Återställa administratörsprivilegier för en kunds Azure CSP-prenumerationer

Lämpliga roller: Global administratör | Administratörsagent

Som partner i CSP-programmet förlitar sig kunderna ofta på att du hanterar deras Azure-användning och deras system. Du måste ha administratörsbehörighet för att kunna hjälpa dem. Om du inte redan har administratörsprivilegier kan du arbeta med kunden för att återinföra dem.

Administratörsprivilegier för Azure i CSP-programmet

Vissa administratörsbehörigheter beviljas automatiskt när du upprättar en återförsäljarrelation med en kund. Andra måste beviljas till dig av en kund.

Det finns två nivåer av administratörsbehörigheter för Azure i CSP:

• Administratörsbehörigheter på klientnivå (dvs . delegerade administratörsbehörigheter) ger dig åtkomst till dina kunders klientorganisationer. Med den här delegerade åtkomsten kan du utföra administrativa funktioner som att lägga till och hantera användare, återställa lösenord och hantera användarlicenser.

  Du får administratörsbehörighet på klientnivå när du upprättar CSP-återförsäljares relationer med kunder.

• Administratörsprivilegier på prenumerationsnivå ger dig fullständig åtkomst till dina kunders Azure CSP-prenumerationer. Detta gör att du kan etablera och hantera deras Azure-resurser.

  Du får administratörsbehörighet på prenumerationsnivå när du skapar Azure CSP-prenumerationer för dina kunder.

Återställ dina CSP-administratörsprivilegier: dina åtgärder

Du och kunden har alla åtgärder att utföra för att återställa dina CSP-administratörsbehörigheter. I det här avsnittet beskrivs de åtgärder som du kan vidta.

Använd följande steg för att återställa dina CSP-administratörsbehörigheter:

1. Logga in på Partnercenter och välj sedan Kunder.

2. I kundlistan väljer du Begär en återförsäljare-relation.

3. För kryssrutan Delegerade administratörsbehörigheter :

   • Låt kryssrutan vara markerad för att upprätta relationen med delegerade administratörsbehörigheter.
   • Avmarkera kryssrutan för att upprätta relationen utan delegerade administratörsbehörigheter.

   

4. Granska utkastet till e-postinbjudan.

   • Välj Öppna i e-post för att öppna utkastinbjudan i ditt standardprogram för e-post.
   • Välj Kopiera till Urklipp för att kopiera och klistra in inbjudan i ett e-postmeddelande.

   Viktigt!

   Du kan redigera texten i utkastet till e-postmeddelande, men se till att inkludera den anpassade länken eftersom den länkar kunden direkt till ditt konto.

5. Välj Klar.

6. Skicka e-postinbjudan till kunden.

   Kommentar

   För att kunna godkänna begäran måste personen i kundens organisation vara global administratör för kundens klientorganisation.

   • Kunden väljer länken som de fick i e-postmeddelandet. Länken tar dem till Microsoft Admin Center där de kan acceptera din inbjudan.

   • När kunden har godkänt begäran visas de på sidan Kunder i Partnercenter och du kan tillhandahålla och hantera kundens tjänst därifrån.

7. När kunden har godkänt återförsäljarrelationsinbjudan med hjälp av länken ansluter du till partnerklientorganisationen för att hämta object ID gruppen AdminAgents.

   Connect-AzAccount -Tenant "Partner tenant"
   # Get Object ID of AdminAgents group
   Get-AzADGroup -DisplayName AdminAgents
   

8. Kontrollera att kunden har:

   • Rollen ägare eller administratör för användaråtkomst
   • Behörigheter för att skapa rolltilldelningar på prenumerationsnivån

Återställ dina CSP-administratörsprivilegier: kundåtgärder

I det här avsnittet beskrivs kundens åtgärder för att återställa dina CSP-administratörsbehörigheter .

För att slutföra återinsätta dina CSP-administratörsbehörigheter använder kunden PowerShell eller Azure CLI för att utföra följande steg:

1. Kunden använder PowerShell för att uppdatera modulen Az.Resources .

   Update-Module Az.Resources
   

2. Kunden ansluter till klientorganisationen där CSP-prenumerationen finns.

   Connect-AzAccount -TenantID "<Customer tenant>"
   

   az login --tenant <Customer tenant>
   

3. Kunden ansluter till prenumerationen.

   Det här steget gäller endast om användaren har rolltilldelningsbehörigheter över flera prenumerationer i klientorganisationen.

   Set-AzContext -SubscriptionID "<CSP Subscription ID>"
   

   az account set --subscription <CSP Subscription ID>
   

4. Kunden skapar rolltilldelningen.

   New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
   

   az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
   

I stället för att bevilja ägarbehörigheter på prenumerationsnivå kan de beviljas på resursgrupps - eller resursnivå :

• På resursgruppsnivå

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
  

• På resursnivå

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
  

Felsöka kundens steg

Om kunden inte kan slutföra föregående steg föreslår du följande kommando och anger den resulterande newRoleAssignment.log filen till Microsoft för ytterligare analys:

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

Återställ dina CSP-administratörsprivilegier: PowerShell catchall-procedur

Om stegen i föregående avsnitt inte fungerar eller om du får fel när du försöker utföra dem kan du prova följande "catchall"-procedur för att återställa administratörsrättigheterna för din kund:

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

Om "catchall"-proceduren misslyckas på Import-Modulekan du prova följande steg:

• Om importen misslyckas eftersom modulen används startar du om PowerShell-sessionen genom att stänga och öppna alla fönster igen.
• Kontrollera versionen av Az.Resources med Get-Module Az.Resources -ListAvailable.
  • Om version 4.1.1 inte finns i den tillgängliga listan måste du använda Update-Module Az.Resources -Force.
• Om ett fel anger att det Az.Accounts måste vara en specifik version uppdaterar du även den modulen och ersätter Az.Resources med Az.Accounts. Sedan måste du starta om PowerShell-sessionen.

Relaterat innehåll

• Hantera prenumerationer och resurser under Azure-planen