Compartilhar via


Restabelecer privilégios de administrador para assinaturas de CSP do Azure de um cliente

Funções apropriadas: Administrador global | Agente de administração

Na condição de um parceiro do programa CSP (Provedor de Soluções na Nuvem), muitas vezes os clientes confiam em você para gerenciar o uso que eles fazem do Azure e dos sistemas deles. Você precisa ter privilégios de administrador para ajudar. Se você ainda não tem privilégios de administrador, trabalhe com seu cliente para estabelecê-los.

Privilégios de administrador para o Azure no programa CSP

Alguns privilégios de administrador são concedidos automaticamente quando você estabelece uma relação de revendedor com um cliente. Outros devem ser concedidos a você por um cliente.

Há dois níveis de privilégios de administrador para o Azure no CSP:

  • Os privilégios de administrador no nível do locatário (ou seja, privilégios de administrador delegado) fornecem acesso aos locatários de seus clientes. Esse acesso delegado permite que você execute funções administrativas, como adicionar e gerenciar usuários, redefinir senhas e gerenciar licenças de usuário.

    Você obtém privilégios de administrador no nível do locatário ao estabelecer relações de revendedor do CSP com os clientes.

  • Os privilégios de administrador no nível da assinatura fornecem a você acesso completo às assinaturas do CSP do Azure de seus clientes. Esse acesso permite que você provisione e gerencie os recursos do Azure dos seus clientes.

    Você obtém privilégios de administrador no nível da assinatura ao criar assinaturas do Azure CSP para seus clientes.

Restabelecer seus privilégios de administrador do CSP: suas ações

Você e seu cliente têm ações a serem executadas para restabelecer seus privilégios de administrador do CSP. Esta seção descreve as ações a serem executadas.

Para restabelecer seus privilégios de administrador do CSP, use as seguintes etapas:

  1. Entre no Partner Center e selecione Clientes.

  2. Na Lista de Clientes, selecione Solicitar uma relação de revendedor.

  3. Para a caixa de seleção Privilégios de Administrador Delegado:

    • Deixe a caixa de seleção marcada para estabelecer a relação com privilégios de administrador delegado.
    • Desmarque a caixa de seleção para estabelecer a relação sem privilégios de administrador delegado.

    Captura de tela da página

  4. Revise o rascunho do convite por e-mail.

    • Selecione Abrir no email para abrir o rascunho de convite em seu aplicativo de email padrão.
    • Selecione Copiar para a área de transferência para copiar e colar o convite em uma mensagem de email.

    Importante

    Você pode editar o texto no rascunho da mensagem de email, mas certifique-se de incluir o link personalizado, pois ele vincula o cliente diretamente à sua conta.

  5. Selecione Concluído.

  6. Envie o convite por e-mail para seu cliente.

    Observação

    Para poder aceitar a solicitação, a pessoa na organização do cliente deve ser um administrador global do locatário do cliente.

    • Seu cliente seleciona o link que recebeu no e-mail. O link os leva ao Centro de Administração da Microsoft, onde eles podem aceitar seu convite.
    • Depois que o cliente aceitar seu convite, ele aparecerá na página Clientes no Partner Center, onde você poderá provisionar e gerenciar o serviço para o cliente.
  7. Depois que o cliente aprovar o convite de relacionamento de revendedor usando o link fornecido, conecte-se ao locatário do parceiro para obter o object ID do grupo AdminAgents.

    Connect-AzAccount -Tenant "Partner tenant"
    # Get Object ID of AdminAgents group
    Get-AzADGroup -DisplayName AdminAgents
    
  8. Verifique se o seu cliente tem:

    • A função de proprietário ou administrador de acesso do usuário
    • Permissões para criar atribuições de função no nível da assinatura

Restabelecer seus privilégios de administrador do CSP: ações do cliente

Esta seção descreve as ações do cliente para restabelecer seus privilégios de administrador do CSP.

Para concluir o restabelecimento de seus privilégios de administrador do CSP, seu cliente usa o PowerShell ou a CLI do Azure para executar as seguintes etapas:

  1. Seu cliente usa o PowerShell para atualizar o Az.Resources módulo.

    Update-Module Az.Resources
    
  2. Seu cliente se conecta ao locatário no qual a assinatura do CSP existe.

    Connect-AzAccount -TenantID "<Customer tenant>"
    
    az login --tenant <Customer tenant>
    
  3. Seu cliente se conecta à assinatura.

    Essa etapa só será aplicável se o usuário tiver permissões de atribuição de função em várias assinaturas no locatário.

    Set-AzContext -SubscriptionID "<CSP Subscription ID>"
    
    az account set --subscription <CSP Subscription ID>
    
  4. Seu cliente cria a atribuição de função.

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
    
    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
    

Em vez de conceder permissões de proprietário no nível da assinatura, elas podem ser concedidas no nível do grupo de recursos ou do recurso:

  • No nível do grupo de recursos

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
    
    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
    
  • No nível do recurso

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
    
    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
    

Solução de problemas das etapas do cliente

Se o cliente não conseguir concluir as etapas anteriores, sugira o seguinte comando e forneça o arquivo resultante newRoleAssignment.log à Microsoft para análise posterior:

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

Restabelecer seus privilégios de administrador do CSP: procedimento catchall do PowerShell

Se as etapas nas seções anteriores não funcionarem ou se você receber erros ao tentá-las, tente o seguinte procedimento "catchall" para restabelecer os direitos de administrador para seu cliente:

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

Se o procedimento "catchall" falhar em Import-Module, tente as seguintes etapas:

  • Se a importação falhar porque o módulo está em uso, reinicie a sessão do PowerShell fechando e reabrindo todas as janelas.
  • Verifique a versão do Az.Resources com Get-Module Az.Resources -ListAvailable.
    • Se a versão 4.1.1 não estiver na lista disponível, você deverá usar Update-Module Az.Resources -Forceo .
  • Se um erro indicar que Az.Accounts deve ser uma versão específica, atualize esse módulo também, substituindo Az.Resources por Az.Accounts. Em seguida, você precisa reiniciar a sessão do PowerShell.

Como um Revendedor Indireto pode obter privilégios de cliente AOBO (Administrador em Nome de) para assinaturas do Azure

Um Revendedor Indireto pode seguir estas etapas para obter privilégios de cliente AOBO para assinaturas do Azure:

  1. Estabeleça um relacionamento com o cliente final.
  2. Solicite GDAP (privilégios de administrador delegado granular) com o cliente final para assinaturas do Azure.
  3. Verifique em seu próprio portal do Azure a ID do objeto do grupo AdminAgent para seu próprio locatário (para saber como fazer isso, consulte o guia de solução de problemas de crédito ganho pelo parceiro).
  4. Se o Provedor Indireto tiver direitos OBO para as funções de cliente e proprietário do RBAC, ele poderá executar o script fornecido em Restabelecer seus privilégios de administrador do CSP: Ações do cliente para conceder permissões AOBO à ID de objeto do agente de administração do Revendedor Indireto. Como alternativa, o cliente final pode fazer isso se tiver direitos de propriedade sobre a assinatura.