Adminisztrátori jogosultságok visszaállítása az ügyfél Azure CSP-előfizetéseihez

Megfelelő szerepkörök: globális rendszergazda | Rendszergazdai ügynök

A felhőszolgáltatói (CSP-) program partnereként ügyfelei gyakran bízzák Önre Azure-használatuk és rendszereik kezelését. A segítséghez rendszergazdai jogosultságokkal kell rendelkeznie. Ha még nem rendelkezik adminisztrátori jogosultságokkal, az ügyféllel együttműködve visszaállíthatja azokat.

Az Azure-hoz tartozó adminisztrátori jogosultságok a CSP-programban

Bizonyos rendszergazdai jogosultságok automatikusan meg lesznek adva, amikor viszonteladói kapcsolatot létesít egy ügyféllel. Másokat az ügyfélnek kell megadnia.

Az Azure kétszintű rendszergazdai jogosultságokkal rendelkezik a CSP-ben:

• A bérlőszintű rendszergazdai jogosultságok (vagyis a delegált rendszergazdai jogosultságok) hozzáférést biztosítanak az ügyfelek bérlőihez. Ez a delegált hozzáférés lehetővé teszi a rendszergazdai feladatok elvégzését, például a felhasználók hozzáadását és kezelését, a jelszavak alaphelyzetbe állítását és a felhasználói licencek kezelését.

  Bérlőszintű rendszergazdai jogosultságokat kap, amikor CSP-viszonteladói kapcsolatokat létesít az ügyfelekkel.

• Az előfizetési szintű adminisztrátori jogosultságok teljes hozzáférést adnak az ügyfelek Azure CSP-előfizetéseihez. Ezzel a hozzáféréssel kiépítheti és kezelheti az ügyfél Azure-erőforrásait.

  Előfizetési szintű rendszergazdai jogosultságokat kap, amikor Azure CSP-előfizetéseket hoz létre az ügyfelei számára.

CSP-rendszergazdai jogosultságok visszaállítása: a műveletek

Ön és az ügyfél mindegyike rendelkezik olyan műveletekkel, amelyeket végre kell hajtania a CSP-rendszergazdai jogosultságok visszaállításához. Ez a szakasz a végrehajtandó műveleteket ismerteti.

A CSP-rendszergazdai jogosultságok visszaállításához kövesse az alábbi lépéseket:

1. Jelentkezzen be a Partnerközpontba és válassza az Ügyfelek elemet.

2. Az Ügyféllistában válassza a Viszonteladói kapcsolat kérése lehetőséget.

3. A Delegált rendszergazdai jogosultságok jelölőnégyzete:

   • Hagyja bejelölve a jelölőnégyzetet a delegált rendszergazdai jogosultságokkal való kapcsolat létrehozásához.
   • Törölje a jelet a jelölőnégyzetből, ha delegált rendszergazdai jogosultságok nélkül szeretné létrehozni a kapcsolatot.

   

4. Tekintse át az e-mail-meghívó tervezetét.

   • Válassza a Megnyitás e-mailben lehetőséget a meghívótervezet alapértelmezett levelezőalkalmazásban való megnyitásához.
   • A Vágólapra másolás gombra kattintva másolja és illessze be a meghívót egy e-mailbe.

   Fontos

   Szerkesztheti a szöveget a piszkozat e-mailben, de mindenképpen adja meg a személyre szabott hivatkozást , mert az közvetlenül a fiókjához kapcsolja az ügyfelet.

5. Válassza a Kész lehetőséget.

6. Küldje el az e-mail-meghívót az ügyfélnek.

   Feljegyzés

   A kérés elfogadásához az ügyfél szervezetében lévő személynek az ügyfél bérlőjének globális rendszergazdájának kell lennie.

   • Az ügyfél kiválasztja az e-mailben kapott hivatkozást. A hivatkozás a Microsoft Felügyeleti központba viszi őket, ahol elfogadhatják a meghívást.

   • Miután az ügyfél elfogadja a meghívását, megjelenik a Partnerközpontban található Ügyfelek oldalon, ahonnan kiépítheti és kezelheti majd az ügyfélnek nyújtott szolgáltatást.

7. Miután az ügyfél a megadott hivatkozással jóváhagyta a viszonteladói kapcsolatra vonatkozó meghívást, csatlakozzon a partnerbérlelőhöz az object ID AdminAgents csoport lekéréséhez.

   Connect-AzAccount -Tenant "Partner tenant"
   # Get Object ID of AdminAgents group
   Get-AzADGroup -DisplayName AdminAgents
   

8. Győződjön meg arról, hogy az ügyfele rendelkezik a következőkkel:

   • Tulajdonos vagy Felhasználói hozzáférés adminisztrátora szerepkör
   • Engedélyek az előfizetés szintjén történő szerepkör-hozzárendelések létrehozásához

CSP-rendszergazdai jogosultságok visszaállítása: ügyfélműveletek

Ez a szakasz a CSP-rendszergazdai jogosultságok visszaállítására vonatkozó ügyfélműveleteket ismerteti.

A CSP-rendszergazdai jogosultságok visszaállításának befejezéséhez az ügyfél a PowerShell vagy az Azure CLI használatával hajtja végre az alábbi lépéseket:

1. Az ügyfél a PowerShell használatával frissíti a modult Az.Resources .

   Update-Module Az.Resources
   

2. Az ügyfél ahhoz a bérlőhöz csatlakozik, amelyben a CSP-előfizetés létezik.

   Connect-AzAccount -TenantID "<Customer tenant>"
   

   az login --tenant <Customer tenant>
   

3. Az ügyfél csatlakozik az előfizetéshez.

   Ez a lépés csak akkor alkalmazható, ha a felhasználó szerepkör-hozzárendelési engedélyekkel rendelkezik a bérlő több előfizetéséhez.

   Set-AzContext -SubscriptionID "<CSP Subscription ID>"
   

   az account set --subscription <CSP Subscription ID>
   

4. Az ügyfél létrehozza a szerepkör-hozzárendelést.

   New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
   

   az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
   

Ahelyett, hogy tulajdonosi engedélyeket adnának az előfizetés szintjén, az erőforráscsoportban vagy az erőforrásszinten is megadhatóak:

• Az erőforráscsoport szintjén

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
  

• Erőforrásszinten

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
  

Az ügyfél lépéseinek hibaelhárítása

Ha az ügyfél nem tudja végrehajtani az előző lépéseket, javasolja a következő parancsot, és adja meg az eredményként kapott newRoleAssignment.log fájlt a Microsoftnak további elemzés céljából:

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

CSP-rendszergazdai jogosultságok visszaállítása: PowerShell-catchall eljárás

Ha az előző szakaszok lépései nem működnek, vagy ha a kísérlet során hibaüzenet jelenik meg, próbálkozzon a következő "catchall" eljárással az ügyfél rendszergazdai jogosultságainak visszaállításához:

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

Ha a "catchall" eljárás sikertelen Import-Module, próbálkozzon a következő lépésekkel:

• Ha az importálás meghiúsul, mert a modul használatban van, indítsa újra a PowerShell-munkamenetet az összes ablak bezárásával és újbóli megnyitásával.
• Ellenőrizze a verziót Az.Resources a következővel Get-Module Az.Resources -ListAvailable: .
  • Ha a 4.1.1-es verzió nem szerepel a rendelkezésre álló listában, akkor azt kell használnia Update-Module Az.Resources -Force.
• Ha egy hiba azt jelzi, hogy Az.Accounts egy adott verziónak kell lennie, frissítse a modult is, és cserélje le Az.Resources a következőre Az.Accounts: . Ezután újra kell indítania a PowerShell-munkamenetet.

Kapcsolódó tartalom

• Az Azure-csomagban foglalt előfizetések és erőforrások kezelése