Gerenciar assinaturas e recursos no âmbito do plano do Azure

  • Artigo

Funções apropriadas: Agente administrativo

Este artigo explica como os parceiros do CSP (Provedor de Soluções na Nuvem) podem usar várias opções de controle de acesso baseado em função (RBAC) para obter controle operacional e gerenciamento dos recursos do Azure de um cliente.

Quando você faz a transição de um cliente para o plano do Azure, você recebe direitos de administrador privilegiados no Azure — direitos de proprietário de assinatura por meio de Administrador em Nome de (AOBO) por padrão.

Observação

Os direitos de administrador para a assinatura do Azure podem ser removidos pelo cliente no nível de assinatura, no nível do grupo de recursos ou no nível da carga de trabalho.

Os parceiros podem obter controle operacional contínuo e gerenciamento dos recursos do Azure de um cliente no CSP usando várias opções disponíveis por meio do recurso de controle de acesso baseado em função (RBAC).

  • Admin em nome de - Com o AOBO, qualquer usuário com a função de agente Admin no locatário parceiro tem acesso de proprietário RBAC às assinaturas do Azure que você cria por meio do programa CSP.

  • Azure Lighthouse: o AOBO não tem a flexibilidade de criar grupos distintos que trabalham com clientes diferentes ou de habilitar funções diferentes para grupos ou usuários. No entanto, usando o Farol do Azure, você pode atribuir grupos diferentes a clientes ou funções diferentes. Como os usuários têm o nível apropriado de acesso por meio do gerenciamento de recursos delegados do Azure, você pode reduzir o número de usuários que têm a função de agente Admin (e, portanto, têm acesso AOBO total). Isso ajuda a melhorar a segurança, limitando o acesso desnecessário aos recursos de seus clientes. Isso também proporciona mais flexibilidade para gerenciar vários clientes em escala. Para saber mais, veja Azure Lighthouse e o programa do Provedor de Soluções na Nuvem.

  • Diretório ou Usuários Convidados ou Entidades de Serviço: Você pode delegar acesso granular a assinaturas CSP adicionando usuários no diretório do cliente ou adicionando usuários convidados e atribuindo funções RBAC específicas.

Como prática de segurança, a Microsoft recomenda atribuir aos usuários as permissões mínimas necessárias para realizar seu trabalho. Para obter mais informações, consulte Recursos do Microsoft Entra Privileged Identity Management.

A tabela a seguir mostra os métodos usados para associar seu PartnerID (anteriormente MPN ID) a várias opções de acesso RBAC.

Categoria Cenário Associação PartnerID
AOBO O parceiro direto ou provedor indireto do CSP cria a assinatura para o cliente, tornando o parceiro direto ou o provedor indireto do CSP o proprietário padrão da assinatura usando AOBO. O parceiro direto ou provedor indireto da CSP dá ao revendedor indireto acesso à assinatura usando AOBO. Automático (não requer esforço do parceiro)
Azure Lighthouse O parceiro cria uma nova oferta de Serviço Gerenciado no Marketplace. A oferta é aceita na assinatura CSP e o parceiro obtém acesso à assinatura CSP. Automático (não requer esforço do parceiro)
Azure Lighthouse O parceiro implanta um modelo do Azure Resource Manager (ARM) na assinatura do Azure O parceiro deve associar o PartnerID ao usuário ou à entidade de serviço no locatário do parceiro. Para obter mais informações, consulte Vincular seu PartnerID para controlar seu impacto nos recursos delegados.
Diretório ou Usuário convidado O parceiro cria um novo usuário ou entidade de serviço no diretório do cliente e fornece acesso à assinatura do CSP para o usuário. O parceiro cria um novo usuário ou entidade de serviço no diretório do cliente. O parceiro adiciona o usuário a um grupo e dá acesso à assinatura do CSP para o grupo. O parceiro deve associar o PartnerID ao usuário ou à entidade de serviço no locatário do cliente. Para obter mais informações, consulte Vincular um PartnerID à sua conta usada para gerenciar clientes.

Confirme se você tem acesso de administrador

Você deve ter acesso de administrador para gerenciar os serviços do cliente e receber créditos ganhos. Para obter mais informações sobre créditos ganhos, consulte Créditos ganhos por parceiros.

Para determinar se você tem acesso de administrador, use as seguintes etapas:

  • Revise o arquivo de uso diário: revise o preço unitário e o preço unitário efetivo no arquivo de uso diário e confirme se um desconto está sendo aplicado. Se você está recebendo o desconto, você é o administrador.

Criar um alerta no Azure Monitor

Você pode criar um Alerta do Monitor do Azure de log de atividades para ser notificado se seu acesso RBAC for removido de uma assinatura CSP.

Para criar um alerta do monitor do Azure, use as seguintes etapas:

  1. Crie um alerta.

    Screenshot of an Azure portal alert.

  2. Selecione o tipo de ação que você deseja que o alerta execute.

    Por exemplo, se você especificar que deseja um email, receberá um email notificando se ocorrer alguma exclusão de atribuição de função.

    Screenshot in the Azure portal of configuring an alert.

Remoção do AOBO

Os clientes podem gerenciar o acesso às suas assinaturas acessando o Controle de Acesso no portal do Azure. Na guia Atribuições de função, eles podem selecionar Remover acesso.

Se um cliente remover seu acesso, você poderá:

O acesso baseado em função difere do acesso de administrador. As funções delimitam com precisão o que você pode ou não pode fazer. O acesso de administrador é mais amplo.

Para ver as funções elegíveis para ganhar crédito ganho pelo parceiro (PEC), consulte Funções e permissões para o crédito ganho pelo parceiro.

Suspender e reativar um plano do Azure

Os parceiros podem suspender ou reativar o plano do Azure diretamente no Partner Center na página de detalhes do plano do Azure.

  1. No Partner Center, em Clientes, selecione a conta do cliente
  2. Navegue até as assinaturas do Azure do cliente
  3. Selecione o plano do Azure
  4. Selecione o Status: Suspenso e, em seguida, Enviar para suspender o plano do Azure.
  5. Selecione o Status: Ativo e Enviar para reativar o plano do Azure.

Você só poderá suspender um plano existente do Azure se ele não tiver mais ativos de uso ativos associados a ele, incluindo assinaturas de uso do Azure e reservas do Azure.

Os parceiros só podem comprar um plano do Azure por combinação específica de revendedor e cliente. Se o cliente de um revendedor tiver um plano suspenso, esse cliente não poderá comprar um novo plano. O cancelamento não está disponível para o plano do Azure.

Para suspensão do plano do Azure por API, consulte Suspender uma assinatura - Desenvolvedor de aplicativo parceiro.

Para reativação do plano do Azure por API, consulte Reativar uma assinatura suspensa - Desenvolvedor de aplicativo parceiro.

Cancelar uma assinatura do Azure

Caso as assinaturas do plano do Azure do cliente tenham sido comprometidas, os Parceiros podem cancelar as assinaturas do Azure no Partner Center. Esse recurso está disponível apenas para Administradores Globais com funções de Agente Administrador. Para fazer isso:

  1. Selecione o Cliente na lista de clientes
  2. Navegue até as assinaturas do Azure do cliente
  3. Selecione o plano do Azure em que a assinatura está
  4. Na página de detalhes do plano do Azure, selecione as assinaturas do Azure a serem canceladas
  5. Envie as alterações selecionando Cancelar assinatura

Isso cancela apenas as assinaturas selecionadas do Azure. Os clientes com acesso à assinatura do Azure podem reativar a assinatura se o plano do Azure ainda estiver ativo. Para impedir que isso aconteça, os Parceiros devem cancelar todas as assinaturas do Azure e, em seguida, o próprio plano do Azure.

Os parceiros podem selecionar várias assinaturas, mas não podem cancelar mais de 10 assinaturas por vez. Os parceiros podem cancelar o plano do Azure quando não houver assinaturas ativas do Azure sob ele. Isso permite que os parceiros encerrem planos e assinaturas do Azure que possam ter sido comprometidos, mesmo que um ator mal-intencionado tenha removido suas permissões RBAC.

Os parceiros podem cancelar assinaturas do Azure por meio do portal do Partner Center ou pela API. Para obter detalhes da API, consulte Cancelar uma assinatura do Azure e, para experimentá-la, consulte Gastos do Azure - Cancelar um direito do Azure - API REST.

Para saber mais sobre como cancelar assinaturas do Azure, consulte O que acontece após o cancelamento da assinatura?

Reativar uma assinatura do Azure

Os parceiros podem reativar as assinaturas do Azure que foram canceladas devido ao comprometimento do cliente na página de detalhes do plano do Azure, usando a guia Assinaturas inativas do Azure. Esse recurso está disponível apenas para Administradores Globais com funções de Agente Administrador. Para fazer isso:

  1. Selecione o Cliente na lista de clientes
  2. Navegue até as assinaturas do Azure do cliente
  3. Selecione o plano do Azure em que a assinatura está
  4. Na página de detalhes do plano do Azure, na seção Assinatura do Azure, selecione a guia Inativo
  5. Selecione a assinatura do Azure para reativar
  6. Envie as alterações selecionando Reativar assinatura

Isso reativa apenas as assinaturas selecionadas do Azure. Os parceiros podem selecionar várias assinaturas, mas não podem reativar mais de 10 assinaturas por vez. O plano do Azure associado deve estar ativo para reativar as assinaturas do Azure. Os parceiros podem reativar os planos do Azure diretamente no Partner Center acessando a página de detalhes do plano do Azure e atualizando o status do plano do Azure de volta para Ativo.

Se a assinatura do Azure tiver sido cancelada pelo cliente ou proprietário da cobrança no portal do Azure, o cliente ou proprietário da cobrança precisará ser contatado para reativar a assinatura do portal do Azure.

Para reativar por API, consulte Reativar uma assinatura do Azure - Desenvolvedor de aplicativos de parceiros. Para experimentá-lo, consulte Gastos do Azure - Reativar um direito do Azure.

Saiba mais sobre como reativar assinaturas do Azure pode ser encontrado na documentação do Azure.

Próximas etapas