Adminisztrátori jogosultságok visszaállítása az ügyfél Azure CSP-előfizetéseihez
Megfelelő szerepkörök: globális rendszergazda | Rendszergazdai ügynök
A felhőszolgáltatói (CSP-) program partnereként ügyfelei gyakran bízzák Önre Azure-használatuk és rendszereik kezelését. A segítséghez rendszergazdai jogosultságokkal kell rendelkeznie. Ha még nem rendelkezik adminisztrátori jogosultságokkal, az ügyféllel együttműködve visszaállíthatja azokat.
Az Azure-hoz tartozó adminisztrátori jogosultságok a CSP-programban
Bizonyos rendszergazdai jogosultságok automatikusan meg lesznek adva, amikor viszonteladói kapcsolatot létesít egy ügyféllel. Másokat az ügyfélnek kell megadnia.
Az Azure kétszintű rendszergazdai jogosultságokkal rendelkezik a CSP-ben:
A bérlőszintű rendszergazdai jogosultságok (vagyis a delegált rendszergazdai jogosultságok) hozzáférést biztosítanak az ügyfelek bérlőihez. Ez a delegált hozzáférés lehetővé teszi a rendszergazdai feladatok elvégzését, például a felhasználók hozzáadását és kezelését, a jelszavak alaphelyzetbe állítását és a felhasználói licencek kezelését.
Bérlőszintű rendszergazdai jogosultságokat kap, amikor CSP-viszonteladói kapcsolatokat létesít az ügyfelekkel.
Az előfizetési szintű adminisztrátori jogosultságok teljes hozzáférést adnak az ügyfelek Azure CSP-előfizetéseihez. Ezzel a hozzáféréssel kiépítheti és kezelheti az ügyfél Azure-erőforrásait.
Előfizetési szintű rendszergazdai jogosultságokat kap, amikor Azure CSP-előfizetéseket hoz létre az ügyfelei számára.
CSP-rendszergazdai jogosultságok visszaállítása: a műveletek
Ön és az ügyfél mindegyike rendelkezik olyan műveletekkel, amelyeket végre kell hajtania a CSP-rendszergazdai jogosultságok visszaállításához. Ez a szakasz a végrehajtandó műveleteket ismerteti.
A CSP-rendszergazdai jogosultságok visszaállításához kövesse az alábbi lépéseket:
Jelentkezzen be a Partnerközpontba és válassza az Ügyfelek elemet.
Az Ügyféllistában válassza a Viszonteladói kapcsolat kérése lehetőséget.
A Delegált rendszergazdai jogosultságok jelölőnégyzete:
- Hagyja bejelölve a jelölőnégyzetet a delegált rendszergazdai jogosultságokkal való kapcsolat létrehozásához.
- Törölje a jelet a jelölőnégyzetből, ha delegált rendszergazdai jogosultságok nélkül szeretné létrehozni a kapcsolatot.
Tekintse át az e-mail-meghívó tervezetét.
- Válassza a Megnyitás e-mailben lehetőséget a meghívótervezet alapértelmezett levelezőalkalmazásban való megnyitásához.
- A Vágólapra másolás gombra kattintva másolja és illessze be a meghívót egy e-mailbe.
Fontos
Szerkesztheti a szöveget a piszkozat e-mailben, de mindenképpen adja meg a személyre szabott hivatkozást , mert az közvetlenül a fiókjához kapcsolja az ügyfelet.
Válassza a Kész lehetőséget.
Küldje el az e-mail-meghívót az ügyfélnek.
Feljegyzés
A kérés elfogadásához az ügyfél szervezetében lévő személynek az ügyfél bérlőjének globális rendszergazdájának kell lennie.
Az ügyfél kiválasztja az e-mailben kapott hivatkozást. A hivatkozás a Microsoft Felügyeleti központba viszi őket, ahol elfogadhatják a meghívást.
Miután az ügyfél elfogadja a meghívását, megjelenik a Partnerközpontban található Ügyfelek oldalon, ahonnan kiépítheti és kezelheti majd az ügyfélnek nyújtott szolgáltatást.
Miután az ügyfél a megadott hivatkozással jóváhagyta a viszonteladói kapcsolatra vonatkozó meghívást, csatlakozzon a partnerbérlelőhöz az
object ID
AdminAgents csoport lekéréséhez.Connect-AzAccount -Tenant "Partner tenant" # Get Object ID of AdminAgents group Get-AzADGroup -DisplayName AdminAgents
Győződjön meg arról, hogy az ügyfele rendelkezik a következőkkel:
- Tulajdonos vagy Felhasználói hozzáférés adminisztrátora szerepkör
- Engedélyek az előfizetés szintjén történő szerepkör-hozzárendelések létrehozásához
CSP-rendszergazdai jogosultságok visszaállítása: ügyfélműveletek
Ez a szakasz a CSP-rendszergazdai jogosultságok visszaállítására vonatkozó ügyfélműveleteket ismerteti.
A CSP-rendszergazdai jogosultságok visszaállításának befejezéséhez az ügyfél a PowerShell vagy az Azure CLI használatával hajtja végre az alábbi lépéseket:
Az ügyfél a PowerShell használatával frissíti a modult
Az.Resources
.Update-Module Az.Resources
Az ügyfél ahhoz a bérlőhöz csatlakozik, amelyben a CSP-előfizetés létezik.
Connect-AzAccount -TenantID "<Customer tenant>"
az login --tenant <Customer tenant>
Az ügyfél csatlakozik az előfizetéshez.
Ez a lépés csak akkor alkalmazható, ha a felhasználó szerepkör-hozzárendelési engedélyekkel rendelkezik a bérlő több előfizetéséhez.
Set-AzContext -SubscriptionID "<CSP Subscription ID>"
az account set --subscription <CSP Subscription ID>
Az ügyfél létrehozza a szerepkör-hozzárendelést.
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
Ahelyett, hogy tulajdonosi engedélyeket adnának az előfizetés szintjén, az erőforráscsoportban vagy az erőforrásszinten is megadhatóak:
Az erőforráscsoport szintjén
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
Erőforrásszinten
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
Az ügyfél lépéseinek hibaelhárítása
Ha az ügyfél nem tudja végrehajtani az előző lépéseket, javasolja a következő parancsot, és adja meg az eredményként kapott newRoleAssignment.log
fájlt a Microsoftnak további elemzés céljából:
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log
CSP-rendszergazdai jogosultságok visszaállítása: PowerShell-catchall eljárás
Ha az előző szakaszok lépései nem működnek, vagy ha a kísérlet során hibaüzenet jelenik meg, próbálkozzon a következő "catchall" eljárással az ügyfél rendszergazdai jogosultságainak visszaállításához:
Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"
Ha a "catchall" eljárás sikertelen Import-Module
, próbálkozzon a következő lépésekkel:
- Ha az importálás meghiúsul, mert a modul használatban van, indítsa újra a PowerShell-munkamenetet az összes ablak bezárásával és újbóli megnyitásával.
- Ellenőrizze a verziót
Az.Resources
a következővelGet-Module Az.Resources -ListAvailable
: .- Ha a 4.1.1-es verzió nem szerepel a rendelkezésre álló listában, akkor azt kell használnia
Update-Module Az.Resources -Force
.
- Ha a 4.1.1-es verzió nem szerepel a rendelkezésre álló listában, akkor azt kell használnia
- Ha egy hiba azt jelzi, hogy
Az.Accounts
egy adott verziónak kell lennie, frissítse a modult is, és cserélje leAz.Resources
a következőreAz.Accounts
: . Ezután újra kell indítania a PowerShell-munkamenetet.