Hantera prenumerationer och resurser under Azure-planen
Lämpliga roller: Administratörsagent
Den här artikeln beskriver hur Molnlösningsleverantör partner (CSP) kan använda olika rollbaserade åtkomstkontrollalternativ (RBAC) för att få driftkontroll och hantering av en kunds Azure-resurser.
När du övergår en kund till Azure-planen tilldelas du privilegierade administratörsrättigheter i Azure – prenumerationens ägarrättigheter via Administratör för (AOBO) som standard.
Kommentar
Administratörsrättigheter till Azure-prenumerationen kan tas bort av kunden på prenumerationsnivå, resursgruppsnivå eller arbetsbelastningsnivå.
Partner kan få kontinuerlig driftkontroll och hantering av en kunds Azure-resurser i CSP med hjälp av olika alternativ som är tillgängliga via den rollbaserade åtkomstkontrollfunktionen (RBAC).
Administratör för – Med AOBO har alla användare med rollen Administratörsagent i partnerklientorganisationen RBAC-ägaråtkomst till Azure-prenumerationer som du skapar via CSP-programmet.
Azure Lighthouse: AOBO har inte flexibiliteten att skapa distinkta grupper som arbetar med olika kunder eller att aktivera olika roller för grupper eller användare. Med hjälp av Azure Lighthouse kan du dock tilldela olika grupper till olika kunder eller roller. Eftersom användarna har rätt åtkomstnivå via Azure-delegerad resurshantering kan du minska antalet användare som har rollen Administratörsagent (och därmed ha fullständig AOBO-åtkomst). Det hjälper till att förbättra säkerheten genom att begränsa onödig åtkomst till dina kunders resurser. Det ger dig också mer flexibilitet för att hantera flera kunder i stor skala. Mer information finns i Azure Lighthouse och Molnlösningsleverantör-programmet.
Katalog- eller gästanvändare eller tjänsthuvudnamn: Du kan delegera detaljerad åtkomst till CSP-prenumerationer genom att lägga till användare i kundkatalogen eller genom att lägga till gästanvändare och tilldela specifika RBAC-roller.
Som en säkerhetspraxis rekommenderar Microsoft att användarna tilldelas de minsta behörigheter som de behöver för att utföra sitt arbete. Mer information finns i Microsoft Entra Privileged Identity Management-resurser.
Länka ditt PartnerID till dina autentiseringsuppgifter för att hantera en kunds Azure-resurser
I följande tabell visas de metoder som används för att associera ditt PartnerID (tidigare MPN-ID) med olika RBAC-åtkomstalternativ.
Kategori | Scenario | PartnerID-association |
---|---|---|
AOBO | CSP-direktpartner eller indirekt leverantör skapar prenumerationen för kunden, vilket gör CSP-direktpartnern eller den indirekta providern till standardägare för prenumerationen med hjälp av AOBO. CSP-direktpartner eller indirekt leverantör ger indirekt återförsäljare åtkomst till prenumerationen med hjälp av AOBO. | Automatiskt (inget partnerarbete krävs) |
Azure Lighthouse | Partner skapar ett nytt erbjudande för hanterad tjänst på Marketplace. Erbjudandet godkänns i CSP-prenumerationen och partnern får åtkomst till CSP-prenumerationen. | Automatiskt (inget partnerarbete krävs) |
Azure Lighthouse | Partner distribuerar en ARM-mall (Azure Resource Manager) i Azure-prenumerationen | Partnern måste associera PartnerID med användaren eller tjänstens huvudnamn i partnerklientorganisationen. Mer information finns i Länka ditt PartnerID för att spåra din påverkan på delegerade resurser. |
Katalog- eller gästanvändare | Partner skapar en ny användare eller tjänsthuvudnamn i kundkatalogen och ger åtkomst till CSP-prenumerationen till användaren. Partner skapar en ny användare eller tjänstens huvudnamn i kundkatalogen. Partner lägger till användaren i en grupp och ger åtkomst till CSP-prenumerationen till gruppen. | Partnern måste associera PartnerID med användaren eller tjänstens huvudnamn i kundklientorganisationen. Mer information finns i Länka ett PartnerID till ditt konto som används för att hantera kunder. |
Bekräfta att du har administratörsåtkomst
Du måste ha administratörsåtkomst för att hantera kundens tjänster och för att få intjänade krediter. Mer information om intjänade krediter finns i Partnerintjänade krediter.
Använd följande steg för att avgöra om du har administratörsåtkomst:
- Granska den dagliga användningsfilen: Granska enhetspriset och det effektiva enhetspriset i den dagliga användningsfilen och bekräfta om en rabatt tillämpas. Om du får rabatten är du administratör.
Skapa en Azure Monitor-avisering
Du kan skapa en azure monitor-avisering för aktivitetslogg som meddelas om din RBAC-åtkomst tas bort från en CSP-prenumeration.
Använd följande steg för att skapa en Azure Monitor-avisering:
Välj den typ av åtgärd som du vill att aviseringen ska utföra.
Om du till exempel anger att du vill ha ett e-postmeddelande får du ett e-postmeddelande som meddelar dig om någon borttagning av rolltilldelning sker.
AOBO-borttagning
Kunder kan hantera åtkomst till sina prenumerationer genom att gå till Åtkomstkontroll på Azure Portal. På fliken Rolltilldelningar kan de välja Ta bort åtkomst.
Om en kund tar bort din åtkomst kan du:
Prata med kunden för att se om administratörsåtkomst kan återställas.
Använd åtkomsten som tillhandahålls via rollbaserad åtkomstkontroll (RBAC).
Använd åtkomst som tillhandahålls via Azure Lighthouse.
Rollbaserad åtkomst skiljer sig från administratörsåtkomst. Roller avgränsar exakt vad du kan och inte kan göra. Administratörsåtkomsten är bredare.
Pausa och återaktivera en Azure-plan
Partner kan pausa eller återaktivera Azure-plan direkt i Partnercenter från informationssidan för Azure-planen.
- I Partnercenter går du till Kunder och väljer kundkontot
- Gå till kundens Azure-prenumerationer
- Välj Azure-planen
- Välj Status: Pausad och sedan Skicka för att pausa Azure-planen.
- Välj Status: Aktiv och sedan Skicka för att återaktivera Azure-planen.
Du kan bara pausa en befintlig Azure-plan om den inte längre har några aktiva användningstillgångar associerade med den, inklusive Azure-användningsprenumerationer och Azure-reservationer.
Partner kan bara köpa en Azure-plan per specifik återförsäljare och kundkombination. Om en återförsäljares kund har en pausad plan kan kunden inte köpa en ny plan. Annullering är inte tillgängligt för Azure-plan.
Information om avstängning av Azure-plan per API finns i Pausa en prenumeration – Partnerapputvecklare.
Information om återaktivering av Azure-plan efter API finns i Återaktivera en pausad prenumeration – Partnerapputvecklare.
Avbryta en Azure-prenumeration
Om kundens Azure-prenumerationer har komprometterats kan partner avbryta Azure-prenumerationer från Partnercenter. Den här funktionen är endast tillgänglig för administratörsagentroller. Så här gör du:
- Välj kunden i kundlistan
- Gå till kundens Azure-prenumerationer
- Välj den Azure-plan som prenumerationen finns under
- På sidan Information om Azure-plan väljer du de Azure-prenumerationer som ska avbrytas
- Skicka ändringarna genom att välja Avbryt prenumeration
Detta avbryter endast de valda Azure-prenumerationerna. Kunder med åtkomst till Azure-prenumerationen kan återaktivera prenumerationen om Azure-planen fortfarande är aktiv. För att förhindra detta bör partner avbryta alla Azure-prenumerationer och sedan själva Azure-planen.
Partner kan välja flera prenumerationer men kan inte avbryta fler än 10 prenumerationer åt gången. Partner kan avbryta Azure-planen när det inte finns några aktiva Azure-prenumerationer under den. Detta gör det möjligt för partner att stänga av Azure-planer och prenumerationer som kan ha komprometterats, även om en dålig aktör har tagit bort sina RBAC-behörigheter.
Partner kan avbryta Azure-prenumerationer via Partnercenter-portalen eller via API. Api-information finns i Avbryta en Azure-prenumeration och prova det finns i Azure-utgifter – Avbryt en Azure-berättigande – REST API.
Mer information om hur du avbryter Azure-prenumerationer finns i Vad händer efter att prenumerationen har avbrutits?
Återaktivera en Azure-prenumeration
Partner kan återaktivera Azure-prenumerationer som avbröts på grund av kundkompromisser från informationssidan för Azure-abonnemang med hjälp av fliken Inaktiva Azure-prenumerationer. Den här funktionen är endast tillgänglig för administratörsagentroller. Så här gör du:
- Välj kunden i kundlistan
- Gå till kundens Azure-prenumerationer
- Välj den Azure-plan som prenumerationen finns under
- På sidan Azure-planinformation går du till avsnittet Azure-prenumeration och väljer fliken Inaktiv
- Välj den Azure-prenumeration som ska återaktiveras
- Skicka ändringarna genom att välja Återaktivera prenumeration
Detta reaktivaterar endast de valda Azure-prenumerationerna. Partner kan välja flera prenumerationer men kan inte återaktivera fler än 10 prenumerationer åt gången. Den associerade Azure-planen måste vara aktiv för att återaktivera Azure-prenumerationer. Partner kan återaktivera Azure-planer direkt i Partnercenter genom att gå till informationssidan för Azure-planen och uppdatera statusen för Azure-planen tillbaka till Active.
Om Azure-prenumerationen avbröts av kunden eller faktureringsägaren i Azure Portal måste kunden eller faktureringsägaren kontaktas för att återaktivera prenumerationen från Azure Portal.
Mer information om hur du återaktiverar via API finns i Återaktivera en Azure-prenumeration – Partnerapputvecklare. Mer information finns i Azure-utgifter – Återaktivera en Azure-rättighet.
Mer information om hur du återaktiverar Azure-prenumerationer finns i Azure-dokumentationen.