Возобновление использования привилегий администратора для клиентских подписок Azure CSP
Соответствующие роли: глобальный администратор | агент по администрированию
Клиенты часто ожидают, что, будучи партнером программы "Поставщик облачных решений" (CSP), вы будете управлять использованием их ресурсов Azure и их системами. Чтобы помочь им, у вас должны быть права администратора. Если у вас нет привилегий администратора, вы можете обратиться к клиенту, чтобы возобновить их использование.
Привилегии администратора для Azure в программе CSP
Некоторые права администратора предоставляются автоматически при установлении отношений торгового посредника с клиентом. Другие должны быть предоставлены вам клиентом.
Существует два уровня привилегий администратора для Azure в CSP:
Привилегии администратора уровня клиента (т. е. делегированные права администратора) предоставляют доступ к клиентам клиентов. Этот делегированный доступ позволяет выполнять административные функции, такие как добавление пользователей и управление ими, сброс паролей и управление лицензиями пользователей.
Вы получаете права администратора на уровне клиента при установлении отношений торгового посредника CSP с клиентами.
Привилегии администратора уровня подписки предоставляют полный доступ к подпискам Azure CSP для ваших клиентов. Этот доступ позволяет подготавливать ресурсы Azure и управлять ими.
Вы получаете права администратора уровня подписки при создании подписок Azure CSP для клиентов.
Восстановление прав администратора CSP: ваши действия
Вы и ваш клиент должны выполнить действия для восстановления привилегий администратора CSP. В этом разделе описываются действия, которые необходимо выполнить.
Чтобы восстановить права администратора CSP, выполните следующие действия.
Войдите в Центр партнеров и выберите Клиенты.
В списке клиентов выберите Запросить связь торгового посредника.
Для флажка Делегированные привилегии Администратор:
- Оставьте флажок установленным, чтобы установить связь с делегированными правами администратора.
- Снимите флажок, чтобы установить связь без делегированных прав администратора.
Просмотрите черновик приглашения по электронной почте.
- Выберите Открыть по электронной почте , чтобы открыть черновик приглашения в почтовом приложении по умолчанию.
- Выберите Копировать в буфер обмена , чтобы скопировать и вставить приглашение в сообщение электронной почты.
Важно!
Вы можете изменить текст в черновике сообщения электронной почты, но обязательно включите персонализированную ссылку , так как она связывает клиента непосредственно с вашей учетной записью.
Нажмите кнопку Готово.
Отправьте приглашение по электронной почте клиенту.
Примечание
Чтобы иметь возможность принять запрос, сотрудник организации клиента должен быть глобальным администратором клиента.
Клиент выбирает ссылку, полученную в сообщении электронной почты. Ссылка позволяет им перейти в Центр Администратор Майкрософт, где они могут принять ваше приглашение.
После того как клиент примет ваше приглашение, он будет отображаться на вашей странице Клиенты в Центре партнеров, и отсюда вы сможете подготовить к работе службу и управлять ею для клиента.
После того как клиент утвердит приглашение торгового посредника по предоставленной ссылке, подключитесь к арендатору партнера, чтобы получить
object ID
группу AdminAgents.Connect-AzAccount -Tenant "Partner tenant" # Get Object ID of AdminAgents group Get-AzADGroup -DisplayName AdminAgents
Убедитесь, что у клиента есть:
- Роль владельца или администратора доступа пользователей.
- Разрешения на создание назначений ролей на уровне подписки.
Восстановление привилегий администратора CSP: действия клиента
В этом разделе описываются действия клиента по восстановлению привилегий администратора CSP.
Чтобы восстановить права администратора CSP, клиент использует PowerShell или Azure CLI для выполнения следующих действий:
Клиент использует PowerShell для обновления
Az.Resources
модуля.Update-Module Az.Resources
Клиент подключается к клиенту, в котором существует подписка CSP.
Connect-AzAccount -TenantID "<Customer tenant>"
az login --tenant <Customer tenant>
Клиент подключается к подписке.
Этот шаг применим только в том случае, если у пользователя есть разрешения на назначение ролей для нескольких подписок в клиенте.
Set-AzContext -SubscriptionID "<CSP Subscription ID>"
az account set --subscription <CSP Subscription ID>
Клиент создает назначение роли.
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
Вместо предоставления разрешений владельца на уровне подписки их можно предоставить на уровне группы ресурсов или на уровне ресурсов :
На уровне группы ресурсов
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
На уровне ресурсов
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
Устранение неполадок с действиями клиента
Если клиенту не удается выполнить предыдущие шаги, предложите следующую команду и предоставьте полученный newRoleAssignment.log
файл в корпорацию Майкрософт для дальнейшего анализа:
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log
Восстановление привилегий администратора CSP: процедура catchall в PowerShell
Если действия, описанные в предыдущих разделах, не работают или при попытке их выполнения возникают ошибки, попробуйте выполнить следующую процедуру catchall, чтобы восстановить права администратора для клиента:
Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"
Если процедура catchall завершается сбоем в Import-Module
, попробуйте выполнить следующие действия:
- Если импорт завершается сбоем из-за того, что модуль используется, перезапустите сеанс PowerShell, закрыв и повторно открыв все окна.
- Проверьте версию
Az.Resources
с помощьюGet-Module Az.Resources -ListAvailable
.- Если версия 4.1.1 отсутствует в списке доступных, необходимо использовать
Update-Module Az.Resources -Force
.
- Если версия 4.1.1 отсутствует в списке доступных, необходимо использовать
- Если в ошибке указано, что
Az.Accounts
должна быть определенная версия, также обновите этот модуль, заменив наAz.Resources
Az.Accounts
. После этого необходимо перезапустить сеанс PowerShell.
Дальнейшие действия
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по