次の方法で共有

顧客の Azure CSP サブスクリプションの管理者特権を復元する

  • [アーティクル]

対象のロール: グローバル管理者 | 管理エージェント

クラウド ソリューション プロバイダー (CSP) プログラム パートナーの顧客は、Azure の使用状況とシステムを代わりに CSP パートナーに管理してもらうことを望む場合がよくあります。 これらをサポートするには、管理者権限が必要です。 まだ管理者特権を持っていない場合は、顧客と協力してそれらを回復できます。

CSP プログラムでの Azure に対する管理者特権

一部の管理者特権は、顧客とのリセラー関係を確立すると自動的に付与されます。 その他のユーザーは、顧客から付与する必要があります。

CSP の Azure の管理者特権には、次の 2 つのレベルがあります。

  • テナント レベルの管理者特権 (つまり、 削除された管理者特権) を使用すると、顧客のテナントにアクセスできます。 この委任されたアクセスにより、ユーザーの追加と管理、パスワードのリセット、ユーザー ライセンスの管理などの管理機能を実行できます。

    顧客との CSP リセラー関係を確立すると、テナント レベルの管理者特権が付与されます。

  • サブスクリプション レベルの管理者特権があると、顧客の Azure CSP サブスクリプションに完全にアクセスできます。 このアクセスにより、顧客の Azure リソースのプロビジョニングと管理を行うことができます。

    顧客の Azure CSP サブスクリプションを作成するときに、サブスクリプション レベルの管理者特権を取得します。

CSP 管理者特権を復元する: アクション

お客様と顧客はそれぞれ、CSP 管理者特権を再開するために実行するアクションを持っています。 このセクションでは、実行するのアクションについて説明します。

CSP 管理者特権を復元するには、次の手順に従います。

  1. パートナー センターにサインインし、[顧客] を選択します。

  2. Customer リストで、Request a reseller relationship を選択します。

  3. [削除された管理者特権] チェック ボックスの場合:

    • このチェック ボックスをオンのままにして、委任された管理者特権関係を確立します。
    • このチェック ボックスをオフにすると、委任された管理者特権関係が確立されます。

    パートナー センターの [リレーションシップ要求の作成] ページのスクリーンショット。

  4. 下書きメールの招待を確認します。

    • [ 電子メールで開く を選択して、既定のメール アプリケーションで下書きの招待を開きます。
    • [クリップボード コピー] を選択 招待をコピーして電子メール メッセージに貼り付けます。

    重要

    下書きメール メッセージのテキストは編集できますが、 顧客をアカウントに直接リンクするため カスタマイズされたリンクを含めるようにしてください。

  5. 完了 を選択します。

  6. 招待メールを顧客に送信します。

    Note

    要求を受け入れることができるようにするには、顧客の組織内のユーザーが顧客のテナントの グローバル管理者 である必要があります。

    • 顧客は、メールで受信したリンクを選択します。 リンクをクリックすると、招待を承諾できる Microsoft 管理センター に移動します。
    • 顧客が招待を承諾すると、パートナー センターの [顧客] ページに顧客が表示され、そこから顧客のサービスのプロビジョニングと管理を行うことができるようになります。

  7. 顧客が提供されたリンクを使用してリセラー関係の招待を承認したら、パートナー テナントに接続して AdminAgents グループの object ID を取得します。

    Connect-AzAccount -Tenant "Partner tenant"
# Get Object ID of AdminAgents group
Get-AzADGroup -DisplayName AdminAgents

  8. 顧客に次のものがあることを確認します。

    • 所有者またはユーザー アクセス管理者のロール
    • サブスクリプション レベルでロールの割り当てを作成するためのアクセス許可

CSP 管理者特権を復元する: 顧客アクション

このセクションでは、CSP 管理者特権 復元するための アクションについて説明します。

CSP 管理者特権の再指定を完了するために、お客様は PowerShell または Azure CLI を使用して次の手順を実行します。

  1. お客様は PowerShell を使用して、 Az.Resources モジュールを更新します。

    Update-Module Az.Resources

  2. 顧客は、CSP サブスクリプションが存在するテナントに接続します。

    Connect-AzAccount -TenantID "<Customer tenant>"

    az login --tenant <Customer tenant>

  3. 顧客がサブスクリプションに接続します。

    この手順は、ユーザーがテナント内の複数のサブスクリプションに対するロールの割り当てアクセス許可を持っている場合適用されます。

    Set-AzContext -SubscriptionID "<CSP Subscription ID>"

    az account set --subscription <CSP Subscription ID>

  4. 顧客がロールの割り当てを作成します。

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"

    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"

サブスクリプション レベルで所有者のアクセス許可を付与する代わりに、リソース グループまたはリソース レベル付与できます。

  • リソース グループ レベルの場合

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"

    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"

  • リソース レベルの場合

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"

    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"

お客様の手順のトラブルシューティング

顧客が上記の手順を完了できない場合は、次のコマンドを提案し、結果の newRoleAssignment.log ファイルを Microsoft に提供して詳細な分析を行います。

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

CSP 管理者特権を復元する: PowerShell catchall プロシージャ

前のセクションの手順が機能しない場合、またはエラーが発生した場合は、次の "catchall" 手順を試して、顧客の管理者権限を復元してください。

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

Import-Moduleで "catchall" プロシージャが失敗した場合は、次の手順を試してください。

  • モジュールが使用中であることを理由にインポートが失敗した場合は、すべてのウィンドウを閉じてから再度開くことで PowerShell セッションを再起動します。
  • Get-Module Az.Resources -ListAvailableAz.Resources のバージョンを確認します。
    • バージョン 4.1.1 が使用可能な一覧にない場合は、 Update-Module Az.Resources -Forceを使用する必要があります。
  • Az.Accountsが特定のバージョンである必要があることを示すエラーが発生した場合は、そのモジュールも更新し、Az.ResourcesAz.Accountsに置き換えます。 その後、PowerShell セッションを再起動する必要があります。

間接リセラーが Azure サブスクリプションの代理管理者 (AOBO) 顧客特権を取得する方法

間接リセラーは、次の手順に従って、Azure サブスクリプションに対する AOBO 顧客特権を取得できます。

  1. エンド カスタマーとの関係を確立します。
  2. Azure サブスクリプションのエンド カスタマーに詳細な委任された管理者特権 (GDAP) を要求します。
  3. 独自の Azure portal で、自分のテナントの AdminAgent グループの オブジェクト ID を確認します (これを行う方法についてはパートナー獲得クレジットのトラブルシューティング ガイドを参照してください)。
  4. 間接プロバイダーが顧客と RBAC 所有者ロールに対する OBO 権限を持っている場合は、CSP 管理者特権を Reinstate に指定されたスクリプトを実行できます。顧客アクション 間接リセラーの管理エージェント オブジェクト ID に対する AOBO アクセス許可を付与します。 または、エンド カスタマーがサブスクリプションに対する所有権を持っている場合は、これを行うことができます。

関連するコンテンツ