Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Odpowiednie role: Agent administracyjny
W tym artykule wyjaśniono, jak partnerzy Dostawca rozwiązań w chmurze (CSP) mogą używać różnych opcji kontroli dostępu opartej na rolach (RBAC), aby uzyskać kontrolę operacyjną zasobów platformy Azure klienta i zarządzać nimi.
Kiedy przechodzisz z klientem na plan platformy Azure, domyślnie przypisywane są uprzywilejowane prawa administratora platformy Azure — prawa właściciela subskrypcji poprzez opcję "Admin on Behalf of" (AOBO).
Uwaga
Klienci mogą usuwać prawa administratora na dowolnym z następujących poziomów: subskrypcji, grupy zasobów i obciążenia.
Aby zarządzać zasobami platformy Azure klienta w programie CSP, partnerzy mogą używać kontroli dostępu opartej na rolach (RBAC). Ta funkcja umożliwia utrzymanie kontroli operacyjnej i ciągłe nadzorowanie zadań zarządzania.
Administrator W imieniu admina dla usługi AOBO, każdy użytkownik z rolą agenta administracyjnego w dzierżawie partnera ma dostęp właściciela RBAC do subskrypcji platformy Azure utworzonych w ramach programu CSP.
Azure Lighthouse: usługa AOBO nie ma elastyczności w tworzeniu odrębnych grup, które współpracują z różnymi klientami, ani też we włączaniu różnych ról dla grup czy użytkowników. Jednak przy użyciu usługi Azure Lighthouse można przypisać różne grupy do różnych klientów lub ról. Ponieważ użytkownicy mają odpowiedni poziom dostępu za pośrednictwem zarządzania delegowanymi zasobami platformy Azure, można zmniejszyć liczbę użytkowników, którzy mają rolę agenta administracyjnego (a tym samym mają pełny dostęp do usługi AOBO). Pomaga to zwiększyć bezpieczeństwo, ograniczając niepotrzebny dostęp do zasobów klientów. Zapewnia to również możliwość bardziej elastycznego zarządzania wieloma klientami na dużą skalę. Aby uzyskać więcej informacji, zapoznaj się z Azure Lighthouse i Programem Dostawców Rozwiązań w Chmurze.
Katalog, użytkownicy-goście lub zasady usługi: możesz delegować szczegółowy dostęp do subskrypcji CSP, dodając użytkowników do katalogu klienta lub użytkowników-gości i przypisując określone role RBAC.
W praktyce w zakresie zabezpieczeń firma Microsoft zaleca przypisywanie użytkownikom minimalnych uprawnień, których potrzebują do wykonywania swojej pracy. Aby uzyskać więcej informacji, zobacz zasoby usługi Microsoft Entra Privileged Identity Management.
Połącz identyfikator Partner ID z poświadczeniami, aby zarządzać zasobami Azure klienta
W poniższej tabeli przedstawiono metody używane do skojarzenia identyfikatora Partnera (wcześniej identyfikator MPN) z różnymi opcjami dostępu RBAC.
| Kategoria | Scenariusz | Skojarzenie PartnerID |
|---|---|---|
| AOBO (Polskie Biuro Nadzor | Bezpośredni partner lub dostawca pośredni CSP tworzy subskrypcję dla klienta, co czyni partnera CSP bezpośrednim lub dostawcą pośrednim domyślnym właścicielem subskrypcji przy użyciu usługi AOBO. Bezpośredni partner lub dostawca pośredni CSP zapewnia odsprzedawcy pośredniemu dostęp do subskrypcji przy użyciu usługi AOBO. | Automatyczne (brak wymaganej pracy partnera) |
| Azure Lighthouse | Partner tworzy nową ofertę zarządzaną w witrynie Marketplace. Oferta jest akceptowana w ramach subskrypcji CSP, a partner uzyskuje dostęp do subskrypcji CSP. | Automatyczne (brak wymaganej pracy partnera) |
| Azure Lighthouse | Partner wdraża szablon usługi Azure Resource Manager (ARM) w subskrypcji Azure | Partner musi skojarzyć identyfikator PartnerID z użytkownikiem lub jednostką usługi w dzierżawie partnera. Aby uzyskać więcej informacji, zobacz Link your PartnerID to track your affect on delegated resources (Łączenie identyfikatora Partnera w celu śledzenia wpływu na delegowane zasoby). |
| Katalog lub użytkownik-gość | Partner tworzy nowego użytkownika lub jednostkę usługi w katalogu klienta i zapewnia użytkownikowi dostęp do subskrypcji CSP. Partner tworzy nowego użytkownika lub podmiot usługi w katalogu klienta. Partner dodaje użytkownika do grupy i zapewnia dostęp do subskrypcji CSP do grupy. | Partner musi skojarzyć identyfikator PartnerID z użytkownikiem lub jednostką usługi w dzierżawie klienta. Aby uzyskać więcej informacji, zobacz Powiąż identyfikator PartnerID z kontem używanym do zarządzania klientami. |
Upewnij się, że masz dostęp administratora
Musisz mieć dostęp administratora do zarządzania usługami klienta i otrzymywania środków uzyskanych. Aby uzyskać więcej informacji na temat zdobytych kredytów, zobacz Partner earned credits.
Aby określić, czy masz dostęp administratora, wykonaj następujące czynności:
- Przejrzyj plik dziennego użycia: Przejrzyj cenę jednostkową i efektywną cenę jednostkową w pliku dziennego użycia i sprawdź, czy rabat jest stosowany. Jeśli otrzymujesz rabat, jesteś administratorem.
Tworzenie alertu usługi Azure Monitor
Możesz utworzyć dziennik aktywności z alertem usługi Azure Monitor, aby otrzymywać powiadomienia, jeśli twój dostęp RBAC zostanie usunięty z subskrypcji CSP.
Aby utworzyć alert usługi Azure Monitor, wykonaj następujące kroki:
Utwórz alert.
Wybierz typ akcji, jaką ma podjąć alert.
Jeśli na przykład określisz, że chcesz wysłać wiadomość e-mail, otrzymasz wiadomość e-mail z powiadomieniem o wystąpieniu usunięcia przypisania roli.
Zrzut ekranu w portalu Azure przedstawiający konfigurowanie alertu.
Zrzut ekranu w portalu Azure przedstawiający konfigurowanie alertu.Usuwanie dostępu do usługi AOBO
Klienci mogą zarządzać dostępem do swoich subskrypcji, przechodząc do Kontrola dostępu w portalu Azure. Na karcie Przypisania ról mogą wybrać pozycję Usuń dostęp.
Jeśli klient usunie dostęp, możesz:
Porozmawiaj z klientem, aby sprawdzić, czy można przywrócić dostęp administratora.
Użyj dostępu zapewnianego przez kontrolę dostępu opartą na rolach (RBAC).
Użyj dostępu za pośrednictwem Azure Lighthouse.
Dostęp oparty na rolach różni się od dostępu administratora. Role dokładnie ograniczą to, co można i czego nie można zrobić. Dostęp administratora jest szerszy.
Zawieszanie i ponowne aktywowanie planu platformy Azure
Partnerzy mogą zawiesić lub ponownie aktywować plan platformy Azure bezpośrednio w Centrum partnerskim na stronie szczegółów planu platformy Azure.
- W Centrum partnerów w Klienci wybierz konto klienta
- Przejdź do subskrypcji Azure klienta
- Wybierz plan platformy Azure
- Wybierz status: Wstrzymano, a następnie Prześlij, aby zawiesić plan platformy Azure.
- Wybierz stan: Aktywny , a następnie prześlij , aby ponownie aktywować plan platformy Azure.
Istniejący plan platformy Azure można zawiesić tylko wtedy, gdy nie ma już żadnych aktywnych zasobów użycia skojarzonych z nim, w tym subskrypcji użycia platformy Azure i rezerwacji platformy Azure.
Partnerzy mogą kupić tylko jeden plan Azure dla konkretnego odsprzedawcy i klienta. Jeśli klient odsprzedawcy ma zawieszony plan, klient nie może kupić nowego planu. Anulowanie nie jest dostępne dla planu platformy Azure.
Aby zapoznać się z zawieszeniem planu platformy Azure przez API, zobacz Zawieszenie subskrypcji — deweloper aplikacji partnerskich.
Aby ponownie aktywować plan platformy Azure przy użyciu interfejsu API, zobacz Ponowne aktywowanie zawieszonej subskrypcji — dewelopera aplikacji partnera.
Anulowanie subskrypcji platformy Azure
W przypadku naruszenia zabezpieczeń subskrypcji planu platformy Azure klienta partnerzy mogą anulować subskrypcje platformy Azure z Centrum partnerskiego. Partnerzy muszą mieć uprawnienia administratora globalnego i role agenta administratora, aby anulować subskrypcje platformy Azure. Aby anulować:
- Wybierz Klient z listy klientów
- Przejdź do subskrypcji Azure klienta
- Wybierz plan Azure, w ramach którego znajduje się subskrypcja
- Na stronie Szczegółów planu platformy Azure wybierz subskrypcje platformy Azure, które chcesz anulować
- Prześlij zmiany, wybierając pozycję Anuluj subskrypcję
Ten proces anuluje tylko wybrane subskrypcje platformy Azure. Klienci z dostępem do subskrypcji platformy Azure mogą ponownie aktywować subskrypcję, jeśli plan platformy Azure jest nadal aktywny. Aby zatrzymać ponowną aktywację, partnerzy powinni anulować wszystkie subskrypcje platformy Azure, a następnie sam plan platformy Azure.
Partnerzy mogą wybrać wiele subskrypcji, ale jednocześnie nie mogą anulować więcej niż 10 subskrypcji. Partnerzy mogą anulować plan platformy Azure, jeśli nie ma w niej aktywnych subskrypcji platformy Azure. Ten proces umożliwia partnerom zamykanie planów i subskrypcji platformy Azure, które mogą zostać naruszone, nawet jeśli zły aktor usunął swoje uprawnienia RBAC.
Partnerzy mogą anulować subskrypcje platformy Azure za pośrednictwem portalu Centrum partnerskiego lub interfejsu API. Aby uzyskać szczegółowe informacje o interfejsie API, zobacz Anulowanie subskrypcji Azure, a aby spróbować, zobacz Wydatki na Azure — Anulowanie uprawnień Azure — interfejs API REST.
Aby dowiedzieć się więcej na temat anulowania subskrypcji Azure, zobacz Co się dzieje po anulowaniu subskrypcji?
Ponowna aktywacja subskrypcji platformy Azure
Partnerzy mogą ponownie aktywować subskrypcje platformy Azure, które zostały anulowane z powodu naruszenia zabezpieczeń klienta ze strony szczegółów planu platformy Azure, korzystając z karty Nieaktywne subskrypcje platformy Azure. Partnerzy muszą mieć uprawnienia administratora globalnego i role agenta administracyjnego, aby ponownie aktywować subskrypcje platformy Azure. Aby ponownie uaktywnić:
- Wybierz Klient z listy klientów
- Przejdź do subskrypcji Azure klienta
- Wybierz plan Azure, w ramach którego znajduje się subskrypcja
- Na stronie szczegółów planu platformy Azure w sekcji Subskrypcja platformy Azure wybierz kartę Nieaktywne
- Wybierz subskrypcję platformy Azure, aby ponownie uaktywnić
- Zatwierdź zmiany, wybierając pozycję Aktywuj ponownie subskrypcję
Reaktywuje tylko wybrane subskrypcje Azure. Partnerzy mogą wybrać wiele subskrypcji, ale jednocześnie nie mogą ponownie uaktywnić więcej niż 10 subskrypcji. Skojarzony plan platformy Azure musi być aktywny, aby ponownie aktywować subskrypcje platformy Azure. Aby ponownie aktywować plan platformy Azure, najpierw przejdź do strony szczegółów planu platformy Azure w Centrum partnerskim. Następnie zmień stan planu z powrotem na aktywny.
Aby ponownie aktywować subskrypcję, skontaktuj się z klientem lub właścicielem rozliczeń, który anulował ją w witrynie Azure Portal. Muszą się zalogować i ukończyć proces ponownej aktywacji.
Aby ponownie uaktywnić przez interfejs API, odwiedź stronę Ponowne aktywowanie subskrypcji platformy Azure — dewelopera aplikacji partnerskiej. Aby to wypróbować, zobacz Wydatki na platformę Azure — ponowne aktywowanie uprawnień.
Więcej informacji na temat ponownego aktywowania subskrypcji Azure można znaleźć w dokumentacji Azure.