Beheerdersbevoegdheden voor Azure CSP-abonnementen opnieuw instellen

Juiste rollen: globale beheerder | Beheer agent

Als CSP-programmapartner (Cloud Solution Provider) vertrouwen uw klanten vaak op u om hun Azure-gebruik en hun systemen te beheren. U moet beheerdersbevoegdheden hebben om ze te helpen. Als u nog geen beheerdersbevoegdheden hebt, kunt u met uw klant samenwerken om ze opnieuw in gebruik te nemen.

Beheerdersbevoegdheden voor Azure in het CSP-programma

Sommige beheerdersbevoegdheden worden automatisch verleend wanneer u een resellerrelatie met een klant tot stand brengt. Anderen moeten aan u worden verleend door een klant.

Er zijn twee niveaus van beheerdersbevoegdheden voor Azure in CSP:

• Beheerdersbevoegdheden op tenantniveau (gedelegeerde beheerdersbevoegdheden) geven u toegang tot de tenants van uw klanten. Met deze gedelegeerde toegang kunt u beheerfuncties uitvoeren, zoals het toevoegen en beheren van gebruikers, het opnieuw instellen van wachtwoorden en het beheren van gebruikerslicenties.

  U krijgt beheerdersbevoegdheden op tenantniveau wanneer u CSP-resellerrelaties met klanten tot stand brengt.

• Beheerdersbevoegdheden op abonnementsniveau bieden je volledige toegang tot de Azure CSP van je klanten. Met deze toegang kun je hun Azure-resources inrichten en beheren.

  U krijgt beheerdersbevoegdheden op abonnementsniveau bij het maken van Azure CSP-abonnementen voor uw klanten.

Uw CSP-beheerdersbevoegdheden opnieuw instellen: uw acties

U en uw klant moeten elk acties uitvoeren om uw CSP-beheerdersbevoegdheden te herstellen. In deze sectie worden de acties beschreven die u moet uitvoeren.

Voer de volgende stappen uit om uw CSP-beheerdersbevoegdheden te herstellen:

1. Meld u aan bij partnercentrum en selecteer Klanten.

2. Selecteer in de lijst Met klantende optie Een resellerrelatie aanvragen.

3. Voor het selectievakje Gedelegeerde Beheer bevoegdheden:

   • Laat het selectievakje ingeschakeld om de relatie met gedelegeerde beheerdersbevoegdheden tot stand te brengen.
   • Schakel het selectievakje uit om de relatie tot stand te brengen zonder gedelegeerde beheerdersbevoegdheden.

   

4. Bekijk de concept-e-mailuitnodiging.

   • Selecteer Openen in e-mail om de conceptuitnodiging te openen in uw standaard-e-mailtoepassing.
   • Selecteer Kopiëren naar klembord om de uitnodiging te kopiëren en in een e-mailbericht te plakken.

   Belangrijk

   U kunt de tekst in het concept-e-mailbericht bewerken, maar zorg ervoor dat u de persoonlijke koppeling opneemt , omdat deze de klant rechtstreeks aan uw account koppelt.

5. Selecteer Gereed.

6. Verzend de e-mailuitnodiging naar uw klant.

   Notitie

   Als u de aanvraag wilt accepteren, moet de persoon in de organisatie van uw klant een globale beheerder van de tenant van uw klant zijn.

   • Uw klant selecteert de koppeling die hij in het e-mailbericht heeft ontvangen. Via de koppeling gaan ze naar Microsoft Beheer Center, waar ze uw uitnodiging kunnen accepteren.

   • Nadat de klant uw uitnodiging heeft geaccepteerd, wordt deze weergegeven op de pagina Klanten in Partnercentrum en kunt u de service voor de klant daar inrichten en beheren.

7. Nadat uw klant de uitnodiging voor de resellerrelatie heeft goedgekeurd met behulp van de opgegeven koppeling, maakt u verbinding met de partnertenant om de van de object ID groep AdminAgents op te halen.

   Connect-AzAccount -Tenant "Partner tenant"
   # Get Object ID of AdminAgents group
   Get-AzADGroup -DisplayName AdminAgents
   

8. Zorg ervoor dat uw klant het volgende heeft:

   • De rol van eigenaar of beheerder van gebruikerstoegang
   • Machtigingen voor het maken van roltoewijzingen op abonnementsniveau

Uw CSP-beheerdersbevoegdheden opnieuw instellen: klantacties

In deze sectie worden de acties van de klant beschreven om uw CSP-beheerdersbevoegdheden opnieuw in te stellen.

Om het opnieuw instellen van uw CSP-beheerdersbevoegdheden te voltooien, gebruikt uw klant PowerShell of de Azure CLI om de volgende stappen uit te voeren:

1. Uw klant gebruikt PowerShell om de Az.Resources module bij te werken.

   Update-Module Az.Resources
   

2. Uw klant maakt verbinding met de tenant waarin het CSP-abonnement bestaat.

   Connect-AzAccount -TenantID "<Customer tenant>"
   

   az login --tenant <Customer tenant>
   

3. Uw klant maakt verbinding met het abonnement.

   Deze stap is alleen van toepassing als de gebruiker roltoewijzingsmachtigingen heeft voor meerdere abonnementen in de tenant.

   Set-AzContext -SubscriptionID "<CSP Subscription ID>"
   

   az account set --subscription <CSP Subscription ID>
   

4. Uw klant maakt de roltoewijzing.

   New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
   

   az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
   

In plaats van eigenaarsmachtigingen te verlenen op abonnementsniveau , kunnen ze worden verleend op resourcegroep of resourceniveau :

• Op het niveau van de resourcegroep

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
  

• Op resourceniveau

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
  

Problemen met de stappen van de klant oplossen

Als uw klant de voorgaande stappen niet kan voltooien, stelt u de volgende opdracht voor en verstrekt u het resulterende newRoleAssignment.log bestand aan Microsoft voor verdere analyse:

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

Uw CSP-beheerdersbevoegdheden opnieuw instellen: Algemene procedure voor PowerShell

Als de stappen in de voorgaande secties niet werken of als u fouten krijgt wanneer u deze probeert, probeert u de volgende 'catchall'-procedure om beheerdersrechten voor uw klant te herstellen:

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

Als de algemene procedure mislukt bij Import-Module, voert u de volgende stappen uit:

• Als het importeren mislukt omdat de module in gebruik is, start u de PowerShell-sessie opnieuw door alle vensters te sluiten en opnieuw te openen.
• Controleer de versie van Az.Resources met Get-Module Az.Resources -ListAvailable.
  • Als versie 4.1.1 niet in de lijst met beschikbare versies voorkomt, moet u gebruiken Update-Module Az.Resources -Force.
• Als een fout aangeeft dat een Az.Accounts specifieke versie moet zijn, werkt u ook die module bij en vervangt u door Az.ResourcesAz.Accounts. Vervolgens moet u de PowerShell-sessie opnieuw starten.

Volgende stappen

• Abonnementen en resources beheren onder het Azure-abonnement