Przywracanie uprawnień administratora dla subskrypcji klienta w ramach programu Azure CSP

Odpowiednie role: administrator globalny | Agent Administracja

Gdy jesteś partnerem w programie Dostawca rozwiązań w chmurze (CSP), klienci często zlecają Ci zarządzanie użytkowaniem platformy Azure i ich systemami. Aby im pomóc, musisz mieć uprawnienia administratora. Jeśli nie masz jeszcze uprawnień administratora, możesz je przywrócić we współpracy z klientem.

Uprawnienia administratora na platformie Azure w programie CSP

Niektóre uprawnienia administratora są przyznawane automatycznie podczas ustanawiania relacji odsprzedawcy z klientem. Inne osoby muszą zostać ci przyznane przez klienta.

Istnieją dwa poziomy uprawnień administratora dla platformy Azure w programie CSP:

• Uprawnienia administratora na poziomie dzierżawy (czyli delegowane uprawnienia administratora) zapewniają dostęp do dzierżaw klientów. Ten delegowany dostęp umożliwia wykonywanie funkcji administracyjnych, takich jak dodawanie użytkowników i zarządzanie nimi, resetowanie haseł i zarządzanie licencjami użytkowników.

  Uprawnienia administratora na poziomie dzierżawy są uzyskiwane podczas ustanawiania relacji odsprzedawców CSP z klientami.

• Uprawnienia administratora na poziomie subskrypcji zapewniają pełny dostęp do subskrypcji Azure CSP. Ten dostęp umożliwia aprowizowanie zasobów platformy Azure i zarządzanie nimi.

  Uprawnienia administratora na poziomie subskrypcji są uzyskiwane podczas tworzenia subskrypcji programu Azure CSP dla klientów.

Przywrócenie uprawnień administratora CSP: twoje akcje

Ty i Twój klient mają akcje do wykonania w celu przywrócenia uprawnień administratora programu CSP. W tej sekcji opisano akcje, które należy wykonać.

Aby przywrócić uprawnienia administratora CSP, wykonaj następujące czynności:

1. Zaloguj się do Centrum partnerskiego i wybierz pozycję Klienci.

2. Na liście klientów wybierz pozycję Zażądaj relacji odsprzedawcy.

3. W przypadku uprawnień delegowanych Administracja pole wyboru:

   • Pozostaw zaznaczone pole wyboru, aby ustanowić relację z delegowanymi uprawnieniami administratora.
   • Wyczyść pole wyboru, aby ustanowić relację bez delegowanych uprawnień administratora.

   

4. Przejrzyj roboczą wiadomość e-mail z zaproszeniem.

   • Wybierz pozycję Otwórz w wiadomości e-mail , aby otworzyć wersję roboczą zaproszenia w domyślnej aplikacji poczty e-mail.
   • Wybierz pozycję Kopiuj do schowka, aby skopiować i wkleić zaproszenie do wiadomości e-mail.

   Ważne

   Możesz edytować tekst w wersji roboczej wiadomości e-mail, ale pamiętaj o dołączeniu spersonalizowanego linku , ponieważ łączy on klienta bezpośrednio z kontem.

5. Kliknij Gotowe.

6. Wyślij wiadomość e-mail z zaproszeniem do klienta.

   Uwaga

   Aby móc zaakceptować żądanie, osoba w organizacji klienta musi być administratorem globalnym dzierżawy klienta.

   • Klient wybiera link otrzymany w wiadomości e-mail. Link prowadzi je do Centrum microsoft Administracja, gdzie może zaakceptować zaproszenie.

   • Gdy klient zaakceptuje zaproszenie, pojawi się na stronie Klienci w Centrum partnerskim i będzie można aprowizować usługę klienta oraz zarządzać nią w tym miejscu.

7. Gdy klient zatwierdzi zaproszenie do relacji odsprzedawcy przy użyciu podanego linku, połącz się z dzierżawą partnera, aby uzyskać object ID grupę AdminAgents.

   Connect-AzAccount -Tenant "Partner tenant"
   # Get Object ID of AdminAgents group
   Get-AzADGroup -DisplayName AdminAgents
   

8. Upewnij się, że klient ma:

   • Rolę Właściciel lub Administrator dostępu użytkowników
   • Uprawnienia do tworzenia przypisań ról na poziomie subskrypcji

Przywrócenie uprawnień administratora CSP: akcje klienta

W tej sekcji opisano akcje klienta w celu przywrócenia uprawnień administratora programu CSP.

Aby zakończyć przywracanie uprawnień administratora programu CSP, klient używa programu PowerShell lub interfejsu wiersza polecenia platformy Azure do wykonania następujących kroków:

1. Klient aktualizuje moduł przy Az.Resources użyciu programu PowerShell.

   Update-Module Az.Resources
   

2. Klient łączy się z dzierżawą, w której istnieje subskrypcja CSP.

   Connect-AzAccount -TenantID "<Customer tenant>"
   

   az login --tenant <Customer tenant>
   

3. Klient łączy się z subskrypcją.

   Ten krok ma zastosowanie tylko wtedy, gdy użytkownik ma uprawnienia do przypisywania ról w wielu subskrypcjach w dzierżawie.

   Set-AzContext -SubscriptionID "<CSP Subscription ID>"
   

   az account set --subscription <CSP Subscription ID>
   

4. Klient tworzy przypisanie roli.

   New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
   

   az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
   

Zamiast udzielać uprawnień właściciela na poziomie subskrypcji , można je udzielić na poziomie grupy zasobów lub zasobu :

• Na poziomie grupy zasobów

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
  

• Na poziomie zasobu

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
  

Rozwiązywanie problemów z krokami klienta

Jeśli klient nie może wykonać powyższych kroków, zasugeruj następujące polecenie i podaj wynikowy newRoleAssignment.log plik firmie Microsoft w celu dalszej analizy:

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

Przywrócenie uprawnień administratora CSP: procedura catchall programu PowerShell

Jeśli kroki opisane w poprzednich sekcjach nie działają lub jeśli występują błędy podczas ich próby, spróbuj wykonać następującą procedurę "catchall", aby przywrócić prawa administratora dla klienta:

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

Jeśli procedura "catchall" kończy się niepowodzeniem w lokalizacji Import-Module, spróbuj wykonać następujące czynności:

• Jeśli importowanie nie powiedzie się, ponieważ moduł jest w użyciu, uruchom ponownie sesję programu PowerShell, zamykając i ponownie otwórz wszystkie okna.
• Sprawdź wersję programu za pomocą polecenia Az.ResourcesGet-Module Az.Resources -ListAvailable.
  • Jeśli wersja 4.1.1 nie znajduje się na liście dostępnych, musisz użyć polecenia Update-Module Az.Resources -Force.
• Jeśli wystąpi błąd, który Az.Accounts musi być określoną wersją, zaktualizuj również ten moduł, zastępując element Az.Resources .Az.Accounts Następnie należy ponownie uruchomić sesję programu PowerShell.

Następne kroki

• Zarządzanie subskrypcjami i zasobami w ramach planu platformy Azure