Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Juiste rollen: Beheerdersagent
In dit artikel wordt uitgelegd hoe CSP-partners (Cloud Solution Provider) verschillende RBAC-opties (op rollen gebaseerd toegangsbeheer) kunnen gebruiken om operationeel beheer en beheer van de Azure-resources van een klant te krijgen.
Wanneer u een klant overdragt naar het Azure-plan, krijgt u standaard bevoegde beheerdersrechten in Azure: abonnementseigenaarrechten via Beheerder namens (AOBO).
Notitie
Klanten kunnen beheerdersrechten verwijderen op elk van deze niveaus: abonnement, resourcegroep en workload.
Als u de Azure-resources van een klant in CSP wilt beheren, kunnen partners op rollen gebaseerd toegangsbeheer (RBAC) gebruiken. Met deze functie kunt u operationele controle behouden en doorlopend toezicht houden op beheertaken.
Beheerder namens - Met AOBO heeft elke gebruiker met de rol van beheerder-agent in de partnertenant eigenaarsrechten binnen RBAC tot Azure-abonnementen die u aanmaakt via het CSP-programma.
Azure Lighthouse: AOBO heeft niet de flexibiliteit om afzonderlijke groepen te maken die met verschillende klanten werken of om verschillende rollen in te schakelen voor groepen of gebruikers. Met Behulp van Azure Lighthouse kunt u echter verschillende groepen toewijzen aan verschillende klanten of rollen. Omdat gebruikers het juiste toegangsniveau hebben via gedelegeerd resourcebeheer van Azure, kunt u het aantal gebruikers met de rol Beheerderagent verminderen (en dus volledige toegang tot AOBO hebben). Dit helpt de beveiliging te verbeteren door onnodige toegang tot de resources van uw klanten te beperken. Het biedt je ook meer flexibiliteit om meerdere klanten op schaal te beheren. Voor meer informatie, zie Azure Lighthouse en het Cloud Solution Provider-programma.
Directory- of gastgebruikers of service-principals: u kunt specifieke toegang tot CSP-abonnementen delegeren door gebruikers toe te voegen in de klantdirectory of gastgebruikers toe te voegen en specifieke RBAC-rollen toe te wijzen.
Als beveiligingspraktijk raadt Microsoft aan gebruikers de minimale machtigingen toe te wijzen die ze nodig hebben om hun werk te doen. Voor meer informatie, zie Microsoft Entra Privileged Identity Management-resources.
Koppel uw PartnerID aan uw referenties om de Azure-resources van een klant te beheren
In de volgende tabel ziet u de methoden die worden gebruikt om uw PartnerID (voorheen MPN-id) te koppelen aan verschillende RBAC-toegangsopties.
| Categorie | Scenario | PartnerID-koppeling |
|---|---|---|
| AOBO | CSP directe partner of indirecte provider maakt het abonnement voor de klant, waardoor de directe CSP-partner of indirecte provider de standaardeigenaar van het abonnement is met behulp van AOBO. CSP direct partner of indirect provider geeft indirecte reseller toegang tot het abonnement met behulp van AOBO. | Automatisch (geen werk met een partner vereist) |
| Azure Lighthouse | Partner maakt een nieuw Managed Service-aanbod in de Marketplace. De aanbieding wordt geaccepteerd voor het CSP-abonnement en de partner krijgt toegang tot het CSP-abonnement. | Automatisch (geen werk met een partner vereist) |
| Azure Lighthouse | Partner implementeert een Azure Resource Manager (ARM) sjabloon in een Azure-abonnement | De partner moet de PartnerID koppelen aan de gebruiker of service-principal in de partnertenant. Zie Uw PartnerID koppelen om uw invloed op gedelegeerde resources bij te houden voor meer informatie. |
| Directory- of gastgebruiker | Partner maakt een nieuwe gebruiker of service-principal in de klantdirectory en geeft toegang tot het CSP-abonnement aan de gebruiker. Partner maakt een nieuwe gebruiker of service-principal in de klantdirectory. Partner voegt de gebruiker toe aan een groep en geeft toegang tot het CSP-abonnement aan de groep. | Partner moet de PartnerID koppelen aan de gebruiker of service-principal in de tenant van de klant. Voor meer informatie, zie Een partner-id koppelen aan uw account die wordt gebruikt voor het beheren van klanten. |
Controleer of u beheerderstoegang hebt
U moet beheerderstoegang hebben om de services van uw klant te beheren en om verdiende tegoeden te ontvangen. Zie Partnertegoeden voor meer informatie over verdiende tegoeden.
Gebruik de volgende stappen om te bepalen of u beheerderstoegang hebt:
- Bekijk het dagelijkse gebruiksbestand: Controleer de eenheidsprijs en de effectieve eenheidsprijs in het dagelijkse gebruiksbestand en controleer of er korting wordt toegepast. Als u de korting ontvangt, bent u de beheerder.
Een Azure Monitor-waarschuwing maken
U kunt een activiteitlogboek-Azure Monitor-waarschuwing maken om een melding te ontvangen als uw RBAC-toegang wordt verwijderd uit een CSP-abonnement.
Gebruik de volgende stappen om een Azure Monitor-waarschuwing te maken:
Maak een waarschuwing.
Selecteer het type actie dat u wilt uitvoeren voor de waarschuwing.
Als u bijvoorbeeld opgeeft dat u een e-mailbericht wilt ontvangen, ontvangt u een e-mailbericht met de melding dat er een roltoewijzing wordt verwijderd.
Schermopname in de Azure-portal voor het instellen van een waarschuwing.
Schermopname in de Azure-portal voor het instellen van een waarschuwing.AOBO-toegang verwijderen
Klanten kunnen de toegang tot hun abonnementen beheren door naar Toegangsbeheer te gaan in de Azure-portal. Op het tabblad Roltoewijzingen kunnen ze Toegang verwijderen selecteren.
Als een klant uw toegang verwijdert, kunt u het volgende doen:
Neem contact op met uw klant om te zien of beheerderstoegang kan worden hersteld.
Gebruik de toegang die is verkregen via rolgebaseerde toegangscontrole (RBAC).
Gebruik de toegang die wordt geboden via Azure Lighthouse.
Op rollen gebaseerde toegang verschilt van beheerderstoegang. Rollen scheiden precies wat u wel en niet kunt doen. Beheerderstoegang is breder.
Een Azure-plan onderbreken en opnieuw activeren
Partners kunnen een Azure-abonnement rechtstreeks in partnercentrum onderbreken of opnieuw activeren vanaf de pagina met details van het Azure-plan.
- In Partner Center, selecteer in Klanten het klantaccount
- Ga naar de Azure-abonnementen van de klant
- Het Azure-plan selecteren
- Selecteer de status: geschorst en klik vervolgens op Indienen om het Azure-plan te schorsen.
- Selecteer de status: Actief en verzend vervolgensom het Azure-plan opnieuw te activeren.
U kunt een bestaand Azure-abonnement alleen onderbreken als er geen actieve gebruiksactiva meer aan zijn gekoppeld, waaronder Azure-gebruiksabonnementen en Azure-reserveringen.
Partners kunnen slechts één Azure-abonnement kopen per specifieke reseller en klantcombinatie. Als de klant van een wederverkoper een onderbroken abonnement heeft, kan die klant geen nieuw abonnement kopen. Annulering is niet beschikbaar voor een Azure-abonnement.
Voor het onderbreken van een Azure-abonnement per API, zie Een abonnement onderbreken - partner-app-ontwikkelaar.
Zie Reactiveren van een geschorst abonnement voor Azure-plan via API - Partner-app-ontwikkelaar.
Een Azure-abonnement annuleren
Als er inbreuk is gemaakt op de Azure-abonnementsabonnementen van de klant, kunnen partners Azure-abonnementen annuleren vanuit het Partnercentrum. Partners moeten globale beheerdersbevoegdheden en beheerdersagentrollen hebben om Azure-abonnementen te annuleren. Annuleren:
- Selecteer de klant uit de lijst met klanten
- Ga naar de Azure-abonnementen van de klant
- Selecteer het Azure-abonnement waaronder het abonnement valt
- Selecteer op de pagina met details van het Azure-plan de Azure-abonnementen die u wilt annuleren
- Verzend de wijzigingen door Abonnement annuleren te selecteren.
Met dit proces worden alleen de geselecteerde Azure-abonnementen geannuleerd. Klanten met toegang tot het Azure-abonnement kunnen het abonnement opnieuw activeren als het Azure-abonnement nog steeds actief is. Als u de heractivering wilt stoppen, moeten partners alle Azure-abonnementen en vervolgens het Azure-abonnement zelf annuleren.
Partners kunnen meerdere abonnementen selecteren maar kunnen niet meer dan 10 abonnementen tegelijk annuleren. Partners kunnen het Azure-abonnement annuleren wanneer er geen actieve Azure-abonnementen zijn. Met dit proces kunnen partners Azure-abonnementen en -abonnementen afsluiten die mogelijk worden aangetast, zelfs als een slechte actor de RBAC-machtigingen heeft verwijderd.
Partners kunnen Azure-abonnementen annuleren via de Partnercentrum-portal of per API. Zie Een Azure-abonnement opzeggen voor API-details en om het uit te proberen, zie Azure-uitgaven - Een Azure-rechten annuleren - REST API.
Zie voor meer informatie over het annuleren van Azure-abonnementen Wat gebeurt er na het opzeggen van een abonnement?
Een Azure-abonnement opnieuw activeren
Partners kunnen Azure-abonnementen die zijn geannuleerd vanwege een beveiligingsinbreuk van de klant opnieuw activeren via de pagina met Azure-abonnementdetails, met behulp van het tabblad Inactieve Azure-abonnementen. Partners moeten over globale beheerdersbevoegdheden en rollen als beheeragent beschikken om Azure-abonnementen opnieuw te activeren. Opnieuw activeren:
- Selecteer de klant uit de lijst met klanten
- Ga naar de Azure-abonnementen van de klant
- Selecteer het Azure-abonnement waaronder het abonnement valt
- Selecteer op de pagina met details van het Azure-plan, onder de sectie Azure-abonnement, het tabblad Inactief
- Selecteer het Azure-abonnement om opnieuw te activeren
- Verzend de wijzigingen door abonnement opnieuw activeren te selecteren
Alleen de geselecteerde Azure-abonnementen worden opnieuw geactiveerd. Partners kunnen meerdere abonnementen selecteren, maar niet meer dan 10 abonnementen tegelijk opnieuw activeren. Het bijbehorende Azure-plan moet actief zijn om Azure-abonnementen opnieuw te activeren. Als u een Azure-plan opnieuw wilt activeren, gaat u eerst naar de detailpagina van het Azure-plan in partnercentrum. Wijzig vervolgens de status van het plan weer in actief.
Als u het abonnement opnieuw wilt activeren, neemt u contact op met de klant of factureringseigenaar die het abonnement heeft geannuleerd in Azure Portal. Ze moeten zich aanmelden en het heractiveringsproces voltooien.
Voor heractiveren via de API, zie Een Azure-abonnement opnieuw activeren - Partner-app-ontwikkelaar. Zie Azure-uitgaven - een Azure-entitlement opnieuw activeren om het uit te proberen.
Meer informatie over het opnieuw activeren van Azure-abonnementen vindt u in de Azure-documentatie.