Возобновление использования привилегий администратора для клиентских подписок Azure CSP

Соответствующие роли: глобальный администратор | агент по администрированию

Клиенты часто ожидают, что, будучи партнером программы "Поставщик облачных решений" (CSP), вы будете управлять использованием их ресурсов Azure и их системами. Чтобы помочь им, у вас должны быть права администратора. Если у вас нет привилегий администратора, вы можете обратиться к клиенту, чтобы возобновить их использование.

Привилегии администратора для Azure в программе CSP

Некоторые права администратора предоставляются автоматически при установлении отношений торгового посредника с клиентом. Другие должны быть предоставлены вам клиентом.

Существует два уровня привилегий администратора для Azure в CSP:

• Привилегии администратора уровня клиента (т. е. делегированные права администратора) предоставляют доступ к клиентам клиентов. Этот делегированный доступ позволяет выполнять административные функции, такие как добавление пользователей и управление ими, сброс паролей и управление лицензиями пользователей.

  Вы получаете права администратора на уровне клиента при установлении отношений торгового посредника CSP с клиентами.

• Привилегии администратора уровня подписки предоставляют полный доступ к подпискам Azure CSP для ваших клиентов. Этот доступ позволяет подготавливать ресурсы Azure и управлять ими.

  Вы получаете права администратора уровня подписки при создании подписок Azure CSP для клиентов.

Восстановление прав администратора CSP: ваши действия

Вы и ваш клиент должны выполнить действия для восстановления привилегий администратора CSP. В этом разделе описываются действия, которые необходимо выполнить.

Чтобы восстановить права администратора CSP, выполните следующие действия.

1. Войдите в Центр партнеров и выберите Клиенты.

2. В списке клиентов выберите Запросить связь торгового посредника.

3. Для флажка Делегированные привилегии Администратор:

   • Оставьте флажок установленным, чтобы установить связь с делегированными правами администратора.
   • Снимите флажок, чтобы установить связь без делегированных прав администратора.

   

4. Просмотрите черновик приглашения по электронной почте.

   • Выберите Открыть по электронной почте , чтобы открыть черновик приглашения в почтовом приложении по умолчанию.
   • Выберите Копировать в буфер обмена , чтобы скопировать и вставить приглашение в сообщение электронной почты.

   Важно!

   Вы можете изменить текст в черновике сообщения электронной почты, но обязательно включите персонализированную ссылку , так как она связывает клиента непосредственно с вашей учетной записью.

5. Нажмите кнопку Готово.

6. Отправьте приглашение по электронной почте клиенту.

   Примечание

   Чтобы иметь возможность принять запрос, сотрудник организации клиента должен быть глобальным администратором клиента.

   • Клиент выбирает ссылку, полученную в сообщении электронной почты. Ссылка позволяет им перейти в Центр Администратор Майкрософт, где они могут принять ваше приглашение.

   • После того как клиент примет ваше приглашение, он будет отображаться на вашей странице Клиенты в Центре партнеров, и отсюда вы сможете подготовить к работе службу и управлять ею для клиента.

7. После того как клиент утвердит приглашение торгового посредника по предоставленной ссылке, подключитесь к арендатору партнера, чтобы получить object ID группу AdminAgents.

   Connect-AzAccount -Tenant "Partner tenant"
   # Get Object ID of AdminAgents group
   Get-AzADGroup -DisplayName AdminAgents
   

8. Убедитесь, что у клиента есть:

   • Роль владельца или администратора доступа пользователей.
   • Разрешения на создание назначений ролей на уровне подписки.

Восстановление привилегий администратора CSP: действия клиента

В этом разделе описываются действия клиента по восстановлению привилегий администратора CSP.

Чтобы восстановить права администратора CSP, клиент использует PowerShell или Azure CLI для выполнения следующих действий:

1. Клиент использует PowerShell для обновления Az.Resources модуля.

   Update-Module Az.Resources
   

2. Клиент подключается к клиенту, в котором существует подписка CSP.

   Connect-AzAccount -TenantID "<Customer tenant>"
   

   az login --tenant <Customer tenant>
   

3. Клиент подключается к подписке.

   Этот шаг применим только в том случае, если у пользователя есть разрешения на назначение ролей для нескольких подписок в клиенте.

   Set-AzContext -SubscriptionID "<CSP Subscription ID>"
   

   az account set --subscription <CSP Subscription ID>
   

4. Клиент создает назначение роли.

   New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
   

   az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
   

Вместо предоставления разрешений владельца на уровне подписки их можно предоставить на уровне группы ресурсов или на уровне ресурсов :

• На уровне группы ресурсов

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
  

• На уровне ресурсов

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
  

Устранение неполадок с действиями клиента

Если клиенту не удается выполнить предыдущие шаги, предложите следующую команду и предоставьте полученный newRoleAssignment.log файл в корпорацию Майкрософт для дальнейшего анализа:

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

Восстановление привилегий администратора CSP: процедура catchall в PowerShell

Если действия, описанные в предыдущих разделах, не работают или при попытке их выполнения возникают ошибки, попробуйте выполнить следующую процедуру catchall, чтобы восстановить права администратора для клиента:

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

Если процедура catchall завершается сбоем в Import-Module, попробуйте выполнить следующие действия:

• Если импорт завершается сбоем из-за того, что модуль используется, перезапустите сеанс PowerShell, закрыв и повторно открыв все окна.
• Проверьте версию Az.Resources с помощью Get-Module Az.Resources -ListAvailable.
  • Если версия 4.1.1 отсутствует в списке доступных, необходимо использовать Update-Module Az.Resources -Force.
• Если в ошибке указано, что Az.Accounts должна быть определенная версия, также обновите этот модуль, заменив на Az.ResourcesAz.Accounts. После этого необходимо перезапустить сеанс PowerShell.

Дальнейшие действия

• Управление подписками и ресурсами в плане Azure