Mengembalikan hak istimewa admin untuk langganan Azure CSP pelanggan
Peran yang sesuai: Admin global | Agen admin
Sebagai mitra program Penyedia Solusi Cloud (CSP), pelanggan akan kerap mengandalkan Anda untuk mengelola penggunaan Azure dan sistem mereka. Anda harus memiliki hak istimewa admin untuk membantu mereka. Jika belum memiliki hak istimewa admin, Anda dapat bekerja sama dengan pelanggan untuk memulihkannya.
Hak istimewa admin untuk Azure di program CSP
Beberapa hak istimewa admin diberikan secara otomatis saat Anda membuat hubungan penjual dengan pelanggan. Orang lain harus diberikan kepada Anda oleh pelanggan.
Ada dua tingkat hak istimewa admin untuk Azure di CSP:
Hak istimewa admin tingkat penyewa (yaitu, hak istimewa admin yang didelegasikan) memberi Anda akses ke penyewa pelanggan Anda. Akses yang didelegasikan ini memungkinkan Anda melakukan fungsi administratif, seperti menambahkan dan mengelola pengguna, mengatur ulang kata sandi, dan mengelola lisensi pengguna.
Anda mendapatkan hak istimewa admin tingkat penyewa saat membuat hubungan reseller CSP dengan pelanggan.
Hak istimewa admin tingkat langganan memberi Anda akses penuh ke langganan Azure CSP pelanggan Anda. Akses ini memungkinkan Anda untuk memprovisikan dan mengelola sumber daya Azure mereka.
Anda mendapatkan hak istimewa admin tingkat langganan saat membuat langganan Azure CSP untuk pelanggan Anda.
Mengembalikan hak istimewa admin CSP Anda: tindakan Anda
Anda dan pelanggan Anda masing-masing memiliki tindakan yang harus dilakukan untuk mengembalikan hak istimewa admin CSP Anda. Bagian ini menjelaskan tindakan yang harus Anda lakukan.
Untuk memulihkan hak istimewa admin CSP Anda, gunakan langkah-langkah berikut:
Masuk ke Pusat Mitra dan pilih Pelanggan.
Pada Daftar Pelanggan, pilih Minta hubungan penjual.
Untuk kotak centang Hak Istimewa Admin yang Didelegasikan :
- Biarkan kotak centang dipilih untuk membuat hubungan dengan hak istimewa administrator yang didelegasikan.
- Kosongkan kotak centang untuk membuat hubungan tanpa hak istimewa administrator yang didelegasikan.
Tinjau draf undangan email.
- Pilih Buka di email untuk membuka draf undangan di aplikasi email default Anda.
- Pilih Salin ke clipboard untuk menyalin dan menempelkan undangan ke dalam pesan email.
Penting
Anda dapat mengedit teks dalam pesan email draf, tetapi pastikan untuk menyertakan tautan yang dipersonalisasi karena menautkan pelanggan langsung ke akun Anda.
Pilih Selesai.
Kirim undangan email ke pelanggan Anda.
Catatan
Agar dapat menerima permintaan, orang di organisasi pelanggan Anda harus menjadi admin Global penyewa pelanggan Anda.
Pelanggan Anda memilih tautan yang mereka terima dalam email. Tautan membawanya ke Pusat Admin Microsoft tempat mereka dapat menerima undangan Anda.
Setelah pelanggan menerima undangan Anda, mereka akan muncul di halaman Pelanggan Anda di Pusat Mitra, dan Anda akan dapat menyediakan serta mengelola layanan untuk pelanggan dari sana.
Setelah pelanggan Anda menyetujui undangan hubungan penjual menggunakan tautan yang disediakan, sambungkan ke penyewa mitra untuk mendapatkan
object ID
grup AdminAgents.Connect-AzAccount -Tenant "Partner tenant" # Get Object ID of AdminAgents group Get-AzADGroup -DisplayName AdminAgents
Pastikan pelanggan Anda memiliki:
- Peran pemilik ataupun administrator akses pengguna
- Izin membuat penetapan peran di tingkat langganan
Mengembalikan hak istimewa admin CSP Anda: tindakan pelanggan
Bagian ini menjelaskan tindakan pelanggan untuk mengembalikan hak istimewa admin CSP Anda.
Untuk menyelesaikan mengembalikan hak istimewa admin CSP Anda, pelanggan Anda menggunakan PowerShell atau Azure CLI untuk melakukan langkah-langkah berikut:
Pelanggan Anda menggunakan PowerShell untuk memperbarui
Az.Resources
modul.Update-Module Az.Resources
Pelanggan Anda terhubung ke penyewa tempat langganan CSP berada.
Connect-AzAccount -TenantID "<Customer tenant>"
az login --tenant <Customer tenant>
Pelanggan Anda tersambung ke langganan.
Langkah ini hanya berlaku jika pengguna memiliki izin penetapan peran atas beberapa langganan di penyewa.
Set-AzContext -SubscriptionID "<CSP Subscription ID>"
az account set --subscription <CSP Subscription ID>
Pelanggan Anda membuat penetapan peran.
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
Alih-alih memberikan izin pemilik di tingkat langganan , mereka dapat diberikan di grup sumber daya atau tingkat sumber daya :
Di tingkat grup sumber daya
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
Di tingkat sumber daya
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
Pemecahan masalah langkah-langkah pelanggan
Jika pelanggan Anda tidak dapat menyelesaikan langkah-langkah sebelumnya, sarankan perintah berikut dan berikan file yang newRoleAssignment.log
dihasilkan ke Microsoft untuk analisis lebih lanjut:
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log
Kembalikan hak istimewa admin CSP Anda: Prosedur catchall PowerShell
Jika langkah-langkah di bagian sebelumnya tidak berfungsi, atau jika Anda mendapatkan kesalahan saat mencobanya, cobalah prosedur "catchall" berikut untuk mengembalikan hak admin bagi pelanggan Anda:
Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"
Jika prosedur "catchall" gagal di Import-Module
, coba langkah-langkah berikut:
- Jika impor gagal karena modul sedang digunakan, mulai ulang sesi PowerShell dengan menutup dan membuka kembali semua jendela.
- Periksa versi
Az.Resources
denganGet-Module Az.Resources -ListAvailable
.- Jika versi 4.1.1 tidak ada dalam daftar yang tersedia, Anda harus menggunakan
Update-Module Az.Resources -Force
.
- Jika versi 4.1.1 tidak ada dalam daftar yang tersedia, Anda harus menggunakan
- Jika kesalahan menyatakan bahwa
Az.Accounts
harus versi tertentu, perbarui modul tersebut juga, gantiAz.Resources
denganAz.Accounts
. Anda kemudian harus memulai ulang sesi PowerShell.