Łączenie identyfikatora partnera z kontem używanym do zarządzania klientami

Partnerzy firmy Microsoft oferują usługi, które pomagają klientom osiągać cele biznesowe i ogólne przy użyciu produktów firmy Microsoft. Gdy partner działa w imieniu klienta w celu zarządzania, konfigurowania i obsługi usług platformy Azure, użytkownicy partnerów będą potrzebować dostępu do środowiska klienta. Gdy partnerzy używają partnera Administracja Link (PAL), mogą skojarzyć swój identyfikator sieci partnera z poświadczeniami używanymi do dostarczania usług.

Link administratora partnera pozwala firmie Microsoft identyfikować i rozpoznawać partnerów, którzy prowadzą do sukcesu klientów platformy Azure. Firma Microsoft może przypisywać wpływ na platformę Azure i korzystać z przychodów z platformy Azure w oparciu o uprawnienia konta (rola platformy Azure) i zakres (subskrypcja, grupa zasobów, zasób). Jeśli grupa ma dostęp RBAC platformy Azure, zostanie rozpoznana dla wszystkich użytkowników w grupie.

Uzyskanie dostępu od klienta

Przed połączeniem identyfikatora partnera klient musi zapewnić dostęp do swoich zasobów platformy Azure, korzystając z jednego z następujących rozwiązań:

  • Użytkownik-gość: Klient może dodać Cię jako użytkownika-gościa i przypisać dowolne role platformy Azure. Aby uzyskać więcej informacji, zobacz temat Add guest users from another directory (Dodawanie użytkowników-gości z innego katalogu).

  • Konto katalogu: Klient może utworzyć konto użytkownika we własnym katalogu i przypisać dowolną rolę platformy Azure.

  • Jednostka usługi: Klient może dodać aplikację lub skrypt z organizacji w katalogu i przypisać dowolną rolę platformy Azure. Tożsamość aplikacji lub skryptu jest znana jako nazwa główna usługi.

  • Azure Lighthouse: Klient może delegować subskrypcję (lub grupę zasobów), aby użytkownicy mogli nad nią pracować z poziomu dzierżawy. Aby uzyskać więcej informacji, zobacz Azure Lighthouse.

Jeśli masz dostęp do zasobów klienta, użyj witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure, aby połączyć identyfikator partnera z identyfikatorem użytkownika lub jednostką usługi. Połącz identyfikator partnera w każdej dzierżawie klienta.

  1. Przejdź do sekcji Łączenie z identyfikatorem partnera w witrynie Azure Portal.

  2. Zaloguj się w witrynie Azure Portal.

  3. Wprowadź identyfikator partnera firmy Microsoft. Identyfikator partnera to identyfikator programu Microsoft Cloud Partner Program dla twojej organizacji. Pamiętaj, aby użyć identyfikatora skojarzonego partnera wyświetlanego w profilu partnera.

    Zrzut ekranu przedstawiający link do identyfikatora partnera.

  4. Aby połączyć identyfikator partnera innego klienta, przełącz katalog. W obszarze Przełącz katalog wybierz swój katalog.

    Zrzut ekranu przedstawiający katalog Przełącz.

  1. Zainstaluj moduł Az.ManagementPartner programu PowerShell.

  2. Zaloguj się do dzierżawy klienta przy użyciu konta użytkownika lub nazwy głównej usługi. Aby uzyskać więcej informacji, zobacz temat Logowanie się w programie Azure PowerShell.

     C:\> Connect-AzAccount -TenantId XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
    
  3. Połącz się z nowym identyfikatorem partnera. Identyfikator partnera to identyfikator programu Microsoft Cloud Partner Program dla twojej organizacji. Pamiętaj, aby użyć identyfikatora skojarzonego partnera wyświetlanego w profilu partnera.

    C:\> New-AzManagementPartner -PartnerId 12345
    

Pobieranie połączonego identyfikatora partnera

C:\> Get-AzManagementPartner

Aktualizowanie połączonego identyfikatora partnera

C:\> Update-AzManagementPartner -PartnerId 12345

Usuwanie połączonego identyfikatora partnera

C:\> Remove-AzManagementPartner -PartnerId 12345
  1. Zainstaluj rozszerzenie interfejsu wiersza polecenia platformy Azure.

    C:\ az extension add --name managementpartner
    
  2. Zaloguj się do dzierżawy klienta przy użyciu konta użytkownika lub nazwy głównej usługi. Aby uzyskać więcej informacji, zobacz temat Logowanie się za pomocą interfejsu wiersza polecenia platformy Azure.

    C:\ az login --tenant <tenant>
    
  3. Połącz się z nowym identyfikatorem partnera. Identyfikator partnera to identyfikator programu Microsoft Cloud Partner Program dla twojej organizacji.

    C:\ az managementpartner create --partner-id 12345
    

Pobieranie połączonego identyfikatora partnera

C:\ az managementpartner show

Aktualizowanie połączonego identyfikatora partnera

C:\ az managementpartner update --partner-id 12345

Usuwanie połączonego identyfikatora partnera

C:\ az managementpartner delete --partner-id 12345

Często zadawane pytania

Jakie uprawnienia tożsamości pal są potrzebne do wyświetlania przychodów?

Pal może być tak szczegółowy, jak wystąpienie zasobu. Na przykład pojedyncza maszyna wirtualna. Jednak pal jest ustawiana na koncie użytkownika. Zakres miary Azure Consumed Revenue (ACR) jest niezależnie od uprawnień administracyjnych, które konto użytkownika ma w środowisku. Zakres administracyjny może być subskrypcją, grupą zasobów lub wystąpieniem zasobu przy użyciu standardowych ról RBAC platformy Azure.

Innymi słowy, skojarzenie pal może się zdarzyć dla wszystkich ról RBAC. Role określają uprawnienia do zachęt partnerów. Aby uzyskać więcej informacji na temat uprawnień, zobacz Zachęty dla partnerów.

Jeśli na przykład jesteś partnerem, klient może zatrudnić Cię do wykonania projektu. Klient może nadać konto administracyjne do wdrażania, konfigurowania i obsługi aplikacji. Klient może ograniczyć zakres dostępu do grupy zasobów. Jeśli używasz pal i skojarzysz identyfikator MPN z kontem administracyjnym, firma Microsoft mierzy wykorzystany przychód z usług w grupie zasobów.

Jeśli tożsamość entra firmy Microsoft, która została użyta na potrzeby pal, zostanie usunięta lub wyłączona, przypisanie usługi ACR zostanie zatrzymane dla partnera w skojarzonych zasobach.

Różne programy partnerskie mają różne reguły dla ról RBAC. Skontaktuj się z menedżerem rozwoju partnera, aby uzyskać reguły dotyczące określonych ról kontroli dostępu opartej na rolach platformy Azure, które są potrzebne w momencie uzyskania dostępu do usługi ACR, aby można było zrealizować przypisanie usługi ACR.

Aby uzyskać więcej informacji, zobacz:

Kto może połączyć identyfikator partnera?

Identyfikator partnera z kontem może połączyć każdy użytkownik z organizacji partnerskiej, który zarządza zasobami platformy Azure klienta.

Czy identyfikator partnera można zmienić po jego połączeniu?

Tak. Połączony identyfikator partnera można zmienić, dodać lub usunąć.

Czy inni partnerzy lub klienci mogą edytować lub usunąć hiperlink do identyfikatora partnera?

Hiperlink jest skojarzony na poziomie konta użytkownika. Tylko Ty możesz edytować lub usunąć hiperlink do identyfikatora partnera. Klient i inni partnerzy nie mogą zmienić hiperlinku do identyfikatora partnera.

Którego identyfikatora partnera należy użyć, jeśli moja firma ma wiele?

Pamiętaj, aby użyć identyfikatora skojarzonego partnera wyświetlanego w profilu partnera.

Gdzie można znaleźć uwzględnione raportowanie przychodów dla połączonego identyfikatora partnera?

Raportowanie wydajności produktu w chmurze jest dostępne dla partnerów na pulpicie nawigacyjnym Moje usługi Insights w Centrum partnerskim. Jako typ powiązania partnera należy wybrać hiperlink administratora partnera.

Dlaczego nie widzę mojego klienta w raportach?

Klient może być niewidoczny w raportach z następujących powodów:

  1. Połączone konto użytkownika nie ma dostępu do kontroli dostępu na podstawie ról (RBAC) platformy Azure w żadnej subskrypcji ani zasobie klienta platformy Azure.

  2. Subskrypcja platformy Azure, w której użytkownik ma dostęp do kontroli dostępu na podstawie ról (RBAC) platformy Azure, nie ma żadnego użycia.

Co należy zrobić, jeśli użytkownik ma konto w więcej niż jednej dzierżawie klienta?

Połączenie między identyfikatorem partnera i kontem jest wykonywane dla każdej dzierżawy klienta. Połącz identyfikator partnera w każdej dzierżawie klienta.

Jeśli jednak zarządzasz zasobami klientów za pośrednictwem usługi Azure Lighthouse, utwórz link w dzierżawie dostawcy usług przy użyciu konta, które ma dostęp do zasobów klienta.

Jak mogę połączyć swój identyfikator partnera, jeśli moja firma używa rozwiązania Azure Lighthouse w celu uzyskania dostępu do zasobów klienta?

Aby działania usługi Azure Lighthouse zostały rozpoznane, należy skojarzyć swój identyfikator partnera z co najmniej jednym kontem użytkownika, które ma dostęp do każdej dołączonej subskrypcji klienta. Skojarzenie jest wymagane w dzierżawie dostawcy usług, a nie w każdej dzierżawie klienta.

Dla uproszczenia zalecamy utworzenie konta jednostki usługi w dzierżawie, skojarzenie go z identyfikatorem partnera, a następnie przyznanie mu dostępu do każdego dołączonego klienta z wbudowaną rolą platformy Azure kwalifikującą się do środków uzyskanych przez partnerów.

Jeśli już dołączono klienta, możesz połączyć identyfikator partnera z kontem użytkownika, które ma już uprawnienia do pracy w dzierżawie tego klienta, aby nie trzeba było wykonywać innego wdrożenia.

Aby uzyskać więcej informacji, zobacz Dołączanie klienta do usługi Azure Lighthouse.

Czy łączenie identyfikatora partnera działa z usługą Azure Stack?

Tak, możesz połączyć swój identyfikator partnera dla usługi Azure Stack.

Jak mogę wyjaśnić link administratora partnera mojemu klientowi?

Link administratora partnera pozwala firmie Microsoft identyfikować i rozpoznawać partnerów, którzy pomagają klientom osiągnąć cele biznesowe i zrealizować wartość w chmurze. Klienci muszą najpierw zapewnić dostęp partnera do ich zasobów platformy Azure. Po udzieleniu dostępu jest skojarzony identyfikator programu Microsoft Cloud Partner Program partnera firmy Microsoft. To skojarzenie pomaga firmie Microsoft zrozumieć ekosystem dostawców usług IT oraz udoskonalać narzędzia i programy niezbędne do najlepszego wsparcia naszych wspólnych klientów.

Jakie dane są zbierane przez link administratora partnera?

Skojarzenie linku administratora partnera z istniejącymi poświadczeniami nie udostępnia żadnych nowych danych klienta firmie Microsoft. Po prostu udostępnia informacje firmie Microsoft, w której partner aktywnie uczestniczy w środowisku platformy Azure klienta. Firma Microsoft może przypisywać wpływ i przychody użyte przez platformę Azure ze środowiska klienta do organizacji partnera na podstawie uprawnień konta (rola na platformie Azure) i zakresu (grupa zarządzania, subskrypcja, grupa zasobów, zasób) udostępnionego partnerowi przez klienta.

Czy ma to wpływ na bezpieczeństwo środowiska platformy Azure klienta?

Skojarzenie pal dodaje tylko identyfikator partnera do poświadczeń, które już aprowizowane i nie zmienia żadnych uprawnień (roli platformy Azure) ani nie udostępnia innych danych usługi platformy Azure partnerowi lub firmie Microsoft.

Co się stanie, jeśli tożsamość pal zostanie usunięta?

Jeśli identyfikator sieci partnera, nazywany również identyfikatorem MPN, zostanie usunięty, wszystkie mechanizmy rozpoznawania, w tym przychód z użyciem platformy Azure (ACR), przestaną działać.

Następne kroki

Dołącz do dyskusji w społeczności partnerów firmy Microsoft, aby otrzymywać aktualizacje lub wysłać opinię.