Abonnementen en resources beheren onder het Azure-abonnement
Juiste rollen: Beheerdersagent
In dit artikel wordt uitgelegd hoe CSP-partners (Cloud Solution Provider) verschillende RBAC-opties (op rollen gebaseerd toegangsbeheer) kunnen gebruiken om operationeel beheer en beheer van de Azure-resources van een klant te krijgen.
Wanneer u een klant overdragt naar het Azure-plan, krijgt u standaard bevoegde beheerdersrechten in Azure: abonnementseigenaarrechten via Beheerder namens (AOBO).
Notitie
Beheerdersrechten voor het Azure-abonnement kunnen door de klant worden verwijderd op abonnementsniveau, resourcegroepniveau of workloadniveau.
Partners kunnen continu operationeel beheer en beheer van de Azure-resources van een klant in CSP krijgen met behulp van verschillende opties die beschikbaar zijn via de functie voor op rollen gebaseerd toegangsbeheer (RBAC).
Beheerder namens - Met AOBO heeft elke gebruiker met de rol Beheerderagent in de partnertenant RBAC-eigenaar toegang tot Azure-abonnementen die u maakt via het CSP-programma.
Azure Lighthouse: AOBO heeft niet de flexibiliteit om afzonderlijke groepen te maken die met verschillende klanten werken of om verschillende rollen in te schakelen voor groepen of gebruikers. Met Behulp van Azure Lighthouse kunt u echter verschillende groepen toewijzen aan verschillende klanten of rollen. Omdat gebruikers het juiste toegangsniveau hebben via gedelegeerd resourcebeheer van Azure, kunt u het aantal gebruikers met de rol Beheerderagent verminderen (en dus volledige toegang tot AOBO hebben). Dit helpt de beveiliging te verbeteren door onnodige toegang tot de resources van uw klanten te beperken. Het biedt je ook meer flexibiliteit om meerdere klanten op schaal te beheren. Zie Azure Lighthouse en het Cloud Solution Provider-programma voor meer informatie.
Directory- of gastgebruikers of service-principals: u kunt gedetailleerde toegang tot CSP-abonnementen delegeren door gebruikers toe te voegen in de klantdirectory of door gastgebruikers toe te voegen en specifieke RBAC-rollen toe te wijzen.
Als beveiligingspraktijk raadt Microsoft aan gebruikers de minimale machtigingen toe te wijzen die ze nodig hebben om hun werk te doen. Zie Microsoft Entra Privileged Identity Management-resources voor meer informatie.
Koppel uw PartnerID aan uw referenties om de Azure-resources van een klant te beheren
In de volgende tabel ziet u de methoden die worden gebruikt om uw PartnerID (voorheen MPN-id) te koppelen aan verschillende RBAC-toegangsopties.
Categorie | Scenario | PartnerID-koppeling |
---|---|---|
AOBO | CSP directe partner of indirecte provider maakt het abonnement voor de klant, waardoor de directe CSP-partner of indirecte provider de standaardeigenaar van het abonnement is met behulp van AOBO. CSP directe partner of indirecte provider geeft indirecte reseller toegang tot het abonnement met behulp van AOBO. | Automatisch (geen partnerwerk vereist) |
Azure Lighthouse | Partner maakt een nieuwe aanbieding voor beheerde services in Marketplace. De aanbieding wordt geaccepteerd voor het CSP-abonnement en de partner krijgt toegang tot het CSP-abonnement. | Automatisch (geen partnerwerk vereist) |
Azure Lighthouse | Partner implementeert een ARM-sjabloon (Azure Resource Manager) in een Azure-abonnement | De partner moet de PartnerID koppelen aan de gebruiker of service-principal in de partnertenant. Zie Uw Partner-id koppelen om uw impact op gedelegeerde resources bij te houden voor meer informatie. |
Directory- of gastgebruiker | Partner maakt een nieuwe gebruiker of service-principal in de klantdirectory en geeft toegang tot het CSP-abonnement aan de gebruiker. Partner maakt een nieuwe gebruiker of service-principal in de klantdirectory. Partner voegt de gebruiker toe aan een groep en geeft toegang tot het CSP-abonnement aan de groep. | Partner moet de PartnerID koppelen aan de gebruiker of service-principal in de tenant van de klant. Zie Een partner-id koppelen aan uw account dat wordt gebruikt voor het beheren van klanten voor meer informatie. |
Controleer of u beheerderstoegang hebt
U moet beheerderstoegang hebben om de services van uw klant te beheren en om verdiende tegoeden te ontvangen. Zie Partnertegoeden voor meer informatie over verdiende tegoeden.
Gebruik de volgende stappen om te bepalen of u beheerderstoegang hebt:
- Bekijk het dagelijkse gebruiksbestand: Controleer de eenheidsprijs en de effectieve eenheidsprijs in het dagelijkse gebruiksbestand en controleer of er korting wordt toegepast. Als u de korting ontvangt, bent u de beheerder.
Een Azure Monitor-waarschuwing maken
U kunt een Azure Monitor-waarschuwing voor activiteitenlogboeken maken om een melding te ontvangen als uw RBAC-toegang wordt verwijderd uit een CSP-abonnement.
Gebruik de volgende stappen om een Azure Monitor-waarschuwing te maken:
Selecteer het type actie dat u wilt uitvoeren voor de waarschuwing.
Als u bijvoorbeeld opgeeft dat u een e-mailbericht wilt ontvangen, ontvangt u een e-mailbericht met de melding dat een roltoewijzing wordt verwijderd.
AOBO verwijderen
Klanten kunnen de toegang tot hun abonnementen beheren door naar Toegangsbeheer te gaan in Azure Portal. Op het tabblad Roltoewijzingen kunnen ze Toegang verwijderen selecteren.
Als een klant uw toegang verwijdert, kunt u het volgende doen:
Neem contact op met uw klant om te zien of beheerderstoegang kan worden hersteld.
Gebruik de toegang die wordt geboden via op rollen gebaseerd toegangsbeheer (RBAC).
Gebruik de toegang die wordt geboden via Azure Lighthouse.
Op rollen gebaseerde toegang verschilt van beheerderstoegang. Rollen scheiden precies wat u wel en niet kunt doen. Beheerderstoegang is breder.
Een Azure-plan onderbreken en opnieuw activeren
Partners kunnen een Azure-plan rechtstreeks in partnercentrum onderbreken of opnieuw activeren vanaf de pagina met details van het Azure-plan.
- Selecteer in Partnercentrum in Klanten het klantaccount
- Ga naar de Azure-abonnementen van de klant
- Het Azure-plan selecteren
- Selecteer de status: onderbroken en dien vervolgens in om het Azure-plan te onderbreken.
- Selecteer de status: Actief en verzend vervolgens om het Azure-plan opnieuw te activeren.
U kunt een bestaand Azure-abonnement alleen onderbreken als er geen actieve gebruiksactiva meer aan zijn gekoppeld, waaronder Azure-gebruiksabonnementen en Azure-reserveringen.
Partners kunnen slechts één Azure-abonnement kopen per specifieke reseller en klantcombinatie. Als de klant van een wederverkoper een onderbroken abonnement heeft, kan die klant geen nieuw abonnement kopen. Annulering is niet beschikbaar voor een Azure-abonnement.
Zie Een abonnement onderbreken : partner-app-ontwikkelaar voor een azure-plan opschorten per API.
Zie Een onderbroken abonnement opnieuw activeren voor Azure-plannen per API: partner-app-ontwikkelaar.
Een Azure-abonnement annuleren
Als er inbreuk is gemaakt op de Azure-abonnementsabonnementen van de klant, kunnen partners Azure-abonnementen annuleren vanuit het Partnercentrum. Deze mogelijkheid is alleen beschikbaar voor beheerdersagentrollen. Dit doet u als volgt:
- Selecteer de klant in de lijst met klanten
- Ga naar de Azure-abonnementen van de klant
- Selecteer het Azure-abonnement waaronder het abonnement valt
- Selecteer op de pagina met details van het Azure-plan de Azure-abonnementen die u wilt annuleren
- Verzend de wijzigingen door Abonnement annuleren te selecteren
Hiermee worden alleen de geselecteerde Azure-abonnementen geannuleerd. Klanten met toegang tot het Azure-abonnement kunnen het abonnement opnieuw activeren als het Azure-abonnement nog steeds actief is. Om dit te voorkomen, moeten partners alle Azure-abonnementen en vervolgens het Azure-abonnement zelf annuleren.
Partners kunnen de abonnementen meerdere selecties uitvoeren, maar kunnen niet meer dan 10 abonnementen tegelijk annuleren. Partners kunnen het Azure-abonnement annuleren wanneer er geen actieve Azure-abonnementen zijn. Hierdoor kunnen partners Azure-abonnementen en -abonnementen afsluiten die mogelijk zijn aangetast, zelfs als een slechte actor de RBAC-machtigingen heeft verwijderd.
Partners kunnen Azure-abonnementen annuleren via de Partnercentrum-portal of per API. Zie Een Azure-abonnement opzeggen en om het uit te proberen. Zie Azure-uitgaven - An Azure-rechten annuleren - REST API voor meer informatie over de API.
Een Azure-abonnement opnieuw activeren
Partners kunnen Azure-abonnementen die zijn geannuleerd opnieuw activeren vanwege inbreuk op de detailspagina van hun Azure-abonnement op hun Azure-abonnement, met behulp van het tabblad Inactieve Azure-abonnementen. Deze mogelijkheid is alleen beschikbaar voor beheerdersagentrollen. Dit doet u als volgt:
- Selecteer de klant in de lijst met klanten
- Ga naar de Azure-abonnementen van de klant
- Selecteer het Azure-abonnement waaronder het abonnement valt
- Selecteer op de pagina Met details van Het Azure-abonnement, onder de sectie Azure-abonnement, het tabblad Inactief
- Selecteer het Azure-abonnement om opnieuw te activeren
- Verzend de wijzigingen door abonnement opnieuw activeren te selecteren
Hierdoor worden alleen de geselecteerde Azure-abonnementen opnieuw geactiveerd. Partners kunnen de abonnementen meerdere selecties uitvoeren, maar kunnen niet meer dan 10 abonnementen tegelijk opnieuw activeren. Het bijbehorende Azure-plan moet actief zijn om Azure-abonnementen opnieuw te activeren. Partners kunnen Azure-abonnementen rechtstreeks opnieuw activeren in het Partnercentrum door naar de pagina met details van het Azure-plan te gaan en de status van het Azure-plan weer bij te werken naar Actief.
Als het Azure-abonnement is geannuleerd door de klant of factureringseigenaar in Azure Portal, moet de klant of factureringseigenaar contact opnemen om het abonnement opnieuw te activeren vanuit de Azure-portal.
Zie Een Azure-abonnement opnieuw activeren- Partner-app-ontwikkelaar voor het opnieuw activeren per API. Als u het wilt uitproberen, raadpleegt u Azure-uitgaven: een Azure-recht opnieuw activeren.
Meer informatie over het opnieuw activeren van Azure-abonnementen vindt u in de Azure-documentatie.