Beheerdersbevoegdheden voor Azure CSP-abonnementen opnieuw instellen

Juiste rollen: globale beheerder | Beheerderagent

Als CSP-programmapartner (Cloud Solution Provider) vertrouwen uw klanten vaak op u om hun Azure-gebruik en hun systemen te beheren. U moet beheerdersrechten hebben om hen te helpen. Als u nog geen beheerdersbevoegdheden hebt, kunt u met uw klant samenwerken om ze opnieuw in gebruik te nemen.

Beheerdersbevoegdheden voor Azure in het CSP-programma

Sommige beheerdersbevoegdheden worden automatisch verleend wanneer u een resellerrelatie tot stand brengt met een klant. Anderen moeten aan u worden verleend door een klant.

Er zijn twee niveaus met beheerdersbevoegdheden voor Azure in CSP:

• Beheerdersbevoegdheden op tenantniveau (dat wil gezegd gedelegeerde beheerdersbevoegdheden) bieden u toegang tot de tenants van uw klanten. Met deze gedelegeerde toegang kunt u beheerfuncties uitvoeren, zoals het toevoegen en beheren van gebruikers, het opnieuw instellen van wachtwoorden en het beheren van gebruikerslicenties.

  U krijgt beheerdersbevoegdheden op tenantniveau wanneer u CSP-resellerrelaties tot stand brengt met klanten.

• Beheerdersbevoegdheden op abonnementsniveau bieden je volledige toegang tot de Azure CSP van je klanten. Met deze toegang kun je hun Azure-resources inrichten en beheren.

  U krijgt beheerdersbevoegdheden op abonnementsniveau bij het maken van Azure CSP-abonnementen voor uw klanten.

Uw CSP-beheerdersbevoegdheden opnieuw instellen: uw acties

U en uw klant hebben elk acties die moeten worden uitgevoerd om uw CSP-beheerdersbevoegdheden opnieuw in te voeren. In deze sectie worden de acties beschreven die u moet uitvoeren.

Voer de volgende stappen uit om uw CSP-beheerdersbevoegdheden opnieuw in te voeren:

1. Meld u aan bij Partner Center en selecteer Klanten.

2. Selecteer een resellerrelatie aanvragen in de lijst met klanten.

3. Schakel voor het selectievakje Gedelegeerde beheerdersbevoegdheden het volgende in:

   • Laat het selectievakje ingeschakeld om de relatie met gedelegeerde beheerdersbevoegdheden tot stand te brengen.
   • Schakel het selectievakje uit om de relatie tot stand te brengen zonder gedelegeerde beheerdersbevoegdheden.

   

4. Bekijk de concept-e-mailuitnodiging.

   • Selecteer Openen in e-mail om de conceptuitnodiging te openen in uw standaard-e-mailtoepassing.
   • Selecteer Kopiëren naar klembord om de uitnodiging te kopiëren en in een e-mailbericht te plakken.

   Belangrijk

   U kunt de tekst in het concept-e-mailbericht bewerken, maar zorg ervoor dat u de persoonlijke koppeling opneemt, omdat deze de klant rechtstreeks aan uw account koppelt.

5. Selecteer Gereed.

6. Verzend de e-mailuitnodiging naar uw klant.

   Notitie

   Als u de aanvraag wilt kunnen accepteren, moet de persoon in de organisatie van uw klant een globale beheerder van de tenant van uw klant zijn.

   • Uw klant selecteert de koppeling die ze in het e-mailbericht hebben ontvangen. Via de koppeling gaan ze naar het Microsoft-beheercentrum waar ze uw uitnodiging kunnen accepteren.
   • Nadat de klant uw uitnodiging heeft geaccepteerd, wordt deze weergegeven op de pagina Klanten in Partnercentrum en kunt u de service voor de klant daar inrichten en beheren.

7. Nadat uw klant de uitnodiging voor de resellerrelatie heeft goedgekeurd met behulp van de opgegeven koppeling, maakt u verbinding met de partnertenant om de object ID groep AdminAgents op te halen.

   Connect-AzAccount -Tenant "Partner tenant"
   # Get Object ID of AdminAgents group
   Get-AzADGroup -DisplayName AdminAgents
   

8. Zorg ervoor dat uw klant over volgende beschikt:

   • De rol van eigenaar of beheerder van gebruikerstoegang
   • Machtigingen voor het maken van roltoewijzingen op abonnementsniveau

Uw CSP-beheerdersbevoegdheden opnieuw instellen: Klantacties

In deze sectie worden de acties van de klant beschreven om uw CSP-beheerdersbevoegdheden opnieuw in te voeren.

Om het opnieuw instellen van uw CSP-beheerdersbevoegdheden te voltooien, gebruikt uw klant PowerShell of de Azure CLI om de volgende stappen uit te voeren:

1. Uw klant gebruikt PowerShell om de Az.Resources module bij te werken.

   Update-Module Az.Resources
   

2. Uw klant maakt verbinding met de tenant waarin het CSP-abonnement bestaat.

   Connect-AzAccount -TenantID "<Customer tenant>"
   

   az login --tenant <Customer tenant>
   

3. Uw klant maakt verbinding met het abonnement.

   Deze stap is alleen van toepassing als de gebruiker machtigingen voor roltoewijzing heeft voor meerdere abonnementen in de tenant.

   Set-AzContext -SubscriptionID "<CSP Subscription ID>"
   

   az account set --subscription <CSP Subscription ID>
   

4. Uw klant maakt de roltoewijzing.

   New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
   

   az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
   

In plaats van eigenaarsmachtigingen te verlenen op abonnementsniveau, kunnen ze worden verleend op het niveau van de resourcegroep of op resourceniveau:

• Op het niveau van de resourcegroep

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
  

• Op resourceniveau

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
  

Problemen met de stappen van de klant oplossen

Als uw klant de voorgaande stappen niet kan voltooien, stelt u de volgende opdracht voor en geeft u het resulterende newRoleAssignment.log bestand aan Microsoft op voor verdere analyse:

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

Uw CSP-beheerdersbevoegdheden opnieuw instellen: PowerShell catchall-procedure

Als de stappen in de voorgaande secties niet werken of als u fouten krijgt bij het uitvoeren ervan, voert u de volgende 'catchall'-procedure uit om beheerdersrechten voor uw klant opnieuw in te stellen:

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

Als de 'catchall'-procedure mislukt Import-Module, voert u de volgende stappen uit:

• Als het importeren mislukt omdat de module wordt gebruikt, start u de PowerShell-sessie opnieuw door alle vensters te sluiten en opnieuw te openen.
• Controleer de versie van Az.Resources met Get-Module Az.Resources -ListAvailable.
  • Als versie 4.1.1 niet in de lijst met beschikbare bestanden staat, moet u deze gebruiken Update-Module Az.Resources -Force.
• Als een fout aangeeft dat dit Az.Accounts een specifieke versie moet zijn, moet u die module ook bijwerken en vervangen door Az.Resources Az.Accounts. Vervolgens moet u de PowerShell-sessie opnieuw starten.

Hoe een indirecte reseller namens (AOBO) klantbevoegdheden voor Azure-abonnementen kan krijgen

Een indirecte reseller kan deze stappen volgen om AOBO-klantbevoegdheden voor Azure-abonnementen te verkrijgen:

1. Een relatie tot stand brengen met de eindklant.
2. Vraag gedetailleerde gedelegeerde beheerdersbevoegdheden (GDAP) aan met de eindklant voor Azure-abonnementen.
3. Controleer in hun eigen Azure-portal de object-id van de groep AdminAgent voor uw eigen tenant (zie de gids voor het oplossen van problemen met verdiende tegoed van partner) voor meer informatie hierover.
4. Als de indirecte provider OBO-rechten heeft voor de rollen van de klant en RBAC-eigenaar, kunnen ze het script uitvoeren dat is opgegeven in Herstatus van uw CSP-beheerdersbevoegdheden: klantacties om AOBO-machtigingen te verlenen aan de object-id van de beheerder van de indirecte reseller. De eindgebruiker kan dit ook doen als hij eigendomsrechten op het abonnement heeft.

Gerelateerde inhoud

• Abonnementen en resources beheren onder het Azure-abonnement