Przywracanie uprawnień administratora dla subskrypcji klienta w ramach programu Azure CSP
Odpowiednie role: administrator globalny | Agent Administracja
Gdy jesteś partnerem w programie Dostawca rozwiązań w chmurze (CSP), klienci często zlecają Ci zarządzanie użytkowaniem platformy Azure i ich systemami. Aby im pomóc, musisz mieć uprawnienia administratora. Jeśli nie masz jeszcze uprawnień administratora, możesz je przywrócić we współpracy z klientem.
Uprawnienia administratora na platformie Azure w programie CSP
Niektóre uprawnienia administratora są przyznawane automatycznie podczas ustanawiania relacji odsprzedawcy z klientem. Inne osoby muszą zostać ci przyznane przez klienta.
Istnieją dwa poziomy uprawnień administratora dla platformy Azure w programie CSP:
Uprawnienia administratora na poziomie dzierżawy (czyli delegowane uprawnienia administratora) zapewniają dostęp do dzierżaw klientów. Ten delegowany dostęp umożliwia wykonywanie funkcji administracyjnych, takich jak dodawanie użytkowników i zarządzanie nimi, resetowanie haseł i zarządzanie licencjami użytkowników.
Uprawnienia administratora na poziomie dzierżawy są uzyskiwane podczas ustanawiania relacji odsprzedawców CSP z klientami.
Uprawnienia administratora na poziomie subskrypcji zapewniają pełny dostęp do subskrypcji Azure CSP. Ten dostęp umożliwia aprowizowanie zasobów platformy Azure i zarządzanie nimi.
Uprawnienia administratora na poziomie subskrypcji są uzyskiwane podczas tworzenia subskrypcji programu Azure CSP dla klientów.
Przywrócenie uprawnień administratora CSP: twoje akcje
Ty i Twój klient mają akcje do wykonania w celu przywrócenia uprawnień administratora programu CSP. W tej sekcji opisano akcje, które należy wykonać.
Aby przywrócić uprawnienia administratora CSP, wykonaj następujące czynności:
Zaloguj się do Centrum partnerskiego i wybierz pozycję Klienci.
Na liście klientów wybierz pozycję Zażądaj relacji odsprzedawcy.
W przypadku uprawnień delegowanych Administracja pole wyboru:
- Pozostaw zaznaczone pole wyboru, aby ustanowić relację z delegowanymi uprawnieniami administratora.
- Wyczyść pole wyboru, aby ustanowić relację bez delegowanych uprawnień administratora.
Przejrzyj roboczą wiadomość e-mail z zaproszeniem.
- Wybierz pozycję Otwórz w wiadomości e-mail , aby otworzyć wersję roboczą zaproszenia w domyślnej aplikacji poczty e-mail.
- Wybierz pozycję Kopiuj do schowka, aby skopiować i wkleić zaproszenie do wiadomości e-mail.
Ważne
Możesz edytować tekst w wersji roboczej wiadomości e-mail, ale pamiętaj o dołączeniu spersonalizowanego linku , ponieważ łączy on klienta bezpośrednio z kontem.
Kliknij Gotowe.
Wyślij wiadomość e-mail z zaproszeniem do klienta.
Uwaga
Aby móc zaakceptować żądanie, osoba w organizacji klienta musi być administratorem globalnym dzierżawy klienta.
Klient wybiera link otrzymany w wiadomości e-mail. Link prowadzi je do Centrum microsoft Administracja, gdzie może zaakceptować zaproszenie.
Gdy klient zaakceptuje zaproszenie, pojawi się na stronie Klienci w Centrum partnerskim i będzie można aprowizować usługę klienta oraz zarządzać nią w tym miejscu.
Gdy klient zatwierdzi zaproszenie do relacji odsprzedawcy przy użyciu podanego linku, połącz się z dzierżawą partnera, aby uzyskać
object ID
grupę AdminAgents.Connect-AzAccount -Tenant "Partner tenant" # Get Object ID of AdminAgents group Get-AzADGroup -DisplayName AdminAgents
Upewnij się, że klient ma:
- Rolę Właściciel lub Administrator dostępu użytkowników
- Uprawnienia do tworzenia przypisań ról na poziomie subskrypcji
Przywrócenie uprawnień administratora CSP: akcje klienta
W tej sekcji opisano akcje klienta w celu przywrócenia uprawnień administratora programu CSP.
Aby zakończyć przywracanie uprawnień administratora programu CSP, klient używa programu PowerShell lub interfejsu wiersza polecenia platformy Azure do wykonania następujących kroków:
Klient aktualizuje moduł przy
Az.Resources
użyciu programu PowerShell.Update-Module Az.Resources
Klient łączy się z dzierżawą, w której istnieje subskrypcja CSP.
Connect-AzAccount -TenantID "<Customer tenant>"
az login --tenant <Customer tenant>
Klient łączy się z subskrypcją.
Ten krok ma zastosowanie tylko wtedy, gdy użytkownik ma uprawnienia do przypisywania ról w wielu subskrypcjach w dzierżawie.
Set-AzContext -SubscriptionID "<CSP Subscription ID>"
az account set --subscription <CSP Subscription ID>
Klient tworzy przypisanie roli.
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
Zamiast udzielać uprawnień właściciela na poziomie subskrypcji , można je udzielić na poziomie grupy zasobów lub zasobu :
Na poziomie grupy zasobów
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
Na poziomie zasobu
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
Rozwiązywanie problemów z krokami klienta
Jeśli klient nie może wykonać powyższych kroków, zasugeruj następujące polecenie i podaj wynikowy newRoleAssignment.log
plik firmie Microsoft w celu dalszej analizy:
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log
Przywrócenie uprawnień administratora CSP: procedura catchall programu PowerShell
Jeśli kroki opisane w poprzednich sekcjach nie działają lub jeśli występują błędy podczas ich próby, spróbuj wykonać następującą procedurę "catchall", aby przywrócić prawa administratora dla klienta:
Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"
Jeśli procedura "catchall" kończy się niepowodzeniem w lokalizacji Import-Module
, spróbuj wykonać następujące czynności:
- Jeśli importowanie nie powiedzie się, ponieważ moduł jest w użyciu, uruchom ponownie sesję programu PowerShell, zamykając i ponownie otwórz wszystkie okna.
- Sprawdź wersję programu za pomocą polecenia
Az.Resources
Get-Module Az.Resources -ListAvailable
.- Jeśli wersja 4.1.1 nie znajduje się na liście dostępnych, musisz użyć polecenia
Update-Module Az.Resources -Force
.
- Jeśli wersja 4.1.1 nie znajduje się na liście dostępnych, musisz użyć polecenia
- Jeśli wystąpi błąd, który
Az.Accounts
musi być określoną wersją, zaktualizuj również ten moduł, zastępując elementAz.Resources
.Az.Accounts
Następnie należy ponownie uruchomić sesję programu PowerShell.
Następne kroki
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla