Dela via

Återställa administratörsprivilegier för en kunds Azure CSP-prenumerationer

  • Artikel

Lämpliga roller: Global administratör | Admin agent

Som partner i CSP-programmet förlitar sig kunderna ofta på att du hanterar deras Azure-användning och deras system. Du måste ha administratörsbehörighet för att hjälpa dem. Om du inte redan har administratörsprivilegier kan du arbeta med kunden för att återinföra dem.

Administratörsprivilegier för Azure i CSP-programmet

Vissa administratörsbehörigheter beviljas automatiskt när du upprättar en återförsäljarrelation med en kund. Andra måste beviljas dig av en kund.

Det finns två nivåer av administratörsbehörigheter för Azure i CSP:

  • Administratörsprivilegier på klientnivå (dvs . delegerade administratörsprivilegier) ger dig åtkomst till dina kunders klienter. Med den här delegerade åtkomsten kan du utföra administrativa funktioner, till exempel lägga till och hantera användare, återställa lösenord och hantera användarlicenser.

    Du får administratörsprivilegier på klientorganisationsnivå när du upprättar CSP-återförsäljares relationer med kunder.

  • Administratörsprivilegier på prenumerationsnivå ger dig fullständig åtkomst till dina kunders Azure CSP-prenumerationer. Detta gör att du kan etablera och hantera deras Azure-resurser.

    Du får administratörsbehörigheter på prenumerationsnivå när du skapar Azure CSP-prenumerationer för dina kunder.

Återställ dina CSP-administratörsbehörigheter: dina åtgärder

Du och kunden har alla åtgärder att utföra för att återställa dina CSP-administratörsprivilegier. I det här avsnittet beskrivs de åtgärder som du kan vidta.

Använd följande steg för att återställa dina CSP-administratörsprivilegier:

  1. Logga in på Partnercenter och välj Kunder.

  2. I kundlistan väljer du Begär en återförsäljare-relation.

  3. För kryssrutan Delegerade Admin-privilegier:

    • Låt kryssrutan vara markerad för att upprätta relationen med delegerade administratörsbehörigheter.
    • Avmarkera kryssrutan för att upprätta relationen utan delegerade administratörsbehörigheter.

    Skärmbild från sidan Skapa en relationsbegäran i Partnercenter.

  4. Granska utkastet till e-postinbjudan.

    • Välj Öppna i e-post för att öppna utkastinbjudan i ditt standardprogram för e-post.
    • Välj Kopiera till Urklipp för att kopiera och klistra in inbjudan i ett e-postmeddelande.

    Viktigt

    Du kan redigera texten i utkastet till e-postmeddelande, men se till att inkludera den anpassade länken eftersom den länkar kunden direkt till ditt konto.

  5. Välj Klar.

  6. Skicka e-postinbjudan till kunden.

    Anteckning

    För att kunna godkänna begäran måste personen i kundens organisation vara global administratör för kundens klientorganisation.

    • Kunden väljer länken som de fick i e-postmeddelandet. Länken tar dem till Microsoft Admin Center där de kan acceptera din inbjudan.

    • När kunden har godkänt begäran visas de på sidan Kunder i Partnercenter och du kan tillhandahålla och hantera kundens tjänst därifrån.

  7. När kunden har godkänt återförsäljarrelationsinbjudan med hjälp av länken ansluter du till partnerklientorganisationen för att hämta object ID gruppen AdminAgents.

    Connect-AzAccount -Tenant "Partner tenant"
# Get Object ID of AdminAgents group
Get-AzADGroup -DisplayName AdminAgents

  8. Kontrollera att kunden har:

    • Rollen ägare eller administratör för användaråtkomst
    • Behörigheter för att skapa rolltilldelningar på prenumerationsnivån

Återställ dina CSP-administratörsprivilegier: kundåtgärder

I det här avsnittet beskrivs kundens åtgärder för att återställa dina CSP-administratörsprivilegier.

För att slutföra återtagandet av dina CSP-administratörsbehörigheter använder kunden PowerShell eller Azure CLI för att utföra följande steg:

  1. Kunden använder PowerShell för att uppdatera modulen Az.Resources .

    Update-Module Az.Resources

  2. Kunden ansluter till den klientorganisation där CSP-prenumerationen finns.

    Connect-AzAccount -TenantID "<Customer tenant>"

    az login --tenant <Customer tenant>

  3. Kunden ansluter till prenumerationen.

    Det här steget gäller endast om användaren har behörigheter för rolltilldelning över flera prenumerationer i klientorganisationen.

    Set-AzContext -SubscriptionID "<CSP Subscription ID>"

    az account set --subscription <CSP Subscription ID>

  4. Kunden skapar rolltilldelningen.

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"

    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"

I stället för att bevilja ägarbehörigheter på prenumerationsnivå kan de beviljas på resursgrupps - eller resursnivå :

  • resursgruppsnivå

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"

    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"

  • resursnivå

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"

    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"

Felsöka kundstegen

Om kunden inte kan slutföra föregående steg föreslår du följande kommando och tillhandahåller den resulterande newRoleAssignment.log filen till Microsoft för ytterligare analys:

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

Återställ dina CSP-administratörsprivilegier: PowerShell catchall-procedur

Om stegen i föregående avsnitt inte fungerar eller om du får fel när du försöker göra det kan du prova följande "catchall"-procedur för att återställa administratörsrättigheterna för din kund:

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

Om "catchall"-proceduren misslyckas vid Import-Modulekan du prova följande steg:

  • Om importen misslyckas eftersom modulen används startar du om PowerShell-sessionen genom att stänga och öppna alla fönster igen.
  • Kontrollera versionen av Az.Resources med Get-Module Az.Resources -ListAvailable.
    • Om version 4.1.1 inte finns i listan måste du använda Update-Module Az.Resources -Force.
  • Om ett fel anger att det Az.Accounts måste vara en specifik version uppdaterar du även den modulen och ersätter Az.Resources med Az.Accounts. Sedan måste du starta om PowerShell-sessionen.

Nästa steg