Compartilhar via


Gerenciar assinaturas e recursos no âmbito do plano do Azure

Funções apropriadas: Agente administrativo

Este artigo explica como os parceiros do CSP (Provedor de Soluções na Nuvem) podem usar várias opções de RBAC (controle de acesso baseado em função) para obter controle operacional e gerenciamento dos recursos do Azure de um cliente.

Ao fazer a transição de um cliente para o plano do Azure, você recebe direitos de administrador privilegiados no Azure, direitos de proprietário da assinatura por meio do AOBO (Administrador em Nome de) por padrão.

Observação

Os direitos de administrador da assinatura do Azure podem ser removidos pelo cliente no nível da assinatura, no nível do grupo de recursos ou no nível da carga de trabalho.

Os parceiros podem obter controle operacional contínuo e gerenciamento dos recursos do Azure de um cliente no CSP usando várias opções disponíveis por meio do RBAC (recurso de controle de acesso baseado em função).

  • Administrador em nome de – com o AOBO, qualquer usuário com a função de agente administrador no locatário do parceiro tem acesso de proprietário do RBAC às assinaturas do Azure que você cria por meio do programa CSP.

  • Azure Lighthouse: o AOBO não tem a flexibilidade de criar grupos distintos que funcionam com clientes diferentes ou habilitar funções diferentes para grupos ou usuários. No entanto, usando o Azure Lighthouse, você pode atribuir grupos diferentes a clientes ou funções diferentes. Como os usuários têm o nível apropriado de acesso por meio do gerenciamento de recursos delegados do Azure, você pode reduzir o número de usuários que têm a função de agente administrador (e, portanto, têm acesso AOBO completo). Isso ajuda a melhorar a segurança, limitando o acesso desnecessário aos recursos de seus clientes. Isso também proporciona mais flexibilidade para gerenciar vários clientes em escala. Para saber mais, veja Azure Lighthouse e o programa do Provedor de Soluções na Nuvem.

  • Diretório ou Usuários Convidados ou Entidades de Serviço: você pode delegar acesso granular a assinaturas do CSP adicionando usuários no diretório do cliente ou adicionando usuários convidados e atribuindo funções RBAC específicas.

Como prática de segurança, a Microsoft recomenda atribuir aos usuários as permissões mínimas necessárias para realizar seu trabalho. Para obter mais informações, consulte Recursos do Microsoft Entra Privileged Identity Management.

A tabela a seguir mostra os métodos usados para associar seu PartnerID (anteriormente ID do MPN) a várias opções de acesso RBAC.

Categoria Cenário Associação de PartnerID
AOBO O parceiro direto ou o provedor indireto do CSP cria a assinatura para o cliente, tornando o parceiro direto ou o provedor indireto do CSP o proprietário padrão da assinatura usando o AOBO. O parceiro direto ou provedor indireto do CSP fornece acesso de revendedor indireto à assinatura usando o AOBO. Automático (não requer esforço do parceiro)
Azure Lighthouse O parceiro cria uma nova oferta de serviço gerenciado no Marketplace. A oferta é aceita na assinatura do CSP e o parceiro obtém acesso à assinatura do CSP. Automático (não requer esforço do parceiro)
Azure Lighthouse O parceiro implanta um modelo do ARM (Azure Resource Manager) na assinatura do Azure O parceiro deve associar o PartnerID ao usuário ou à entidade de serviço no locatário do parceiro. Para obter mais informações, consulte Vincular seu PartnerID para acompanhar seu impacto nos recursos delegados.
Usuário de diretório ou convidado O parceiro cria um novo usuário ou entidade de serviço no diretório do cliente e fornece acesso à assinatura do CSP para o usuário. O parceiro cria um novo usuário ou entidade de serviço no diretório do cliente. O parceiro adiciona o usuário a um grupo e dá acesso à assinatura do CSP para o grupo. O parceiro deve associar o PartnerID ao usuário ou à entidade de serviço no locatário do cliente. Para obter mais informações, consulte Vincular um PartnerID à sua conta usada para gerenciar clientes.

Confirme se você tem acesso de administrador

Você deve ter acesso de administrador para gerenciar os serviços do seu cliente e receber créditos ganhos. Para obter mais informações sobre créditos ganhos, consulte Créditos ganhos pelo parceiro.

Para determinar se você tem acesso de administrador, use as seguintes etapas:

  • Revise o arquivo de uso diário: revise o preço unitário e o preço unitário efetivo no arquivo de uso diário e confirme se um desconto está sendo aplicado. Se você estiver recebendo o desconto, você é o administrador.

Criar um alerta no Azure Monitor

Você pode criar um Alerta do Azure Monitor do log de atividades para ser notificado se o acesso RBAC for removido de uma assinatura do CSP.

Para criar um alerta do Azure Monitor, use as seguintes etapas:

  1. Crie um alerta.

    Captura de tela de um alerta do portal do Azure.

  2. Selecione o tipo de ação que você deseja que o alerta execute.

    Por exemplo, se você especificar que deseja um e-mail, receberá um e-mail notificando se ocorrer alguma exclusão de atribuição de função.

    Captura de tela no portal do Azure de configuração de um alerta.

Remoção do AOBO

Os clientes podem gerenciar o acesso às suas assinaturas acessando o Controle de Acesso no portal do Azure. Na guia Atribuições de função, eles podem selecionar Remover acesso.

Se um cliente remover seu acesso, você poderá:

O acesso baseado em função difere do acesso de administrador. As funções delimitam com precisão o que você pode ou não pode fazer. O acesso de administrador é mais amplo.

Suspender e reativar um plano do Azure

Os parceiros podem suspender ou reativar o plano do Azure diretamente no Partner Center na página de detalhes do plano do Azure.

  1. No Partner Center, em Clientes, selecione a conta do cliente
  2. Navegue até as assinaturas do Azure do cliente
  3. Selecione o plano do Azure
  4. Selecione o Status: Suspenso e, em seguida, Enviar para suspender o plano do Azure.
  5. Selecione o Status: Ativo e, em seguida, Enviar para reativar o plano do Azure.

Você só poderá suspender um plano existente do Azure se ele não tiver mais ativos de uso ativos associados a ele, incluindo assinaturas de uso do Azure e reservas do Azure.

Os parceiros só podem comprar um plano do Azure por combinação específica de revendedor e cliente. Se o cliente de um revendedor tiver um plano suspenso, esse cliente não poderá comprar um novo plano. O cancelamento não está disponível para o plano do Azure.

Para suspensão do plano do Azure por API, consulte Suspender uma assinatura – Desenvolvedor de aplicativo parceiro.

Para reativação do plano do Azure pela API, consulte Reativar uma assinatura suspensa – Desenvolvedor de aplicativo parceiro.

Cancelar uma assinatura do Azure

Caso as assinaturas do plano do Azure do cliente tenham sido comprometidas, os parceiros poderão cancelar as assinaturas do Azure no Partner Center. Esse recurso está disponível apenas para funções de Agente Administrador. Para fazer isso:

  1. Selecione o Cliente na lista de clientes
  2. Navegue até as assinaturas do Azure do cliente
  3. Selecione o plano do Azure em que a assinatura está
  4. Na página de detalhes do plano do Azure, selecione as assinaturas do Azure a serem canceladas
  5. Envie as alterações selecionando Cancelar assinatura

Isso cancela apenas as assinaturas selecionadas do Azure. Os clientes com acesso à assinatura do Azure podem reativar a assinatura se o plano do Azure ainda estiver ativo. Para impedir que isso aconteça, os Parceiros devem cancelar todas as assinaturas do Azure e, em seguida, o próprio plano do Azure.

Os parceiros podem selecionar várias assinaturas, mas não podem cancelar mais de 10 assinaturas por vez. Os parceiros podem cancelar o plano do Azure quando não houver assinaturas ativas do Azure nele. Isso permite que os parceiros desliguem os planos e assinaturas do Azure que podem ter sido comprometidos, mesmo que um ator mal-intencionado tenha removido suas permissões RBAC.

Os parceiros podem cancelar assinaturas do Azure por meio do portal do Partner Center ou por API. Para obter detalhes da API, consulte Cancelar uma assinatura do Azure e, para experimentá-la, consulte Gastos do Azure – Cancelar um direito do Azure – API REST.

Para saber mais sobre como cancelar assinaturas do Azure, confira O que acontece após o cancelamento da assinatura?

Reativar uma assinatura do Azure

Os parceiros podem reativar as assinaturas do Azure que foram canceladas devido ao comprometimento do cliente na página de detalhes do plano do Azure, usando a guia Assinaturas inativas do Azure. Esse recurso está disponível apenas para funções de Agente Administrador. Para fazer isso:

  1. Selecione o Cliente na lista de clientes
  2. Navegue até as assinaturas do Azure do cliente
  3. Selecione o plano do Azure em que a assinatura está
  4. Na página de detalhes do plano do Azure, na seção Assinatura do Azure, selecione a guia Inativo
  5. Selecione a assinatura do Azure para reativar
  6. Envie as alterações selecionando Reativar assinatura

Isso reativa apenas as assinaturas selecionadas do Azure. Os parceiros podem selecionar várias assinaturas, mas não podem reativar mais de 10 assinaturas por vez. O plano do Azure associado deve estar ativo para reativar as assinaturas do Azure. Os parceiros podem reativar os planos do Azure diretamente no Partner Center acessando a página de detalhes do plano do Azure e atualizando o status do plano do Azure de volta para Ativo.

Se a assinatura do Azure tiver sido cancelada pelo cliente ou proprietário da cobrança no portal do Azure, o cliente ou proprietário da cobrança precisará ser contatado para reativar a assinatura no portal do Azure.

Para reativar pela API, consulte Reativar uma assinatura do Azure – Desenvolvedor de aplicativos parceiros. Para experimentá-lo, consulte Gastos do Azure – Reativar um direito do Azure.

Mais informações sobre como reativar assinaturas do Azure podem ser encontradas na documentação do Azure.