Udostępnij za pośrednictwem


Zarządzanie subskrypcjami i zasobami w ramach planu platformy Azure

Odpowiednie role: Agent administracyjny

W tym artykule wyjaśniono, jak partnerzy Dostawca rozwiązań w chmurze (CSP) mogą używać różnych opcji kontroli dostępu opartej na rolach (RBAC), aby uzyskać kontrolę operacyjną zasobów platformy Azure klienta i zarządzać nimi.

Gdy przeniesiesz klienta do planu platformy Azure, domyślnie masz przypisane uprawnienia administratora uprzywilejowanego na platformie Azure — prawa właściciela subskrypcji za pośrednictwem administratora w imieniu (AOBO).

Uwaga

Uprawnienia administratora do subskrypcji platformy Azure mogą zostać usunięte przez klienta na poziomie subskrypcji, na poziomie grupy zasobów lub na poziomie obciążenia.

Partnerzy mogą uzyskać ciągłą kontrolę operacyjną i zarządzanie zasobami platformy Azure klienta w programie CSP przy użyciu różnych opcji dostępnych za pośrednictwem funkcji kontroli dostępu opartej na rolach (RBAC).

  • Administrator w imieniu — w przypadku usługi AOBO każdy użytkownik mający rolę agenta administracyjnego w dzierżawie partnera ma dostęp właściciela RBAC do subskrypcji platformy Azure tworzonych za pośrednictwem programu CSP.

  • Azure Lighthouse: usługa AOBO nie ma elastyczności w tworzeniu odrębnych grup, które współpracują z różnymi klientami, ani w celu włączenia różnych ról dla grup lub użytkowników. Jednak przy użyciu usługi Azure Lighthouse można przypisać różne grupy do różnych klientów lub ról. Ponieważ użytkownicy mają odpowiedni poziom dostępu za pośrednictwem zarządzania delegowanymi zasobami platformy Azure, można zmniejszyć liczbę użytkowników, którzy mają rolę agenta administracyjnego (a tym samym mają pełny dostęp do usługi AOBO). Pomaga to zwiększyć bezpieczeństwo, ograniczając niepotrzebny dostęp do zasobów klientów. Zapewnia to również możliwość bardziej elastycznego zarządzania wieloma klientami na dużą skalę. Aby uzyskać więcej informacji, zobacz Azure Lighthouse i program Dostawca rozwiązań w chmurze.

  • Katalog lub użytkownicy-goście lub jednostki usługi: możesz delegować szczegółowy dostęp do subskrypcji CSP, dodając użytkowników w katalogu klienta lub dodając użytkowników-gości i przypisując określone role RBAC.

W praktyce w zakresie zabezpieczeń firma Microsoft zaleca przypisywanie użytkownikom minimalnych uprawnień, których potrzebują do wykonywania swojej pracy. Aby uzyskać więcej informacji, zobacz Zasoby usługi Microsoft Entra Privileged Identity Management.

W poniższej tabeli przedstawiono metody używane do skojarzenia identyfikatora Partnera (wcześniej identyfikator MPN) z różnymi opcjami dostępu RBAC.

Kategoria Scenariusz Skojarzenie PartnerID
AOBO Bezpośredni partner lub dostawca pośredni CSP tworzy subskrypcję dla klienta, co czyni partnera CSP bezpośrednim lub dostawcą pośrednim domyślnym właścicielem subskrypcji przy użyciu usługi AOBO. Bezpośredni partner lub dostawca pośredni CSP zapewnia odsprzedawcy pośredniemu dostęp do subskrypcji przy użyciu usługi AOBO. Automatyczne (brak wymaganej pracy partnera)
Azure Lighthouse Partner tworzy nową ofertę usługi zarządzanej w witrynie Marketplace. Oferta jest akceptowana w ramach subskrypcji CSP, a partner uzyskuje dostęp do subskrypcji CSP. Automatyczne (brak wymaganej pracy partnera)
Azure Lighthouse Partner wdraża szablon usługi Azure Resource Manager (ARM) w subskrypcji platformy Azure Partner musi skojarzyć identyfikator PartnerID z użytkownikiem lub jednostką usługi w dzierżawie partnera. Aby uzyskać więcej informacji, zobacz Łączenie identyfikatora PartnerID w celu śledzenia wpływu na delegowane zasoby.
Katalog lub użytkownik-gość Partner tworzy nowego użytkownika lub jednostkę usługi w katalogu klienta i zapewnia użytkownikowi dostęp do subskrypcji CSP. Partner tworzy nowego użytkownika lub jednostki usługi w katalogu klienta. Partner dodaje użytkownika do grupy i zapewnia dostęp do subskrypcji CSP do grupy. Partner musi skojarzyć identyfikator PartnerID z użytkownikiem lub jednostką usługi w dzierżawie klienta. Aby uzyskać więcej informacji, zobacz Łączenie identyfikatora PartnerID z kontem używanym do zarządzania klientami.

Upewnij się, że masz dostęp administratora

Musisz mieć dostęp administratora do zarządzania usługami klienta i otrzymywania środków uzyskanych. Aby uzyskać więcej informacji na temat środków uzyskanych przez partnerów, zobacz Środki uzyskane przez partnerów.

Aby określić, czy masz dostęp administratora, wykonaj następujące czynności:

  • Przejrzyj plik dziennego użycia: Przejrzyj cenę jednostkową i obowiązującą cenę jednostkową w pliku dziennego użycia i sprawdź, czy rabat jest stosowany. Jeśli otrzymujesz rabat, jesteś administratorem.

Tworzenie alertu usługi Azure Monitor

Możesz utworzyć dziennik aktywności Alert usługi Azure Monitor, aby otrzymywać powiadomienia, jeśli dostęp RBAC zostanie usunięty z subskrypcji CSP.

Aby utworzyć alert usługi Azure Monitor, wykonaj następujące kroki:

  1. Utwórz alert.

    Zrzut ekranu przedstawiający alert witryny Azure Portal.

  2. Wybierz typ akcji, którą chcesz wykonać alert.

    Jeśli na przykład określisz, że chcesz wysłać wiadomość e-mail, otrzymasz wiadomość e-mail z powiadomieniem o usunięciu przypisania roli.

    Zrzut ekranu przedstawiający konfigurowanie alertu w witrynie Azure Portal.

Usuwanie AOBO

Klienci mogą zarządzać dostępem do swoich subskrypcji, przechodząc do obszaru Kontrola dostępu w witrynie Azure Portal. Na karcie Przypisania ról mogą wybrać pozycję Usuń dostęp.

Jeśli klient usunie dostęp, możesz:

Dostęp oparty na rolach różni się od dostępu administratora. Role dokładnie ograniczą to, co można i czego nie można zrobić. Dostęp administratora jest szerszy.

Zawieszanie i ponowne aktywowanie planu platformy Azure

Partnerzy mogą zawiesić lub ponownie aktywować plan platformy Azure bezpośrednio w Centrum partnerskim na stronie szczegółów planu platformy Azure.

  1. W Centrum partnerskim w obszarze Klienci wybierz konto klienta
  2. Przejdź do subskrypcji platformy Azure klienta
  3. Wybieranie planu platformy Azure
  4. Wybierz stan: Wstrzymano , a następnie prześlij , aby zawiesić plan platformy Azure.
  5. Wybierz stan: Aktywny , a następnie prześlij , aby ponownie aktywować plan platformy Azure.

Istniejący plan platformy Azure można zawiesić tylko wtedy, gdy nie ma już żadnych aktywnych zasobów użycia skojarzonych z nim, w tym subskrypcji użycia platformy Azure i rezerwacji platformy Azure.

Partnerzy mogą kupić tylko jeden plan platformy Azure dla konkretnego odsprzedawcy i kombinacji klienta. Jeśli klient odsprzedawcy ma zawieszony plan, klient nie może kupić nowego planu. Anulowanie nie jest dostępne dla planu platformy Azure.

Aby zapoznać się z zawieszeniem planu platformy Azure według interfejsu API, zobacz Zawieszenie subskrypcji — deweloper aplikacji partnerów.

Aby zapoznać się z ponownym aktywowaniem planu platformy Azure według interfejsu API, zobacz Ponowne aktywowanie zawieszonej subskrypcji — deweloper aplikacji partnera.

Anulowanie subskrypcji platformy Azure

W przypadku naruszenia zabezpieczeń subskrypcji planu platformy Azure klienta partnerzy mogą anulować subskrypcje platformy Azure z Centrum partnerskiego. Ta funkcja jest dostępna tylko dla ról agenta administracyjnego. Czynność:

  1. Wybierz klienta z listy klienta
  2. Przejdź do subskrypcji platformy Azure klienta
  3. Wybierz plan platformy Azure, w ramach których znajduje się subskrypcja
  4. Na stronie Szczegółów planu platformy Azure wybierz subskrypcje platformy Azure, które chcesz anulować
  5. Prześlij zmiany, wybierając pozycję Anuluj subskrypcję

Spowoduje to anulowanie tylko wybranych subskrypcji platformy Azure. Klienci z dostępem do subskrypcji platformy Azure mogą ponownie aktywować subskrypcję, jeśli plan platformy Azure jest nadal aktywny. Aby temu zapobiec, partnerzy powinni anulować wszystkie subskrypcje platformy Azure, a następnie sam plan platformy Azure.

Partnerzy mogą wybrać wiele subskrypcji, ale jednocześnie nie mogą anulować więcej niż 10 subskrypcji. Partnerzy mogą anulować plan platformy Azure, jeśli nie ma w niej aktywnych subskrypcji platformy Azure. Dzięki temu partnerzy mogą zamknąć plany i subskrypcje platformy Azure, które mogły zostać naruszone, nawet jeśli zły aktor usunął swoje uprawnienia RBAC.

Partnerzy mogą anulować subskrypcje platformy Azure za pośrednictwem portalu Centrum partnerskiego lub interfejsu API. Aby uzyskać szczegółowe informacje o interfejsie API, zobacz Anulowanie subskrypcji platformy Azure i wypróbowanie jej, zobacz Wydatki na platformę Azure — Anulowanie uprawnień platformy Azure — interfejs API REST.

Aby dowiedzieć się więcej na temat anulowania subskrypcji platformy Azure, zobacz Co się dzieje po anulowaniu subskrypcji?

Ponowna aktywacja subskrypcji platformy Azure

Partnerzy mogą ponownie aktywować subskrypcje platformy Azure, które zostały anulowane z powodu naruszenia zabezpieczeń klienta ze strony szczegółów planu platformy Azure, korzystając z karty Nieaktywne subskrypcje platformy Azure. Ta funkcja jest dostępna tylko dla ról agenta administracyjnego. Czynność:

  1. Wybierz klienta z listy klienta
  2. Przejdź do subskrypcji platformy Azure klienta
  3. Wybierz plan platformy Azure, w ramach których znajduje się subskrypcja
  4. Na stronie szczegółów planu platformy Azure w sekcji Subskrypcja platformy Azure wybierz kartę Nieaktywne
  5. Wybierz subskrypcję platformy Azure, aby ponownie uaktywnić
  6. Prześlij zmiany, wybierając pozycję Aktywuj ponownie subskrypcję

To rozwiązanie reaktywuje tylko wybrane subskrypcje platformy Azure. Partnerzy mogą wybrać wiele subskrypcji, ale jednocześnie nie mogą ponownie uaktywnić więcej niż 10 subskrypcji. Skojarzony plan platformy Azure musi być aktywny, aby ponownie aktywować subskrypcje platformy Azure. Partnerzy mogą ponownie aktywować plany platformy Azure bezpośrednio w Centrum partnerskim, przechodząc do strony szczegółów planu platformy Azure i aktualizując stan planu platformy Azure z powrotem do aktywnej.

Jeśli subskrypcja platformy Azure została anulowana przez klienta lub właściciela rozliczeń w witrynie Azure Portal, należy skontaktować się z klientem lub właścicielem rozliczeń, aby ponownie aktywować subskrypcję w witrynie Azure Portal.

Aby ponownie uaktywnić przy użyciu interfejsu API, zobacz Ponowne aktywowanie subskrypcji platformy Azure — deweloper aplikacji partnerskiej. Aby wypróbować tę akcję, zobacz Wydatki na platformę Azure — ponowne aktywowanie uprawnień platformy Azure.

Więcej informacji na temat ponownego aktywowania subskrypcji platformy Azure można znaleźć w dokumentacji platformy Azure.