Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Funções apropriadas: Agente de administração
Este artigo explica como os parceiros do Provedor de Soluções na Nuvem (CSP) podem usar várias opções de controle de acesso baseado em função (RBAC) para obter controle operacional e gerenciamento dos recursos do Azure de um cliente.
Quando faz a transição de um cliente para o plano do Azure, são-lhe atribuídos direitos de administrador privilegiado no Azure — direitos de proprietário da subscrição através de Administração em Nome de Outros (AOBO) por predefinição.
Nota
Os clientes podem remover direitos de administrador em qualquer um destes níveis: assinatura, grupo de recursos e carga de trabalho.
Para gerenciar os recursos do Azure de um cliente no CSP, os parceiros podem usar o RBAC (controle de acesso baseado em função). Esse recurso permite que você mantenha o controle operacional e supervisione continuamente as tarefas de gerenciamento.
Administrador em nome de - Com o AOBO, qualquer utilizador com a função de agente de administração no inquilino parceiro tem acesso de proprietário RBAC às assinaturas do Azure que cria através do programa CSP.
Azure Lighthouse: AOBO não tem a flexibilidade para criar grupos distintos que trabalham com clientes diferentes ou para habilitar funções diferentes para grupos ou usuários. No entanto, usando o Azure Lighthouse, você pode atribuir grupos diferentes a clientes ou funções diferentes. Como os usuários têm o nível apropriado de acesso por meio do gerenciamento de recursos delegados do Azure, você pode reduzir o número de usuários que têm a função de agente Admin (e, portanto, têm acesso AOBO completo). Isso ajuda a melhorar a segurança, limitando o acesso desnecessário aos recursos dos seus clientes. Também lhe oferece mais flexibilidade para gerir vários clientes em escala. Para mais informações, consulte Azure Lighthouse e o programa Cloud Solution Provider.
Diretório ou Utilizadores Convidados ou Entidades de Serviço: Poderá delegar acesso granular a assinaturas de CSP adicionando utilizadores no diretório de clientes ou adicionando utilizadores convidados e atribuindo funções RBAC específicas.
Como prática de segurança, a Microsoft recomenda atribuir aos usuários as permissões mínimas de que precisam para fazer seu trabalho. Para obter mais informações, ver recursos do Microsoft Entra Privileged Identity Management.
Vincule seu PartnerID às suas credenciais para gerenciar os recursos do Azure de um cliente
A tabela a seguir mostra os métodos usados para associar seu PartnerID (anteriormente MPN ID) a várias opções de acesso RBAC.
| Categoria | Cenário | Associação PartnerID |
|---|---|---|
| AOBO | O parceiro direto ou provedor indireto do CSP cria a assinatura para o cliente, tornando o parceiro direto ou o provedor indireto do CSP o proprietário padrão da assinatura usando o AOBO. O parceiro direto ou fornecedor indireto da CSP fornece ao revendedor indireto acesso à assinatura usando AOBO. | Automático (não é necessário trabalho de parceiro) |
| Farol do Azure | O parceiro cria uma nova oferta de Serviço Gerido no Marketplace. A oferta é aceita na assinatura CSP e o parceiro tem acesso à assinatura CSP. | Automático (não é necessário trabalho de parceiro) |
| Farol do Azure | O parceiro implanta um modelo do Gestor de Recursos do Azure (ARM) na assinatura do Azure | O parceiro deve associar o PartnerID ao utilizador ou principal de serviço no inquilino parceiro. Para obter mais informações, consulte Vincular seu PartnerID para acompanhar seu efeito em recursos delegados. |
| Diretório ou usuário convidado | O parceiro cria um novo usuário ou entidade de serviço no diretório de clientes e dá acesso à assinatura CSP ao usuário. O parceiro cria um novo usuário ou entidade de serviço no diretório de clientes. O parceiro adiciona o usuário a um grupo e dá acesso à assinatura CSP do grupo. | O parceiro deve associar o PartnerID ao utilizador ou principal de serviço no inquilino do cliente. Para obter mais informações, consulte Associar um PartnerID à sua conta utilizada para gerir clientes. |
Confirme que tem acesso de administrador
Tem de ter acesso de administrador para gerir os serviços do seu cliente e para receber os créditos ganhos. Para obter mais informações sobre créditos ganhos, consulte Créditos ganhos de parceiros.
Para determinar se você tem acesso de administrador, use as seguintes etapas:
- Revise o ficheiro de uso diário: analise o preço unitário e o preço unitário efetivo no ficheiro de uso diário e confirme se está a ser aplicado um desconto. Se você estiver recebendo o desconto, você será o administrador.
Criar um alerta de monitor do Azure
Você pode criar um log de atividades do Alerta do Azure Monitor para ser notificado se o seu acesso RBAC for removido de uma assinatura CSP.
Para criar um alerta de monitor do Azure, use as seguintes etapas:
Crie um alerta.
Selecione o tipo de ação que você deseja que o alerta realize.
Por exemplo, se você especificar que deseja um e-mail, receberá um e-mail notificando-o se ocorrer alguma exclusão de atribuição de função.
Captura de ecrã no portal do Azure de configuração de um alerta.
Captura de ecrã no portal do Azure de configuração de um alerta.Remover acesso AOBO
Os clientes podem gerir o acesso às suas subscrições indo ao Controlo de Acesso no portal do Azure. No separador Atribuições de funções, eles podem selecionar Remover acesso.
Se um cliente remover seu acesso, você poderá:
Fale com o seu cliente para ver se o acesso de administrador pode ser restabelecido.
Utilize o acesso fornecido através do controlo de acesso baseado em função (RBAC).
Use o acesso fornecido por meio do Azure Lighthouse.
O acesso baseado em função difere do acesso de administrador. Os papéis delimitam precisamente o que você pode e o que não pode fazer. O acesso de administrador é mais amplo.
Suspender e reativar um plano do Azure
Os parceiros podem suspender ou reativar um plano do Azure diretamente no Partner Center a partir da página de detalhes do plano do Azure.
- No Partner Center, em Clientes, selecione a conta do cliente
- Navegue até as assinaturas do Azure do cliente
- Selecione o plano Azure
- Selecione o estado: Suspenso e depois Submeter para suspender o plano do Azure.
- Selecione o estado: Ativo e, em seguida, Submeter para reativar o plano do Azure.
Você só pode suspender um plano existente do Azure se ele não tiver mais ativos de uso ativos associados a ele, incluindo assinaturas de uso do Azure e reservas do Azure.
Os parceiros só podem comprar um plano do Azure por combinação específica de revendedor e cliente. Se o cliente de um revendedor tiver um plano suspenso, esse cliente não poderá comprar um novo plano. O cancelamento não está disponível para o plano do Azure.
Para a suspensão do plano do Azure através da API, consulte Suspender uma assinatura - Desenvolvedor de aplicações parceiro.
Para reativar o plano do Azure por API, consulte Reativar uma assinatura suspensa - Desenvolvedor de aplicativo parceiro.
Cancelar uma subscrição do Azure
Caso as subscrições do plano Azure do cliente sejam comprometidas, os Parceiros podem cancelar subscrições do Azure a partir do Partner Center. Os parceiros devem ter privilégios de administrador global e funções de agente administrativo para cancelar assinaturas do Azure. Para cancelar:
- Selecione o Cliente na lista de clientes
- Navegue até as assinaturas do Azure do cliente
- Selecione o plano do Azure ao qual a subscrição pertence
- Na página Detalhes do plano do Azure, selecione as assinaturas do Azure a serem canceladas
- Envie as alterações selecionando Cancelar assinatura
Esse processo cancela apenas as assinaturas selecionadas do Azure. Os clientes com acesso à assinatura do Azure podem reativar a assinatura se o plano do Azure ainda estiver ativo. Para interromper a reativação, os parceiros devem cancelar todas as assinaturas do Azure e, em seguida, o próprio plano do Azure.
Os parceiros podem selecionar várias subscrições, mas não podem cancelar mais de 10 subscrições de cada vez. Os parceiros podem cancelar o plano do Azure quando não houver assinaturas ativas do Azure sob ele. Esse processo permite que os parceiros encerrem planos e assinaturas do Azure que possam ser comprometidos, mesmo que um agente mal-intencionado remova suas permissões RBAC.
Os parceiros podem cancelar subscrições do Azure através do portal do Partner Center ou por API. Para obter detalhes da API, consulte Cancelar uma assinatura do Azure e, para experimentá-la, consulte Gastos do Azure - Cancelar uma concessão do Azure - API REST.
Para saber mais sobre como cancelar as assinaturas do Azure, consulte O que acontece após o cancelamento da assinatura?
Reativar uma subscrição do Azure
Os parceiros podem reativar assinaturas do Azure que foram canceladas devido ao comprometimento do cliente na página de detalhes do plano do Azure, usando a guia Assinaturas inativas do Azure. Os parceiros devem ter privilégios de administrador global e funções de agente de administrador para reativar assinaturas do Azure. Para reativar:
- Selecione o Cliente na lista de clientes
- Navegue até as assinaturas do Azure do cliente
- Selecione o plano do Azure ao qual a subscrição pertence
- Na página de detalhes do plano do Azure, na seção Assinatura Azure, selecione o separador Inativo
- Selecione a assinatura do Azure para reativar
- Envie as alterações selecionando Reativar assinatura
Ele reativa apenas as assinaturas selecionadas do Azure. Os parceiros podem selecionar várias subscrições, mas não podem reativar mais de 10 subscrições de cada vez. O plano do Azure associado deve estar ativo para reativar as assinaturas do Azure. Para reativar um plano do Azure, primeiro vá para a página de detalhes do plano do Azure no Partner Center. Em seguida, altere o status do plano de volta para ativo.
Para reativar a subscrição, contacte o cliente ou o proprietário da faturação que a cancelou no portal do Azure. Eles precisam entrar e concluir o processo de reativação.
Para reativar por API, consulte Reativar uma assinatura do Azure - para desenvolvedores de aplicativos parceiros. Para experimentá-lo, consulte
Mais informações sobre como reativar assinaturas do Azure podem ser encontradas na documentação do Azure.