Возобновление использования привилегий администратора для клиентских подписок Azure CSP

Соответствующие роли: глобальный администратор | агент по администрированию

Клиенты часто ожидают, что, будучи партнером программы "Поставщик облачных решений" (CSP), вы будете управлять использованием их ресурсов Azure и их системами. У вас должны быть привилегии администратора, чтобы оказать им содействие. Если у вас нет привилегий администратора, вы можете обратиться к клиенту, чтобы возобновить их использование.

Привилегии администратора для Azure в программе CSP

Некоторые права администратора предоставляются автоматически при установке отношения торгового посредника с клиентом. Другие пользователи должны быть предоставлены вам клиентом.

Существует два уровня привилегий администратора для Azure в CSP:

• Права администратора уровня клиента (т . е. делегированные права администратора) предоставляют доступ к клиентам клиентов. Этот делегированный доступ позволяет выполнять административные функции, такие как добавление пользователей и управление ими, сброс паролей и управление лицензиями пользователей.

  При установке отношений торгового посредника CSP с клиентами вы получаете права администратора уровня клиента.

• Привилегии администратора уровня подписки предоставляют полный доступ к подпискам Azure CSP для ваших клиентов. Этот доступ позволяет подготавливать ресурсы Azure и управлять ими.

  Вы получаете права администратора уровня подписки при создании подписок Azure CSP для клиентов.

Восстановление привилегий администратора CSP: ваши действия

Вы и ваш клиент должны выполнять действия для восстановления привилегий администратора CSP. В этом разделе описываются действия, которые необходимо предпринять.

Чтобы восстановить права администратора CSP, выполните следующие действия.

1. Войдите в Центр партнеров и выберите пункт Клиенты.

2. В списке клиентов выберите "Запросить связь торгового посредника".

3. Установите флажок " Делегированные права администратора" :

   • Оставьте флажок, чтобы установить связь с делегированными правами администратора.
   • Снимите флажок, чтобы установить связь без делегированных прав администратора.

   

4. Просмотрите черновик приглашения по электронной почте.

   • Выберите "Открыть в электронной почте", чтобы открыть черновик приглашения в приложении электронной почты по умолчанию.
   • Выберите "Копировать в буфер обмена ", чтобы скопировать и вставить приглашение в сообщение электронной почты.

   Внимание

   Вы можете изменить текст в черновике сообщения электронной почты, но не забудьте включить персонализированную ссылку , так как она связывает клиента непосредственно с вашей учетной записью.

5. Нажмите кнопку Готово.

6. Отправьте приглашение по электронной почте клиенту.

   Примечание.

   Чтобы принять запрос, пользователь в организации клиента должен быть глобальным администратором клиента.

   • Клиент выбирает ссылку, полученную в сообщении электронной почты. Ссылка берет их в Центр администрирования Майкрософт, где они могут принять приглашение.
   • После того как клиент примет ваше приглашение, он будет отображаться на вашей странице Клиенты в Центре партнеров, и отсюда вы сможете подготовить к работе службу и управлять ею для клиента.

7. После утверждения клиентом приглашения торгового посредника с помощью предоставленной ссылки подключитесь к клиенту партнера, чтобы получить object ID группу AdminAgents.

   Connect-AzAccount -Tenant "Partner tenant"
   # Get Object ID of AdminAgents group
   Get-AzADGroup -DisplayName AdminAgents
   

8. Убедитесь, что у клиента есть:

   • Роль владельца или администратора доступа пользователей.
   • Разрешения на создание назначений ролей на уровне подписки.

Восстановление привилегий администратора CSP: действия клиента

В этом разделе описываются действия клиента для восстановления привилегий администратора CSP.

Чтобы завершить восстановление прав администратора CSP, клиент использует PowerShell или Azure CLI для выполнения следующих действий:

1. Клиент использует PowerShell для обновления Az.Resources модуля.

   Update-Module Az.Resources
   

2. Клиент подключается к клиенту, в котором существует подписка CSP.

   Connect-AzAccount -TenantID "<Customer tenant>"
   

   az login --tenant <Customer tenant>
   

3. Клиент подключается к подписке.

   Этот шаг применим только в том случае, если у пользователя есть разрешения на назначение ролей через несколько подписок в клиенте.

   Set-AzContext -SubscriptionID "<CSP Subscription ID>"
   

   az account set --subscription <CSP Subscription ID>
   

4. Клиент создает назначение ролей.

   New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
   

   az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
   

Вместо предоставления разрешений владельца на уровне подписки их можно предоставить на уровне ресурсов или на уровне ресурсов :

• На уровне группы ресурсов

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
  

• На уровне ресурсов

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
  

Устранение неполадок с действиями клиента

Если клиенту не удается выполнить описанные выше действия, предложите следующую команду и укажите полученный newRoleAssignment.log файл корпорации Майкрософт для дальнейшего анализа:

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

Восстановление привилегий администратора CSP: процедура catchall PowerShell

Если действия, описанные в предыдущих разделах, не работают или при попытке их получения ошибок, попробуйте выполнить следующую процедуру catchall, чтобы восстановить права администратора для клиента:

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

Если процедура catchall завершается ошибкой Import-Module, выполните следующие действия:

• Если импорт завершается сбоем из-за того, что модуль используется, перезапустите сеанс PowerShell, закрыв и повторно открыв все окна.
• Проверьте версию Az.Resources с помощью Get-Module Az.Resources -ListAvailable.
  • Если версия 4.1.1 отсутствует в доступном списке, необходимо использовать Update-Module Az.Resources -Force.
• Если сообщение об ошибке должно Az.Accounts быть определенной версией, обновите этот модуль, заменив Az.Resources его Az.Accounts. После этого необходимо перезапустить сеанс PowerShell.

Как косвенный торговый посредник может получить права администратора от имени клиента (AOBO) для подписок Azure

Косвенный торговый посредник может выполнить следующие действия, чтобы получить привилегии клиента AOBO для подписок Azure:

1. Установите связь с конечным клиентом.
2. Запрос детализированных делегированных прав администратора (GDAP) с конечным клиентом для подписок Azure.
3. Проверьте свой собственный портал Azure идентификатор объекта группы AdminAgent для собственного клиента (чтобы узнать, как это сделать, см. руководство по устранению неполадок с кредитом, полученному партнером).
4. Если у непрямого поставщика есть права OBO для ролей владельца клиента и RBAC, он может запустить сценарий, предоставленный в восстановлении прав администратора CSP: действия клиента для предоставления разрешений AOBO идентификатору объекта агента администрирования косвенного торгового посредника. Кроме того, конечный клиент может сделать это, если у них есть права собственности на подписку.

Связанный контент

• Управление подписками и ресурсами в плане Azure