Beheerdersbevoegdheden voor Azure CSP-abonnementen opnieuw instellen

Juiste rollen: globale beheerder | Beheerderagent

Als CSP-programmapartner (Cloud Solution Provider) vertrouwen uw klanten vaak op u om hun Azure-gebruik en hun systemen te beheren. U moet beheerdersrechten hebben om hen te helpen. Als u nog geen beheerdersbevoegdheden hebt, kunt u met uw klant samenwerken om ze opnieuw in gebruik te nemen.

Beheerdersbevoegdheden voor Azure in het CSP-programma

Sommige beheerdersbevoegdheden worden automatisch verleend wanneer u een resellerrelatie tot stand brengt met een klant. Anderen moeten aan u worden verleend door een klant.

Er zijn twee niveaus met beheerdersbevoegdheden voor Azure in CSP:

• Beheerdersbevoegdheden op tenantniveau (dat wil gezegd gedelegeerde beheerdersbevoegdheden) bieden u toegang tot de tenants van uw klanten. Met deze gedelegeerde toegang kunt u beheerfuncties uitvoeren, zoals het toevoegen en beheren van gebruikers, het opnieuw instellen van wachtwoorden en het beheren van gebruikerslicenties.

  U krijgt beheerdersbevoegdheden op tenantniveau wanneer u CSP-resellerrelaties tot stand brengt met klanten.

• Beheerdersbevoegdheden op abonnementsniveau bieden je volledige toegang tot de Azure CSP van je klanten. Met deze toegang kun je hun Azure-resources inrichten en beheren.

  U krijgt beheerdersbevoegdheden op abonnementsniveau bij het maken van Azure CSP-abonnementen voor uw klanten.

Uw CSP-beheerdersbevoegdheden opnieuw instellen: uw acties

U en uw klant hebben elk acties die moeten worden uitgevoerd om uw CSP-beheerdersbevoegdheden opnieuw in te voeren. In deze sectie worden de acties beschreven die u moet uitvoeren.

Voer de volgende stappen uit om uw CSP-beheerdersbevoegdheden opnieuw in te voeren:

1. Meld u aan bij Partner Center en selecteer Klanten.

2. Selecteer een resellerrelatie aanvragen in de lijst met klanten.

3. Schakel voor het selectievakje Gedelegeerde beheerdersbevoegdheden het volgende in:

   • Laat het selectievakje ingeschakeld om de relatie met gedelegeerde beheerdersbevoegdheden tot stand te brengen.
   • Schakel het selectievakje uit om de relatie tot stand te brengen zonder gedelegeerde beheerdersbevoegdheden.

   

4. Bekijk de concept-e-mailuitnodiging.

   • Selecteer Openen in e-mail om de conceptuitnodiging te openen in uw standaard-e-mailtoepassing.
   • Selecteer Kopiëren naar klembord om de uitnodiging te kopiëren en in een e-mailbericht te plakken.

   Belangrijk

   U kunt de tekst in het concept-e-mailbericht bewerken, maar zorg ervoor dat u de persoonlijke koppeling opneemt, omdat deze de klant rechtstreeks aan uw account koppelt.

5. Selecteer Gereed.

6. Verzend de e-mailuitnodiging naar uw klant.

   Notitie

   Als u de aanvraag wilt kunnen accepteren, moet de persoon in de organisatie van uw klant een globale beheerder van de tenant van uw klant zijn.

   • Uw klant selecteert de koppeling die ze in het e-mailbericht hebben ontvangen. Via de koppeling gaan ze naar het Microsoft-beheercentrum waar ze uw uitnodiging kunnen accepteren.

   • Nadat de klant uw uitnodiging heeft geaccepteerd, wordt deze weergegeven op de pagina Klanten in Partnercentrum en kunt u de service voor de klant daar inrichten en beheren.

7. Nadat uw klant de uitnodiging voor de resellerrelatie heeft goedgekeurd met behulp van de opgegeven koppeling, maakt u verbinding met de partnertenant om de object ID groep AdminAgents op te halen.

   Connect-AzAccount -Tenant "Partner tenant"
   # Get Object ID of AdminAgents group
   Get-AzADGroup -DisplayName AdminAgents
   

8. Zorg ervoor dat uw klant over volgende beschikt:

   • De rol van eigenaar of beheerder van gebruikerstoegang
   • Machtigingen voor het maken van roltoewijzingen op abonnementsniveau

Uw CSP-beheerdersbevoegdheden opnieuw instellen: klantacties

In deze sectie worden de acties van de klant beschreven om uw CSP-beheerdersbevoegdheden opnieuw in te voeren.

Om het opnieuw instellen van uw CSP-beheerdersbevoegdheden te voltooien, gebruikt uw klant PowerShell of de Azure CLI om de volgende stappen uit te voeren:

1. Uw klant gebruikt PowerShell om de Az.Resources module bij te werken.

   Update-Module Az.Resources
   

2. Uw klant maakt verbinding met de tenant waarin het CSP-abonnement bestaat.

   Connect-AzAccount -TenantID "<Customer tenant>"
   

   az login --tenant <Customer tenant>
   

3. Uw klant maakt verbinding met het abonnement.

   Deze stap is alleen van toepassing als de gebruiker machtigingen voor roltoewijzing heeft voor meerdere abonnementen in de tenant.

   Set-AzContext -SubscriptionID "<CSP Subscription ID>"
   

   az account set --subscription <CSP Subscription ID>
   

4. Uw klant maakt de roltoewijzing.

   New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
   

   az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
   

In plaats van eigenaarsmachtigingen te verlenen op abonnementsniveau, kunnen ze worden verleend op het niveau van de resourcegroep of op resourceniveau:

• Op het niveau van de resourcegroep

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
  

• Op resourceniveau

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
  

Problemen met de stappen van de klant oplossen

Als uw klant de voorgaande stappen niet kan voltooien, stelt u de volgende opdracht voor en geeft u het resulterende newRoleAssignment.log bestand aan Microsoft op voor verdere analyse:

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

Uw CSP-beheerdersbevoegdheden opnieuw instellen: PowerShell catchall-procedure

Als de stappen in de voorgaande secties niet werken of als u fouten krijgt bij het uitvoeren ervan, voert u de volgende 'catchall'-procedure uit om beheerdersrechten voor uw klant opnieuw in te stellen:

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

Als de 'catchall'-procedure mislukt Import-Module, voert u de volgende stappen uit:

• Als het importeren mislukt omdat de module wordt gebruikt, start u de PowerShell-sessie opnieuw door alle vensters te sluiten en opnieuw te openen.
• Controleer de versie van Az.Resources met Get-Module Az.Resources -ListAvailable.
  • Als versie 4.1.1 niet in de lijst met beschikbare bestanden staat, moet u deze gebruiken Update-Module Az.Resources -Force.
• Als een fout aangeeft dat dit Az.Accounts een specifieke versie moet zijn, moet u die module ook bijwerken en vervangen door Az.Resources Az.Accounts. Vervolgens moet u de PowerShell-sessie opnieuw starten.

Gerelateerde inhoud

• Abonnementen en resources beheren onder het Azure-abonnement