képernyőkép egy riasztás konfigurálásáról az Azure Portalon.
AOBO-hozzáférés eltávolítása
Az ügyfelek az Azure Portal hozzáférés-vezérlésére kattintva kezelhetik az előfizetéseikhez való hozzáférést. A Szerepkör-hozzárendelések lapról kiválaszthatják a Hozzáférés eltávolítása lehetőséget.
Ha egy ügyfél eltávolítja a hozzáférést, az alábbiakat teheti:
Beszéljen az ügyféllel, és ellenőrizze, hogy visszaállítható-e a rendszergazdai hozzáférés.
Használja a szerepköralapú hozzáférés-vezérléssel (RBAC) biztosított hozzáférést.
Használja az Azure Lighthouse által biztosított hozzáférést.
A szerepköralapú hozzáférés eltér a rendszergazdai hozzáféréstől. A szerepkörök pontosan elhatárolják, hogy mit tehet és mit nem. A rendszergazdai hozzáférés szélesebb körű.
Azure-csomag felfüggesztése és újraaktiválása
A partnerek közvetlenül a Partnerközpontban felfüggeszthetik vagy újraaktiválhatják az Azure-csomagokat az Azure-csomag részleteinek oldaláról.
- A Partnerközpontban, az Ügyfelek területen válassza ki az ügyfélfiókot
- Navigálás az ügyfél Azure-előfizetéseihez
- Az Azure-csomag kiválasztása
- Válassza ki az állapotot: Felfüggesztve, majd nyomja meg a Küldés gombot az Azure-csomag felfüggesztéséhez.
- Válassza ki az Állapot: Aktív, majd Beküldés lehetőséget az Azure-csomag újraaktiválásához.
Egy meglévő Azure-csomagot csak akkor függeszthet fel, ha már nincs hozzá társítva aktív használati eszköz, beleértve az Azure-használati előfizetéseket és az Azure-foglalásokat.
A partnerek csak egy Azure-csomagot vásárolhatnak adott viszonteladónként és ügyfélkombinációnként. Ha egy viszonteladó ügyfele felfüggesztett csomaggal rendelkezik, az ügyfél nem vásárolhat új csomagot. Az Azure-csomaghoz nem áll rendelkezésre lemondási lehetőség.
Az Azure-csomagok API használatával való felfüggesztéséhez lásd: Előfizetés felfüggesztése – Partneralkalmazás-fejlesztő.
API-val történő Azure-csomag újraaktiválásához lásd: Felfüggesztett előfizetés újraaktiválása – Partneralkalmazás-fejlesztő.
Azure-előfizetés megszüntetése
Abban az esetben, ha az ügyfél Azure-csomag-előfizetései sérülnek, a partnerek lemondhatják az Azure-előfizetéseket a Partnerközpontból. A partnereknek globális rendszergazdai jogosultságokkal és rendszergazdai ügynöki szerepkörökkel kell rendelkezniük az Azure-előfizetések lemondásához. Megszakítás:
- Válassza ki az ügyfelet az ügyféllistából
- Navigálás az ügyfél Azure-előfizetéseihez
- Válassza ki azt az Azure-csomagot , amely alatt az előfizetés található
- Az Azure-csomag részletei lapon válassza ki a lemondani kívánt Azure-előfizetéseket
- Az előfizetés lemondása lehetőség kiválasztásával küldje el a módosításokat.
Ez a folyamat csak a kiválasztott Azure-előfizetéseket szünteti meg. Az Azure-előfizetéshez hozzáféréssel rendelkező ügyfelek újraaktiválhatják az előfizetést, ha az Azure-csomag még aktív. Az újraaktiválás leállításához a partnereknek le kell mondaniuk az összes Azure-előfizetést, majd magát az Azure-csomagot.
A partnerek több előfizetést is kijelölhetnek, de egyszerre legfeljebb 10 előfizetést mondhatnak le. A partnerek lemondhatják az Azure-csomagot, ha nincsenek aktív Azure-előfizetések alatta. Ez a folyamat lehetővé teszi a partnerek számára, hogy leállítsanak olyan Azure-csomagokat és előfizetéseket, amelyek veszélybe kerülhetnek, még akkor is, ha egy rossz szereplő eltávolította az RBAC-engedélyeiket.
A partnerek lemondhatják az Azure-előfizetéseket a Partnerközpont portálján vagy az API-val. Az API részleteiért lásd Azure-előfizetés lemondása, és a kipróbálásért lásd Azure-kiadások – Azure-jogosultság lemondása – REST API.
A részletes információkért az Azure-előfizetések lemondásának módjáról tekintse meg: Mi történik az előfizetés lemondása után?
Azure-előfizetés újraaktiválása
A partnerek újraaktiválhatják azokat az Azure-előfizetéseket, amelyeket ügyfélkompromittálódás miatt töröltek az Azure-csomag részleteinek lapjáról, az Inaktív Azure-előfizetések fülön. A partnereknek globális rendszergazdai jogosultságokkal és adminisztrátori ügynöki szerepkörökkel kell rendelkezniük az Azure-előfizetések újraaktiválásához. Újraaktiválás:
- Válassza ki az ügyfelet az ügyféllistából
- Navigálás az ügyfél Azure-előfizetéseihez
- Válassza ki azt az Azure-csomagot , amely alatt az előfizetés található
- Az Azure-csomag részleteinek lapján, az Azure-előfizetés szakaszában válassza az Inaktív lapot
- Válassza ki az újraaktiválandó Azure-előfizetést
- A módosítások elküldéséhez válassza a Előfizetés újraaktiválása opciót.
Csak a kiválasztott Azure-előfizetéseket aktiválja újra. A partnerek több előfizetést is kijelölhetnek, de egyszerre legfeljebb 10 előfizetést aktiválhatnak újra. A társított Azure-csomagnak aktívnak kell lennie az Azure-előfizetések újraaktiválásához. Egy Azure-csomag újraaktiválásához először nyissa meg az Azure-csomag részleteit tartalmazó lapot a Partnerközpontban. Ezután módosítsa a terv állapotát újra aktívra.
Az előfizetés újraaktiválásához lépjen kapcsolatba az ügyféllel vagy a számlázási tulajdonosával, aki lemondta azt az Azure Portalon. Be kell jelentkezniük, és végre kell hajtaniuk az újraaktiválási folyamatot.
API-val történő újraaktiválás esetén lásd: Azure-előfizetés újraaktiválása – Partneralkalmazás-fejlesztő. A kipróbáláshoz tekintse meg az Azure-kiadások - Egy Azure-jogosultság újraaktiválása című témakört.
Az Azure-előfizetések újraaktiválásáról további információt az Azure dokumentációjában találhat.