Restabelecer privilégios de administrador para assinaturas de CSP do Azure de um cliente
Funções apropriadas: Administrador global | Agente de administração
Na condição de um parceiro do programa CSP (Provedor de Soluções na Nuvem), muitas vezes os clientes confiam em você para gerenciar o uso que eles fazem do Azure e dos sistemas deles. Você precisa ter privilégios de administrador para ajudar. Se você ainda não tem privilégios de administrador, trabalhe com seu cliente para estabelecê-los.
Privilégios de administrador para o Azure no programa CSP
Alguns privilégios de administrador são concedidos automaticamente quando você estabelece uma relação de revendedor com um cliente. Outros devem ser concedidos a você por um cliente.
Há dois níveis de privilégios de administrador para o Azure no CSP:
Os privilégios de administrador no nível do locatário (ou seja, privilégios de administrador delegado) fornecem acesso aos locatários de seus clientes. Esse acesso delegado permite que você execute funções administrativas, como adicionar e gerenciar usuários, redefinir senhas e gerenciar licenças de usuário.
Você obtém privilégios de administrador no nível do locatário ao estabelecer relações de revendedor do CSP com os clientes.
Os privilégios de administrador no nível da assinatura fornecem a você acesso completo às assinaturas do CSP do Azure de seus clientes. Esse acesso permite que você provisione e gerencie os recursos do Azure dos seus clientes.
Você obtém privilégios de administrador no nível da assinatura ao criar assinaturas do Azure CSP para seus clientes.
Restabelecer seus privilégios de administrador do CSP: suas ações
Você e seu cliente têm ações a serem executadas para restabelecer seus privilégios de administrador do CSP. Esta seção descreve as ações a serem executadas.
Para restabelecer seus privilégios de administrador do CSP, use as seguintes etapas:
Entre no Partner Center e selecione Clientes.
Na Lista de Clientes, selecione Solicitar uma relação de revendedor.
Para a caixa de seleção Privilégios de Administrador Delegado:
- Deixe a caixa de seleção marcada para estabelecer a relação com privilégios de administrador delegado.
- Desmarque a caixa de seleção para estabelecer a relação sem privilégios de administrador delegado.
Revise o rascunho do convite por e-mail.
- Selecione Abrir no email para abrir o rascunho de convite em seu aplicativo de email padrão.
- Selecione Copiar para a área de transferência para copiar e colar o convite em uma mensagem de email.
Importante
Você pode editar o texto no rascunho da mensagem de email, mas certifique-se de incluir o link personalizado, pois ele vincula o cliente diretamente à sua conta.
Selecione Concluído.
Envie o convite por e-mail para seu cliente.
Observação
Para poder aceitar a solicitação, a pessoa na organização do cliente deve ser um administrador global do locatário do cliente.
- Seu cliente seleciona o link que recebeu no e-mail. O link os leva ao Centro de Administração da Microsoft, onde eles podem aceitar seu convite.
- Depois que o cliente aceitar seu convite, ele aparecerá na página Clientes no Partner Center, onde você poderá provisionar e gerenciar o serviço para o cliente.
Depois que o cliente aprovar o convite de relacionamento de revendedor usando o link fornecido, conecte-se ao locatário do parceiro para obter o
object ID
do grupo AdminAgents.Connect-AzAccount -Tenant "Partner tenant" # Get Object ID of AdminAgents group Get-AzADGroup -DisplayName AdminAgents
Verifique se o seu cliente tem:
- A função de proprietário ou administrador de acesso do usuário
- Permissões para criar atribuições de função no nível da assinatura
Restabelecer seus privilégios de administrador do CSP: ações do cliente
Esta seção descreve as ações do cliente para restabelecer seus privilégios de administrador do CSP.
Para concluir o restabelecimento de seus privilégios de administrador do CSP, seu cliente usa o PowerShell ou a CLI do Azure para executar as seguintes etapas:
Seu cliente usa o PowerShell para atualizar o
Az.Resources
módulo.Update-Module Az.Resources
Seu cliente se conecta ao locatário no qual a assinatura do CSP existe.
Connect-AzAccount -TenantID "<Customer tenant>"
az login --tenant <Customer tenant>
Seu cliente se conecta à assinatura.
Essa etapa só será aplicável se o usuário tiver permissões de atribuição de função em várias assinaturas no locatário.
Set-AzContext -SubscriptionID "<CSP Subscription ID>"
az account set --subscription <CSP Subscription ID>
Seu cliente cria a atribuição de função.
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
Em vez de conceder permissões de proprietário no nível da assinatura, elas podem ser concedidas no nível do grupo de recursos ou do recurso:
No nível do grupo de recursos
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
No nível do recurso
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
Solução de problemas das etapas do cliente
Se o cliente não conseguir concluir as etapas anteriores, sugira o seguinte comando e forneça o arquivo resultante newRoleAssignment.log
à Microsoft para análise posterior:
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log
Restabelecer seus privilégios de administrador do CSP: procedimento catchall do PowerShell
Se as etapas nas seções anteriores não funcionarem ou se você receber erros ao tentá-las, tente o seguinte procedimento "catchall" para restabelecer os direitos de administrador para seu cliente:
Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"
Se o procedimento "catchall" falhar em Import-Module
, tente as seguintes etapas:
- Se a importação falhar porque o módulo está em uso, reinicie a sessão do PowerShell fechando e reabrindo todas as janelas.
- Verifique a versão do
Az.Resources
comGet-Module Az.Resources -ListAvailable
.- Se a versão 4.1.1 não estiver na lista disponível, você deverá usar
Update-Module Az.Resources -Force
o .
- Se a versão 4.1.1 não estiver na lista disponível, você deverá usar
- Se um erro indicar que
Az.Accounts
deve ser uma versão específica, atualize esse módulo também, substituindoAz.Resources
porAz.Accounts
. Em seguida, você precisa reiniciar a sessão do PowerShell.
Como um Revendedor Indireto pode obter privilégios de cliente AOBO (Administrador em Nome de) para assinaturas do Azure
Um Revendedor Indireto pode seguir estas etapas para obter privilégios de cliente AOBO para assinaturas do Azure:
- Estabeleça um relacionamento com o cliente final.
- Solicite GDAP (privilégios de administrador delegado granular) com o cliente final para assinaturas do Azure.
- Verifique em seu próprio portal do Azure a ID do objeto do grupo AdminAgent para seu próprio locatário (para saber como fazer isso, consulte o guia de solução de problemas de crédito ganho pelo parceiro).
- Se o Provedor Indireto tiver direitos OBO para as funções de cliente e proprietário do RBAC, ele poderá executar o script fornecido em Restabelecer seus privilégios de administrador do CSP: Ações do cliente para conceder permissões AOBO à ID de objeto do agente de administração do Revendedor Indireto. Como alternativa, o cliente final pode fazer isso se tiver direitos de propriedade sobre a assinatura.