Mengembalikan hak istimewa admin untuk langganan Azure CSP pelanggan

Peran yang sesuai: Admin global | Agen admin

Sebagai mitra program Penyedia Solusi Cloud (CSP), pelanggan akan kerap mengandalkan Anda untuk mengelola penggunaan Azure dan sistem mereka. Anda harus memiliki hak istimewa admin untuk membantu mereka. Jika belum memiliki hak istimewa admin, Anda dapat bekerja sama dengan pelanggan untuk memulihkannya.

Hak istimewa admin untuk Azure di program CSP

Beberapa hak istimewa admin diberikan secara otomatis saat Anda membuat hubungan penjual dengan pelanggan. Orang lain harus diberikan kepada Anda oleh pelanggan.

Ada dua tingkat hak istimewa admin untuk Azure di CSP:

• Hak istimewa admin tingkat penyewa (yaitu, hak istimewa admin yang didelegasikan) memberi Anda akses ke penyewa pelanggan Anda. Akses yang didelegasikan ini memungkinkan Anda melakukan fungsi administratif, seperti menambahkan dan mengelola pengguna, mengatur ulang kata sandi, dan mengelola lisensi pengguna.

  Anda mendapatkan hak istimewa admin tingkat penyewa saat membuat hubungan reseller CSP dengan pelanggan.

• Hak istimewa admin tingkat langganan memberi Anda akses penuh ke langganan Azure CSP pelanggan Anda. Akses ini memungkinkan Anda untuk memprovisikan dan mengelola sumber daya Azure mereka.

  Anda mendapatkan hak istimewa admin tingkat langganan saat membuat langganan Azure CSP untuk pelanggan Anda.

Mengembalikan hak istimewa admin CSP Anda: tindakan Anda

Anda dan pelanggan Anda masing-masing memiliki tindakan yang harus dilakukan untuk mengembalikan hak istimewa admin CSP Anda. Bagian ini menjelaskan tindakan yang harus Anda lakukan.

Untuk memulihkan hak istimewa admin CSP Anda, gunakan langkah-langkah berikut:

1. Masuk ke Pusat Mitra dan pilih Pelanggan.

2. Pada Daftar Pelanggan, pilih Minta hubungan penjual.

3. Untuk kotak centang Hak Istimewa Admin yang Didelegasikan :

   • Biarkan kotak centang dipilih untuk membuat hubungan dengan hak istimewa administrator yang didelegasikan.
   • Kosongkan kotak centang untuk membuat hubungan tanpa hak istimewa administrator yang didelegasikan.

   

4. Tinjau draf undangan email.

   • Pilih Buka di email untuk membuka draf undangan di aplikasi email default Anda.
   • Pilih Salin ke clipboard untuk menyalin dan menempelkan undangan ke dalam pesan email.

   Penting

   Anda dapat mengedit teks dalam pesan email draf, tetapi pastikan untuk menyertakan tautan yang dipersonalisasi karena menautkan pelanggan langsung ke akun Anda.

5. Pilih Selesai.

6. Kirim undangan email ke pelanggan Anda.

   Catatan

   Agar dapat menerima permintaan, orang di organisasi pelanggan Anda harus menjadi admin Global penyewa pelanggan Anda.

   • Pelanggan Anda memilih tautan yang mereka terima dalam email. Tautan membawanya ke Pusat Admin Microsoft tempat mereka dapat menerima undangan Anda.

   • Setelah pelanggan menerima undangan Anda, mereka akan muncul di halaman Pelanggan Anda di Pusat Mitra, dan Anda akan dapat menyediakan serta mengelola layanan untuk pelanggan dari sana.

7. Setelah pelanggan Anda menyetujui undangan hubungan penjual menggunakan tautan yang disediakan, sambungkan ke penyewa mitra untuk mendapatkan object ID grup AdminAgents.

   Connect-AzAccount -Tenant "Partner tenant"
   # Get Object ID of AdminAgents group
   Get-AzADGroup -DisplayName AdminAgents
   

8. Pastikan pelanggan Anda memiliki:

   • Peran pemilik ataupun administrator akses pengguna
   • Izin membuat penetapan peran di tingkat langganan

Mengembalikan hak istimewa admin CSP Anda: tindakan pelanggan

Bagian ini menjelaskan tindakan pelanggan untuk mengembalikan hak istimewa admin CSP Anda.

Untuk menyelesaikan mengembalikan hak istimewa admin CSP Anda, pelanggan Anda menggunakan PowerShell atau Azure CLI untuk melakukan langkah-langkah berikut:

1. Pelanggan Anda menggunakan PowerShell untuk memperbarui Az.Resources modul.

   Update-Module Az.Resources
   

2. Pelanggan Anda terhubung ke penyewa tempat langganan CSP berada.

   Connect-AzAccount -TenantID "<Customer tenant>"
   

   az login --tenant <Customer tenant>
   

3. Pelanggan Anda tersambung ke langganan.

   Langkah ini hanya berlaku jika pengguna memiliki izin penetapan peran atas beberapa langganan di penyewa.

   Set-AzContext -SubscriptionID "<CSP Subscription ID>"
   

   az account set --subscription <CSP Subscription ID>
   

4. Pelanggan Anda membuat penetapan peran.

   New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
   

   az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
   

Alih-alih memberikan izin pemilik di tingkat langganan , mereka dapat diberikan di grup sumber daya atau tingkat sumber daya :

• Di tingkat grup sumber daya

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
  

• Di tingkat sumber daya

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
  

Pemecahan masalah langkah-langkah pelanggan

Jika pelanggan Anda tidak dapat menyelesaikan langkah-langkah sebelumnya, sarankan perintah berikut dan berikan file yang newRoleAssignment.log dihasilkan ke Microsoft untuk analisis lebih lanjut:

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

Kembalikan hak istimewa admin CSP Anda: Prosedur catchall PowerShell

Jika langkah-langkah di bagian sebelumnya tidak berfungsi, atau jika Anda mendapatkan kesalahan saat mencobanya, cobalah prosedur "catchall" berikut untuk mengembalikan hak admin bagi pelanggan Anda:

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

Jika prosedur "catchall" gagal di Import-Module, coba langkah-langkah berikut:

• Jika impor gagal karena modul sedang digunakan, mulai ulang sesi PowerShell dengan menutup dan membuka kembali semua jendela.
• Periksa versi Az.Resources dengan Get-Module Az.Resources -ListAvailable.
  • Jika versi 4.1.1 tidak ada dalam daftar yang tersedia, Anda harus menggunakan Update-Module Az.Resources -Force.
• Jika kesalahan menyatakan bahwa Az.Accounts harus versi tertentu, perbarui modul tersebut juga, ganti Az.Resources dengan Az.Accounts. Anda kemudian harus memulai ulang sesi PowerShell.

Konten terkait

• Kelola langganan dan sumber daya yang tercakup dalam paket Azure