Przewodnik rozwiązywania problemów z kredytami przyznanymi partnerowi
Odpowiednie role: administrator zarządzania użytkownikami | Agent administracyjny | Administrator rozliczeń | Agent sprzedaży
Dzięki nowemu doświadczeniu handlowemu platformy Azure partnerzy mogą otrzymywać rabaty za pośrednictwem kredytów uzyskanych przez partnerów (PEC) dla usług zarządzanych. Środki PEC są przyznawane tylko partnerom z odpowiednimi uprawnieniami. Dowiedz się, kto kwalifikuje się do otrzymania środków PEC, jak są obliczane i jak wypłacane.
Ten artykuł zawiera podstawowe wskazówki dotyczące rozwiązywania problemów, jeśli nie przyznano PEC.
Jeśli masz problemy z PEC, takie jak dostęp lub brakujące informacje, zacznij od sprawdzenia następujących elementów.
Uwaga
Tylko dostawcy pośredni i partnerzy rozliczani bezpośrednio kwalifikują się do zdobywania kredytów partnerskich (PEC).
Upewnij się, że przeglądasz fakturę G (nowa platforma handlowa) i plik rozrachunkowy. Plan i PEC platformy Azure nie są wyświetlane na fakturze D (Legacy) ani w pliku uzgodnieniowym.
Upewnij się, że umowa microsoft AI Cloud Partner Program jest aktywna.
Upewnij się, że Twoja oferta kwalifikuje się. (Starsze oferty platformy Azure, zarezerwowane wystąpienia Azure, plany oszczędnościowe Azure, maszyny wirtualne SPOT Azure i produkty innych firm nie kwalifikują się).
Upewnij się, że Ty (lub odsprzedawca pośredni ustawiony jako zarejestrowany odsprzedawca na planie Azure) masz prawidłową rolę Administrowania w imieniu (AOBO) lub rolę kontroli dostępu opartą na rolach (Azure RBAC) dla danej subskrypcji, grupy zasobów lub zasobu. Inna możliwość:
- Jeśli używasz usługi Azure Lighthouse, upewnij się, że twój identyfikator PartnerID został połączony z co najmniej jednym kontem użytkownika. Sprawdź również, czy ma on dostęp do subskrypcji/grupy zasobów tego klienta.
- Jeśli używasz skojarzenia RBAC platformy Azure, upewnij się, że użytkownik ma odpowiednią rolę dla PEC i RBAC platformy Azure ustawioną w kontekście każdej dzierżawy klienta.
Sprawdź, czy klient usunął Twoje uprawnienia AOBO. Uprawnienia zostały ustawione domyślnie podczas aprowizowania planu platformy Azure. Jeśli zostały usunięte, zobacz Przywracanie uprawnień administratora dla subskrypcji Azure Cloud Solution Provider (CSP) klienta.
Upewnij się, że masz dostęp administratora przez cały dzień.
Upewnij się, że przeglądasz poprawne kolumny w plikach uzgodnień. Aby uzyskać więcej informacji, zobacz Rozliczenia planu platformy Azure: O twoim pliku uzgadniania faktur.
W przypadku PEC ważne jest tylko, aby partner transakcji ustawił dowolną z dostępnych opcji uprawnień. W przypadku modelu pośredniego może to być dostawca, odsprzedawca lub oba te elementy.
Ustawienie przez innego partnera dodatkowych uprawnień AOBO lub innych oraz ustawienie dodatkowych uprawnień kontroli dostępu opartych na rolach Azure (Azure RBAC) dla użytkowników z uprawnieniami RBAC platformy Azure nie wpłynie na PEC dla partnera transakcyjnego.
Zobacz poniższą tabelę. MPN1 jest dostawcą pośrednim, MPN2 jest odsprzedawcą pośrednim połączonym z transakcją jako rejestrowanym odsprzedawcą, a MPN3 jest innym partnerem CSP (bezpośrednim partnerem lub innym odsprzedawcą pośrednim):
| Partner transakcji (BillTo) | Kontrola dostępu oparta na rolach platformy Azure (dla użytkownika lub usługi Lighthouse z uprawnioną do roli PEC) | AOBO (rola kwalifikująca się do PEC) | PEC |
|---|---|---|---|
| MPN1 | MPN1 | Nie dotyczy | Tak |
| MPN1 | Nie dotyczy | MPN1 | Tak |
| MPN1 | MPN2 | Nie dotyczy | Tak |
| MPN1 | Nie dotyczy | MPN2 | Tak |
| MPN1 | MPN3 | MPN1 | Tak |
| MPN1 | MPN1 | MPN3 | Tak |
| MPN1 | MPN1 | MPN2 | Tak |
| MPN1 | MPN2 | MPN1 | Tak |
| MPN1 | MPN2 | MPN3 | Tak |
| MPN1 | MPN3 | MPN2 | Tak |
| MPN1 | MPN3 | Nie dotyczy | Nie. |
| MPN1 | Nie dotyczy | MPN3 | Nie. |
| MPN1 | Nie dotyczy | Nie dotyczy | Nie. |
| MPN1 | MPN3 | MPN3 | Nie. |
Gdy partner przeniesie subskrypcję platformy Azure z lub do innego partnera, żadne uprawnienia nie zostaną zmienione na potrzeby tego przeniesienia.
W związku z tym, jeśli model AOBO lub inny model uprawnień został użyty przed przeniesieniem, z uprawnieniami ustawionymi dla starego "partnera transakcyjnego", uprawnienia nadal będą wskazywać starego partnera po przeniesieniu. Ale teraz inny partner staje się "partnerem transakcyjnym".
W przypadku wszelkich transferów subskrypcji platformy Azure zaleca się, aby nowy partner docelowy przed przeniesieniem dodał uprawnienia, takie jak Azure RBAC. Mogą bezpiecznie to zrobić bez wpływu na PEC starego partnera do czasu przeniesienia.
Centrum partnerskie umożliwia zmianę identyfikatora PartnerID skojarzonego z rejestracją dostawcy CSP. Zaktualizowanie identyfikatora PartnerID do innego identyfikatora lokalizacji programu microsoft AI Cloud Partner Program w tej samej organizacji globalnej programu microsoft AI Cloud Partner Program (inny identyfikator lokalizacji programu partnerów w chmurze AI firmy Microsoft w ramach tego samego identyfikatora globalnego programu microsoft AI Cloud Partner Program) nie ma wpływu na pec.
Zmiana identyfikatora partnera na identyfikator lokalizacji w innej organizacji programu partnerskiego w chmurze sztucznej inteligencji firmy Microsoft może mieć jednak wpływ na wartość PEC. W tej sytuacji, gdy brakuje PEC, zalecamy kontakt z pomocą techniczną (proszę wspomnieć, że niedawno ponownie przypisano Państwa rejestrację do CSP do innej organizacji w ramach programu partnerskiego Microsoft AI Cloud).
Gdy partner tworzy subskrypcję na plan platformy Azure dla klienta, AOBO jest ustawiane jako "podmiot zagraniczny". Podmiot zagraniczny dziedziczy uprawnienia właściciela w subskrypcji Azure. Uprawnienia AOBO oznaczają, że określona grupa w dzierżawie Centrum partnerskiego CSP (Agenci administracyjni) odziedziczy te uprawnienia.
Zagraniczny podmiot, jak widać w portalu Azure, nie zawiera szczegółów dotyczących grupy, do której jest mapowany w określonej dzierżawie partnera.
Po wyświetleniu podmiotu zagranicznego w portalu Azure zostanie wyświetlona nazwa partnera, taka jak "Podmiot zagraniczny dla 'Contoso'", ale "Contoso" jest tylko nazwą wyświetlaną dzierżawy partnera Microsoft Entra i nie jest unikatowa.
Aby z 100% pewnością zweryfikować, że AOBO jest poprawnie ustawiony, wskazując na właściwą grupę w odpowiedniej dzierżawie w CSP, konieczne jest użycie AZ PowerShell lub Azure CLI.
- Przez portal Azure: Partnerzy mogą logować się do portalu Azure w swojej własnej dzierżawie i wyszukiwać odpowiednie grupy w Microsoft Entra ID > Groups. Identyfikator ObjectID jest wyświetlany po prawej stronie nazwy grupy.
- Za pomocą programu PowerShell: uruchom program PowerShell ( lokalny program PowerShell lub usługę Azure Cloud Shell).
Przed rozpoczęciem korzystania z usługi Azure Cloud Shell, należy skonfigurować konto magazynu. To konto spowoduje naliczenie niewielkiego miesięcznego kosztu w subskrypcji platformy Azure dostępnej w kontekście dzierżawy. Udostępnienie można usunąć po wykonaniu poniższych kroków.
Uwaga
Moduły Azure AD i MSOnline w PowerShell zostaną wycofane z dniem 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.
Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą doświadczać zakłóceń po 30 czerwca 2024 r.
Upewnij się, że masz zainstalowane i zaktualizowane następujące moduły do najnowszej wersji:
- Moduł AzureAD
- Moduł AZ programu PowerShell (nie jest wymagany dla usługi Cloud Shell)
W razie potrzeby użyj w konsoli programu PowerShell cmdlets do zainstalowania tych modułów.
Install-Module -Name AzureAD -Force
Install-Module -Name Az -AllowClobber -Force
Najpierw połącz się z dzierżawcą Centrum partnerskiego, używając konta użytkownika w Centrum partnerskim, i pobierz identyfikatory obiektów grupy Administratorzy Agentów oraz Agenci Pomocy.
Connect-AzureAD -TenantDomain CSPtenantname.onmicrosoft.com
Zaloguj się przy użyciu poświadczeń Centrum partnerskiego:
Wykonaj zapytanie dotyczące informacji o grupach agentów:
Get-AzureADGroup | Where-Object { $_.DisplayName.Endswith('Agents') }
Grupy ObjectID będą wyświetlane wraz z ich nazwami:
Uwaga
Jeśli nie otrzymasz wyniku, upewnij się, że masz połączenie z kontem Centrum partnerskiego.
Uwaga
Odsprzedawcy pośredni nie będą widzieć grupy SalesAgents. Ten krok należy wykonać tylko raz, ponieważ usługa AOBO w każdej dzierżawie klienta będzie używać tych samych identyfikatorów.
Krok 2 - Porównaj identyfikatory ObjectID z identyfikatorami używanymi przez zewnętrzny podmiot główny
Ważne jest, aby użyć identyfikatora TenantID jako wartości parametru dzierżawy (zamiast nazwy domeny dzierżawy) z kontem użytkownika, które: — ma dostęp do wielu katalogów/dzierżaw, na przykład konto użytkownika w Centrum partnerskim, lub — zostało dodane jako gość do wielu dzierżaw.
W związku z tym potrzebujesz TenantID dla danego klienta.
Za pośrednictwem witryny Azure Portal: identyfikator dzierżawy można łatwo pobrać z listy klientów w Centrum partnerskim. Identyfikator dzierżawy został oznaczony etykietą "Microsoft ID".
Za pomocą programu PowerShell: połącz się z subskrypcją Azure klienta za pomocą prawidłowych poświadczeń. Poświadczenia powinny mieć uprawnienia do odczytu subskrypcji platformy Azure i usługi AzureAD dzierżawy klienta:
Connect-AzAccount -Tenant $CustomerTenantID- Przeczytaj przypisania ról dla zagranicznego podmiotu nadrzędnego subskrypcji Azure klienta:
Get-AzRoleassignment | ? {$_.DisplayName -like "Foreign*"}
- Wynikowy identyfikator ObjectID powinien być zgodny z identyfikatorem ObjectID grupy AdminAgent lub HelpDeskAgent zidentyfikowanej w kroku 1.
Każdy aspekt musi być zgodny, aby otrzymywać PEC za pośrednictwem AOBO.
- Subskrypcja platformy Azure klienta zawiera podmiot zagraniczny z przypisaną kwalifikowalną rolą w ramach RBAC platformy Azure.
- Identyfikator ObjectID grupy używanej przez obcy podmiot zabezpieczeń odnosi się do identyfikatora ObjectID grupy AdminAgent lub grupy HelpdeskAgent w dzierżawie partnera.
- "Partner najemcy" oznacza bezpośredniego partnera rozliczeń. W modelu pośrednim oznacza to dostawcę pośredniego lub partnera odsprzedawcy pośredniego jako klienta.
Ta sekcja zawiera przykładowe skrypty, które mogą ułatwić zbieranie informacji w różnych subskrypcjach i przechowywanie ich w pliku .CSV. Te skrypty są przeznaczone jako przykłady i udostępniane bez obsługi. Chociaż skrypty nie wprowadzają modyfikacji w konfiguracji, należy je dokładnie przetestować, a dostosowanie może być wymagane w konkretnym scenariuszu partnera/klienta.
- Wyświetlanie szczegółów AOBO dla pojedynczego klienta: w tym przykładzie użyto identyfikatora Microsoft Entra ID i modułów programu Azure PowerShell.
### Install-Module -Name AzureAD -Force ###
### Install-Module -Name Az -AllowClobber -Force ###
### Variables ####
$CSVname = "c:tempAOBOchecker.csv"
$CustomertenantId = ""
### Get Agent-Groups Object IDs and write to CSV - This step needs to be done with a Partner Center User ###
Connect-AzureAD -TenantDomain $PartnerTenantDomain
$Headers = "GroupName`tObjectID`tPartnerTenantName`tPartnerTenantID" >>$CSVname
$PartnerTenant = Get-AzureADTenantDetail
$groups = Get-AzureADGroup | Where-Object { $_.DisplayName.Endswith('Agents') }
ForEach ($Group in $Groups)
{
$NewLine = $Group.DisplayName + "`t" + $Group.ObjectID + "`t" + $PartnerTenant.DisplayName + "`t" + $PartnerTenant.ObjectID
$NewLine >>$CSVname
}
### Get list of Azure Subscriptions for a customer, get list of Foreign Principals and add them to the same CSV ###
Clear-AzContext -Scope CurrentUser -Force
Connect-AzAccount -Tenant $CustomertenantId
$CustomerTenant = Get-AzureADTenantDetail
$CustomerTenantSubscriptions = Get-AzSubscription -TenantId $CustomertenantId
ForEach ($Subscription in $CustomerTenantSubscriptions)
{
$Roles = Get-AzRoleassignment -Scope /subscriptions/$Subscription | ? {$_.DisplayName -like "Foreign*"}
ForEach ($Role in $Roles)
{
$NewLine = $CustomerTenant.Domain + "`t" + $CustomerTenant.CustomerId + "`t" + $Subscription.Id + "`t" + $Role.DisplayName + "`t" + $Role.ObjectID + "`t" + $Role.RoleDefinitionName
$NewLine >>$CSVname
}
}
-
Wyświetlanie szczegółów AOBO dla wielu klientów: ten kod służy wyłącznie do celów ilustracyjnych.
- Pobierz listę wszystkich subskrypcji klientów programu CSP i wszystkich zagranicznych podmiotów oraz określ, czy występują rozbieżności. Ten kod może również służyć do zbierania informacji na potrzeby pomocy technicznej.
- Sprawdź, które subskrypcje platformy Azure (uprawnienia planu platformy Azure) zostały sprzedane i które są dostępne przy użyciu bieżących poświadczeń.
- W przypadku odsprzedawców pośrednich ten skrypt działa również. Ale wszystkie subskrypcje miałyby adnotację "nie sprzedano", mimo że są partnerem rejestrowym w tej sprzedaży.
### Note - below examples use interactive login experience and aren't suitable for production use ###
### See https://learn.microsoft.com/partner-center/develop/enable-secure-app-model#powershell for info on how to authenticate to each customer tenant silently using secure app model ###
### Below examples use AzureAD, AZ and Partner Center PowerShell modules ###
### Install-Module -Name AzureAD -Force ###
### Install-Module -Name Az -AllowClobber -Force ###
### Install-Module -Name PartnerCenter -Force ###
### Variables ####
$PartnertenantDomain = "xyz.onmicrosoft.com"
$PartnerTenantID = ""
$CSVname = "c:tempAOBOchecker.csv"
### Get Agent-Groups Object IDs and write to CSV ###
Connect-AzureAD -TenantDomain $PartnerTenantDomain
$Headers = "GroupName`tObjectID`tPartnerTenantName`tPartnerTenantID" >>$CSVname
$PartnerTenant = Get-AzureADTenantDetail
$groups = Get-AzureADGroup | Where-Object { $_.DisplayName.Endswith('Agents') }
ForEach ($Group in $Groups)
{
$NewLine = $Group.DisplayName + "`t" + $Group.ObjectID + "`t" + $PartnerTenant.DisplayName + "`t" + $PartnerTenant.ObjectID
$NewLine >>$CSVname
}
### Get list of CSP Customers, get List of Azure Subscriptions, get list of Foreign Principals and add them to the same CSV ###
Connect-PartnerCenter -TenantID $PartnertenantID
$Customers = Get-PartnerCustomer
$Headers = "`r`nCustomerTenantName`tCustomerTenantID`tSubscriptionId`tForeignPrincipalName`tObjectID`tAzureRBACRole`tTimeChecked`tNotes`tCredentialsUsedForAccessCheck" >>$CSVname
Foreach ($customer in $Customers)
{
$AzurePlanId = Get-PartnerCustomerSubscription -CustomerId $Customer.CustomerId | ? {$_.OfferName -eq "Azure Plan"}
if ($AzurePlanID -eq $null)
{
Write-Host "Customer $($Customer.Name) does not have Azure Plan"
}
else
{
$AzurePlanSubscriptionsSold = Get-PartnerCustomerAzurePlanEntitlement -CustomerId $Customer.CustomerId -SubscriptionId $AzurePlanId.SubscriptionId
}
Clear-AzContext -Scope CurrentUser -Force
Connect-AzAccount -Tenant $Customer.CustomerId
$CurrentUser = Get-azcontext
$CustomerTenantSubscriptionsAccessible = Get-AzSubscription -TenantId $Customer.CustomerId
$SoldAndAccessibleSubscriptions = $AzurePlanSubscriptionsSold | Where {$CustomerTenantSubscriptionsAccessible -Contains $_}
$SoldButNotAccessibleSubscriptions = $AzurePlanSubscriptionsSold | Where {$CustomerTenantSubscriptionsAccessible -notcontains $_}
$NotSoldButAccessibleSubscriptions = $CustomerTenantSubscriptionsAccessible | Where {$AzurePlanSubscriptionsSold -notcontains $_}
ForEach ($Subscription in $SoldAndAccessibleSubscriptions)
{
$Roles = Get-AzRoleassignment -Scope /subscriptions/$Subscription | ? {$_.DisplayName -like "Foreign*"}
ForEach ($Role in $Roles)
{
$CurrentTime = Get-Date -format "dd-MMM-yyyy HH:mm:ss"
$NewLine = $Customer.Domain + "`t" + $Customer.CustomerId + "`t" + $Subscription.Id + "`t" + $Role.DisplayName + "`t" + $Role.ObjectID + "`t" + $Role.RoleDefinitionName + "`t" + $CurrentTime + "`t" + "Access with current credentials and sold as CSP Partner" + "`t" + $CurrentUser.Account.Id
$NewLine >>$CSVname
}
}
ForEach ($Subscription in $SoldButNotAccessibleSubscriptions)
{
$CurrentTime = Get-Date -format "dd-MMM-yyyy HH:mm:ss"
$NewLine = $Customer.Domain + "`t" + $Customer.CustomerId + "`t" + "N/A" + "`t" + "N/A" + "`t" + "N/A" + "`t" + "N/A" + "`t" + $CurrentTime + "`t" + "Sold via CSP, but no access with current credentials" + "`t" + $CurrentUser.Account.Id
$NewLine >>$CSVname
}
ForEach ($Subscription in $NotSoldButAccessibleSubscriptions)
{
$Roles = Get-AzRoleassignment -Scope /subscriptions/$Subscription | ? {$_.DisplayName -like "Foreign*"}
ForEach ($Role in $Roles)
{
$CurrentTime = Get-Date -format "dd-MMM-yyyy HH:mm:ss"
$NewLine = $Customer.Domain + "`t" + $Customer.CustomerId + "`t" + $Subscription.Id + "`t" + $Role.DisplayName + "`t" + $Role.ObjectID + "`t" + $Role.RoleDefinitionName + "`t" + $CurrentTime + "`t" + "Access with current credentials, but not sold as CSP Partner" + "`t" + $CurrentUser.Account.Id
$NewLine >>$CSVname
}
}
}
Dane wyjściowe tego skryptu można następnie sformatować w następujący sposób:
Podobnie jak usługa AOBO, usługa Azure Lighthouse umożliwia grupom użytkowników w dzierżawie partnera zarządzającego dziedziczenie delegowanych uprawnień w subskrypcji platformy Azure klienta. Różnica polega na tym, że umożliwia bardziej szczegółową definicję grup i poziomów uprawnień niż AOBO.
W przypadku tego modelu uprawnień łatwiej jest sprawdzić, czy został poprawnie ustawiony przy użyciu interfejsu użytkownika witryny Azure Portal. Tylko partner może zapewnić pełną weryfikację, czy konfiguracja usługi Azure Lighthouse jest poprawna.
W poniższych krokach opisano sposób identyfikowania, dla których klientów uprawnienia roli RBAC platformy Azure zostały trwale delegowane i do których grup. Następnie możesz sprawdzić, czy użytkownik mający skojarzenie RBAC platformy Azure jest członkiem tych grup.
Sprawdź, czy odpowiednie delegacje korzystają z ról RBAC w platformie Azure, które kwalifikują się do PEC.
Otwórz witrynę Azure Portal (z użytkownikiem z dzierżawy zarządzania partnera). Następnie wyszukaj ciąg "Lighthouse" i wybierz pozycję Moi klienci.
W obszarze Przegląd klienta wybierz pozycję Delegowanie po lewej stronie. Spowoduje to otwarcie listy zasobów (subskrypcji lub grup zasobów), w których udostępniono dostęp delegowany:
Otwórz delegacje w prawej kolumnie w obszarze "Przypisania ról", aby zobaczyć, która grupa użytkowników w dzierżawie partnera/zarządzania dziedziczy każdy rodzaj uprawnień (zobacz kolumnę "Rola"). Możesz również sprawdzić, czy te uprawnienia są trwałe (zobacz kolumnę "Typ dostępu"):
Wybierz nazwę wyświetlaną grupy. Otwórz, aby zobaczyć szczegóły grupy. Wybierz pozycję "Członkowie", aby kontrolować, który użytkownik ma ustawioną kontrolę dostępu opartą na rolach platformy Azure i jest członkiem odpowiedniej grupy:
Tylko użytkownik, który ustawił usługę Azure PAL, może sprawdzić przypisanie usługi Azure PAL; żaden inny administrator nie może tego zrobić. Zobacz Jak mogę wyjaśnić połączenie administratora partnera (PAL) z moim klientem? w temacie Łączenie konta platformy Azure z identyfikatorem PartnerID, aby uzyskać więcej informacji na temat tego, jak użytkownik może sprawdzić, czy skonfigurowano usługę Azure PAL za pośrednictwem interfejsu użytkownika lub programu PowerShell.
Uwaga
Usługa Azure PAL powinna używać identyfikatora PartnerID będącego częścią tej samej organizacji programu Microsoft AI Cloud Partner Program, która jest partnerem transakcyjnym dla tej subskrypcji platformy Azure. W modelu pośrednim może to być PartnerID dostawcy lub określony odsprzedawca przypisany do tej sprzedaży.
Ponieważ członkostwo w grupie może nie być trwałe, sprawdź, czy grupa została włączona na potrzeby zarządzania dostępem uprzywilejowanym. Zobacz, gdzie "Dostęp uprzywilejowany" znajduje się po lewej stronie w sekcji "Aktywność" ustawień grupy. Jeśli to prawda, sprawdź, czy użytkownik ma aktywne zadanie i ramy czasowe dla tego zadania.
Uwaga
Ponieważ przypisanie "godziny zakończenia" oznacza, że użytkownik zostanie automatycznie usunięty z grupy, PEC zostanie utracony dla użytkowników, którzy mieli ustawioną kontrolę Azure RBAC. Podobnie PEC zostanie przyznany tylko po ustanowieniu "momentu rozpoczęcia".
W niektórych przypadkach może być bardziej odpowiednie korzystanie z indywidualnych kont użytkowników z uprawnieniami do subskrypcji platformy Azure. Te konta mogą być kontami użytkowników-gości (z dowolnej dzierżawy) lub kontami użytkowników utworzonymi w dzierżawie klienta lub jednostkach usługi.
W przypadku korzystania z indywidualnych kont użytkowników jako środka do zdobycia PEC, sprawdzanie polega tylko na przejrzeniu przypisanych uprawnień w zarządzaniu subskrypcjami platformy Azure dla użytkownika. Na koniec należy zweryfikować, czy użytkownik prawidłowo ustawił kontrolę dostępu opartą na rolach platformy Azure. W przypadku użycia zasady usługi, sprawdzanie Azure RBAC musi nastąpić za pośrednictwem PowerShell.
Otwórz portal Azure. Upewnij się, że jesteś zalogowany jako użytkownik z rolą RBAC Azure z co najmniej dostępem do odczytu do danej subskrypcji.
Wyszukaj ciąg "Subskrypcje" na pasku wyszukiwania, aby otworzyć szczegóły subskrypcji:
Przejdź do pozycji "Kontrola dostępu (IAM)" w szczegółach subskrypcji. Następnie wybierz pozycję "Przypisania ról", aby przejrzeć użytkowników, którzy mają dostęp na poziomie subskrypcji, i sprawdzić, czy w kolumnie "Rola" są wyświetlane role RBAC platformy Azure, które kwalifikują się do PEC. Jeśli uprawnienia zostały ustawione na poziomie grupy zasobów, ten sam widok "Kontrola dostępu (IAM)" jest również dostępny w grupie zasobów.
Uwaga
Uprawnienia można również przyznać grupie użytkowników, w której należy zweryfikować członkostwo użytkownika mającego ustawioną kontrolę dostępu opartą na rolach platformy Azure.
Chociaż może się wydawać, że użytkownicy mają dostęp, ich uprawnienia mogą być nadal tymczasowe lub zablokowane za pomocą przypisań typu 'Odmów'.
Przypisanie roli RBAC platformy Azure przy użyciu usługi Privileged Identity Management (PIM) może być ograniczone czasowo. Chociaż użytkownicy mogą mieć uprawnienia, mogą istnieć tylko przez krótki czas. Aby sprawdzić, czy przypisanie roli RBAC platformy Azure jest trwałe, sprawdź administrowanie usługą PIM w witrynie Azure Portal. W szczególności sprawdź, gdzie zasoby platformy Azure w subskrypcji są zarządzane przez zasady usługi PIM, a jeśli użytkownik podlega wszelkim zasadom.
Ponadto lista uprawnień może wskazywać, że użytkownik ma uprawnienia do subskrypcji, ale mogą istnieć przypisania z odmową, które nadal blokują użytkownikowi dostęp do określonych zasobów. W sekcji "Kontrola dostępu (IAM)" wybierz kartę Przypisań Odmowy, aby sprawdzić, czy przypisania odmowy mają zastosowanie:
Uwaga
Aby zapewnić pełną kompletność, partnerzy powinni również sprawdzić, czy w grupach zasobów nie istnieją zasady odmowy w ramach subskrypcji.
Tylko użytkownik, który skonfigurował usługę Azure PAL, może sprawdzić przypisania usługi Azure PAL; żaden inny administrator nie może tego zrobić. Aby uzyskać więcej informacji na temat tego, jak użytkownik może sprawdzić, czy skonfigurowano usługę Azure PAL, zobacz Łączenie konta platformy Azure z identyfikatorem PartnerID.
Uwaga
Usługa Azure PAL powinna używać identyfikatora PartnerID będącego częścią tej samej organizacji programu Microsoft AI Cloud Partner Program, która jest partnerem transakcyjnym dla tej subskrypcji platformy Azure. W modelu pośrednim może to być partnerID dostawcy lub PartnerID odsprzedawcy dołączonego do tej sprzedaży.