Återställa administratörsprivilegier för en kunds Azure CSP-prenumerationer
Lämpliga roller: Global administratör | Admin agent
Som partner i CSP-programmet förlitar sig kunderna ofta på att du hanterar deras Azure-användning och deras system. Du måste ha administratörsbehörighet för att hjälpa dem. Om du inte redan har administratörsprivilegier kan du arbeta med kunden för att återinföra dem.
Administratörsprivilegier för Azure i CSP-programmet
Vissa administratörsbehörigheter beviljas automatiskt när du upprättar en återförsäljarrelation med en kund. Andra måste beviljas dig av en kund.
Det finns två nivåer av administratörsbehörigheter för Azure i CSP:
Administratörsprivilegier på klientnivå (dvs . delegerade administratörsprivilegier) ger dig åtkomst till dina kunders klienter. Med den här delegerade åtkomsten kan du utföra administrativa funktioner, till exempel lägga till och hantera användare, återställa lösenord och hantera användarlicenser.
Du får administratörsprivilegier på klientorganisationsnivå när du upprättar CSP-återförsäljares relationer med kunder.
Administratörsprivilegier på prenumerationsnivå ger dig fullständig åtkomst till dina kunders Azure CSP-prenumerationer. Detta gör att du kan etablera och hantera deras Azure-resurser.
Du får administratörsbehörigheter på prenumerationsnivå när du skapar Azure CSP-prenumerationer för dina kunder.
Återställ dina CSP-administratörsbehörigheter: dina åtgärder
Du och kunden har alla åtgärder att utföra för att återställa dina CSP-administratörsprivilegier. I det här avsnittet beskrivs de åtgärder som du kan vidta.
Använd följande steg för att återställa dina CSP-administratörsprivilegier:
Logga in på Partnercenter och välj Kunder.
I kundlistan väljer du Begär en återförsäljare-relation.
För kryssrutan Delegerade Admin-privilegier:
- Låt kryssrutan vara markerad för att upprätta relationen med delegerade administratörsbehörigheter.
- Avmarkera kryssrutan för att upprätta relationen utan delegerade administratörsbehörigheter.
Granska utkastet till e-postinbjudan.
- Välj Öppna i e-post för att öppna utkastinbjudan i ditt standardprogram för e-post.
- Välj Kopiera till Urklipp för att kopiera och klistra in inbjudan i ett e-postmeddelande.
Viktigt
Du kan redigera texten i utkastet till e-postmeddelande, men se till att inkludera den anpassade länken eftersom den länkar kunden direkt till ditt konto.
Välj Klar.
Skicka e-postinbjudan till kunden.
Anteckning
För att kunna godkänna begäran måste personen i kundens organisation vara global administratör för kundens klientorganisation.
Kunden väljer länken som de fick i e-postmeddelandet. Länken tar dem till Microsoft Admin Center där de kan acceptera din inbjudan.
När kunden har godkänt begäran visas de på sidan Kunder i Partnercenter och du kan tillhandahålla och hantera kundens tjänst därifrån.
När kunden har godkänt återförsäljarrelationsinbjudan med hjälp av länken ansluter du till partnerklientorganisationen för att hämta
object ID
gruppen AdminAgents.Connect-AzAccount -Tenant "Partner tenant" # Get Object ID of AdminAgents group Get-AzADGroup -DisplayName AdminAgents
Kontrollera att kunden har:
- Rollen ägare eller administratör för användaråtkomst
- Behörigheter för att skapa rolltilldelningar på prenumerationsnivån
Återställ dina CSP-administratörsprivilegier: kundåtgärder
I det här avsnittet beskrivs kundens åtgärder för att återställa dina CSP-administratörsprivilegier.
För att slutföra återtagandet av dina CSP-administratörsbehörigheter använder kunden PowerShell eller Azure CLI för att utföra följande steg:
Kunden använder PowerShell för att uppdatera modulen
Az.Resources
.Update-Module Az.Resources
Kunden ansluter till den klientorganisation där CSP-prenumerationen finns.
Connect-AzAccount -TenantID "<Customer tenant>"
az login --tenant <Customer tenant>
Kunden ansluter till prenumerationen.
Det här steget gäller endast om användaren har behörigheter för rolltilldelning över flera prenumerationer i klientorganisationen.
Set-AzContext -SubscriptionID "<CSP Subscription ID>"
az account set --subscription <CSP Subscription ID>
Kunden skapar rolltilldelningen.
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
I stället för att bevilja ägarbehörigheter på prenumerationsnivå kan de beviljas på resursgrupps - eller resursnivå :
På resursgruppsnivå
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
På resursnivå
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
Felsöka kundstegen
Om kunden inte kan slutföra föregående steg föreslår du följande kommando och tillhandahåller den resulterande newRoleAssignment.log
filen till Microsoft för ytterligare analys:
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log
Återställ dina CSP-administratörsprivilegier: PowerShell catchall-procedur
Om stegen i föregående avsnitt inte fungerar eller om du får fel när du försöker göra det kan du prova följande "catchall"-procedur för att återställa administratörsrättigheterna för din kund:
Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"
Om "catchall"-proceduren misslyckas vid Import-Module
kan du prova följande steg:
- Om importen misslyckas eftersom modulen används startar du om PowerShell-sessionen genom att stänga och öppna alla fönster igen.
- Kontrollera versionen av
Az.Resources
medGet-Module Az.Resources -ListAvailable
.- Om version 4.1.1 inte finns i listan måste du använda
Update-Module Az.Resources -Force
.
- Om version 4.1.1 inte finns i listan måste du använda
- Om ett fel anger att det
Az.Accounts
måste vara en specifik version uppdaterar du även den modulen och ersätterAz.Resources
medAz.Accounts
. Sedan måste du starta om PowerShell-sessionen.
Nästa steg
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för