Beheerdersbevoegdheden voor Azure CSP-abonnementen opnieuw instellen
Juiste rollen: globale beheerder | Beheer agent
Als CSP-programmapartner (Cloud Solution Provider) vertrouwen uw klanten vaak op u om hun Azure-gebruik en hun systemen te beheren. U moet beheerdersbevoegdheden hebben om ze te helpen. Als u nog geen beheerdersbevoegdheden hebt, kunt u met uw klant samenwerken om ze opnieuw in gebruik te nemen.
Beheerdersbevoegdheden voor Azure in het CSP-programma
Sommige beheerdersbevoegdheden worden automatisch verleend wanneer u een resellerrelatie met een klant tot stand brengt. Anderen moeten aan u worden verleend door een klant.
Er zijn twee niveaus van beheerdersbevoegdheden voor Azure in CSP:
Beheerdersbevoegdheden op tenantniveau (gedelegeerde beheerdersbevoegdheden) geven u toegang tot de tenants van uw klanten. Met deze gedelegeerde toegang kunt u beheerfuncties uitvoeren, zoals het toevoegen en beheren van gebruikers, het opnieuw instellen van wachtwoorden en het beheren van gebruikerslicenties.
U krijgt beheerdersbevoegdheden op tenantniveau wanneer u CSP-resellerrelaties met klanten tot stand brengt.
Beheerdersbevoegdheden op abonnementsniveau bieden je volledige toegang tot de Azure CSP van je klanten. Met deze toegang kun je hun Azure-resources inrichten en beheren.
U krijgt beheerdersbevoegdheden op abonnementsniveau bij het maken van Azure CSP-abonnementen voor uw klanten.
Uw CSP-beheerdersbevoegdheden opnieuw instellen: uw acties
U en uw klant moeten elk acties uitvoeren om uw CSP-beheerdersbevoegdheden te herstellen. In deze sectie worden de acties beschreven die u moet uitvoeren.
Voer de volgende stappen uit om uw CSP-beheerdersbevoegdheden te herstellen:
Meld u aan bij partnercentrum en selecteer Klanten.
Selecteer in de lijst Met klantende optie Een resellerrelatie aanvragen.
Voor het selectievakje Gedelegeerde Beheer bevoegdheden:
- Laat het selectievakje ingeschakeld om de relatie met gedelegeerde beheerdersbevoegdheden tot stand te brengen.
- Schakel het selectievakje uit om de relatie tot stand te brengen zonder gedelegeerde beheerdersbevoegdheden.
Bekijk de concept-e-mailuitnodiging.
- Selecteer Openen in e-mail om de conceptuitnodiging te openen in uw standaard-e-mailtoepassing.
- Selecteer Kopiƫren naar klembord om de uitnodiging te kopiƫren en in een e-mailbericht te plakken.
Belangrijk
U kunt de tekst in het concept-e-mailbericht bewerken, maar zorg ervoor dat u de persoonlijke koppeling opneemt , omdat deze de klant rechtstreeks aan uw account koppelt.
Selecteer Gereed.
Verzend de e-mailuitnodiging naar uw klant.
Notitie
Als u de aanvraag wilt accepteren, moet de persoon in de organisatie van uw klant een globale beheerder van de tenant van uw klant zijn.
Uw klant selecteert de koppeling die hij in het e-mailbericht heeft ontvangen. Via de koppeling gaan ze naar Microsoft Beheer Center, waar ze uw uitnodiging kunnen accepteren.
Nadat de klant uw uitnodiging heeft geaccepteerd, wordt deze weergegeven op de pagina Klanten in Partnercentrum en kunt u de service voor de klant daar inrichten en beheren.
Nadat uw klant de uitnodiging voor de resellerrelatie heeft goedgekeurd met behulp van de opgegeven koppeling, maakt u verbinding met de partnertenant om de van de
object ID
groep AdminAgents op te halen.Connect-AzAccount -Tenant "Partner tenant" # Get Object ID of AdminAgents group Get-AzADGroup -DisplayName AdminAgents
Zorg ervoor dat uw klant het volgende heeft:
- De rol van eigenaar of beheerder van gebruikerstoegang
- Machtigingen voor het maken van roltoewijzingen op abonnementsniveau
Uw CSP-beheerdersbevoegdheden opnieuw instellen: klantacties
In deze sectie worden de acties van de klant beschreven om uw CSP-beheerdersbevoegdheden opnieuw in te stellen.
Om het opnieuw instellen van uw CSP-beheerdersbevoegdheden te voltooien, gebruikt uw klant PowerShell of de Azure CLI om de volgende stappen uit te voeren:
Uw klant gebruikt PowerShell om de
Az.Resources
module bij te werken.Update-Module Az.Resources
Uw klant maakt verbinding met de tenant waarin het CSP-abonnement bestaat.
Connect-AzAccount -TenantID "<Customer tenant>"
az login --tenant <Customer tenant>
Uw klant maakt verbinding met het abonnement.
Deze stap is alleen van toepassing als de gebruiker roltoewijzingsmachtigingen heeft voor meerdere abonnementen in de tenant.
Set-AzContext -SubscriptionID "<CSP Subscription ID>"
az account set --subscription <CSP Subscription ID>
Uw klant maakt de roltoewijzing.
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
In plaats van eigenaarsmachtigingen te verlenen op abonnementsniveau , kunnen ze worden verleend op resourcegroep of resourceniveau :
Op het niveau van de resourcegroep
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
Op resourceniveau
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
Problemen met de stappen van de klant oplossen
Als uw klant de voorgaande stappen niet kan voltooien, stelt u de volgende opdracht voor en verstrekt u het resulterende newRoleAssignment.log
bestand aan Microsoft voor verdere analyse:
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log
Uw CSP-beheerdersbevoegdheden opnieuw instellen: Algemene procedure voor PowerShell
Als de stappen in de voorgaande secties niet werken of als u fouten krijgt wanneer u deze probeert, probeert u de volgende 'catchall'-procedure om beheerdersrechten voor uw klant te herstellen:
Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"
Als de algemene procedure mislukt bij Import-Module
, voert u de volgende stappen uit:
- Als het importeren mislukt omdat de module in gebruik is, start u de PowerShell-sessie opnieuw door alle vensters te sluiten en opnieuw te openen.
- Controleer de versie van
Az.Resources
metGet-Module Az.Resources -ListAvailable
.- Als versie 4.1.1 niet in de lijst met beschikbare versies voorkomt, moet u gebruiken
Update-Module Az.Resources -Force
.
- Als versie 4.1.1 niet in de lijst met beschikbare versies voorkomt, moet u gebruiken
- Als een fout aangeeft dat een
Az.Accounts
specifieke versie moet zijn, werkt u ook die module bij en vervangt u doorAz.Resources
Az.Accounts
. Vervolgens moet u de PowerShell-sessie opnieuw starten.
Volgende stappen
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor