Müşterinin Azure CSP abonelikleri için yönetici ayrıcalıklarını yeniden devreye sokma

  • Makale

Uygun roller: Genel yönetici | Yönetici aracısı

Bulut Çözümü Sağlayıcısı (CSP) program iş ortağı olarak müşterileriniz genellikle Azure kullanımlarının ve sistemlerinin yönetimi için size güvenir. Onlara yardımcı olmak için yönetici ayrıcalıklarına sahip olmanız gerekir. Henüz yönetici ayrıcalıklarınız yoksa müşterinizle birlikte çalışarak bu ayrıcalıkları yeniden devre sokabilirsiniz.

CSP programında Azure için yönetici ayrıcalıkları

Bir müşteriyle kurumsal bayi ilişkisi kurduğunuzda bazı yönetici ayrıcalıkları otomatik olarak verilir. Başkalarının size bir müşteri tarafından verilmesi gerekir.

CSP'de Azure için iki düzey yönetici ayrıcalığı vardır:

  • Kiracı düzeyinde yönetici ayrıcalıkları (başka bir ifadeyle yönetici temsilcisi ayrıcalıkları), müşterilerinizin kiracılarına erişmenizi sağlar. Bu temsilcili erişim, kullanıcı ekleme ve yönetme, parolaları sıfırlama ve kullanıcı lisanslarını yönetme gibi yönetim işlevlerini gerçekleştirmenize olanak tanır.

    Müşterilerle CSP kurumsal bayi ilişkileri kurarken kiracı düzeyinde yönetici ayrıcalıklarına sahip olursunuz.

  • Abonelik düzeyinde yönetici ayrıcalıkları size müşterilerinizin Azure CSP abonelikleri üzerinde tam erişim verir. Bu erişim müşterilerinizin Azure kaynaklarını sağlamanıza ve yönetmenize olanak tanır.

    Müşterileriniz için Azure CSP abonelikleri oluştururken abonelik düzeyinde yönetici ayrıcalıklarına sahip olursunuz.

CSP yönetici ayrıcalıklarınızı yeniden devreye ekleme: eylemleriniz

Siz ve müşterinizin CSP yönetici ayrıcalıklarınızı yeniden devreye almak için gerçekleştirmeniz gereken eylemleri vardır. Bu bölümde gerçekleştirmeniz gereken eylemler açıklanmaktadır.

CSP yönetici ayrıcalıklarınızı yeniden devreye almak için aşağıdaki adımları kullanın:

  1. İş Ortağı Merkezi'nde oturum açın ve Müşteriler'i seçin.

  2. Müşteri Listesi'ndeKurumsal bayi ilişkisi iste'yi seçin.

  3. Temsilci Yönetici Ayrıcalıkları onay kutusu için:

    • Temsilci yönetici ayrıcalıklarıyla ilişki kurmak için onay kutusunu seçili bırakın.
    • Temsilci yönetici ayrıcalıkları olmadan ilişkiyi kurmak için onay kutusunu temizleyin.

    İş Ortağı Merkezi'ndeki 'İlişki isteği oluşturma' sayfasından ekran görüntüsü.

  4. Taslak e-posta davetini gözden geçirin.

    • Varsayılan e-posta uygulamanızda taslak daveti açmak için E-postada aç'ı seçin.
    • Daveti kopyalayıp e-posta iletisine yapıştırmak için Panoya kopyala'yı seçin.

    Önemli

    Taslak e-posta iletisindeki metni düzenleyebilirsiniz, ancak müşteriyi doğrudan hesabınıza bağladığından kişiselleştirilmiş bağlantıyı eklediğinizden emin olun .

  5. Bitti seçeneğini belirleyin.

  6. E-posta davetini müşterinize gönderin.

    Not

    İsteği kabul edebilmek için, müşterinizin kuruluşundaki kişinin müşterinizin kiracısının Genel yöneticisi olması gerekir.

    • Müşteriniz e-postada aldığı bağlantıyı seçer. Bu bağlantı, davetinizi kabul ettikleri Microsoft Yönetici Center'a götürür.

    • Müşteri davetinizi kabul ettikten sonra İş Ortağı Merkezi’ndeki Müşteriler sayfanızda görüntülenir ve oradan müşteri için hizmeti sağlayabilir ve yönetebilirsiniz.

  7. Müşteriniz sağlanan bağlantıyı kullanarak bayi ilişkisi davetini onayladıktan sonra AdminAgents grubunun bağlantısını almak object ID için iş ortağı kiracısına bağlanın.

    Connect-AzAccount -Tenant "Partner tenant"
# Get Object ID of AdminAgents group
Get-AzADGroup -DisplayName AdminAgents

  8. Müşterinizin şunlara sahip olduğundan emin olun:

    • Sahip veya kullanıcı erişimi yöneticisi rolü
    • Abonelik düzeyinde rol atamaları oluşturma izinleri

CSP yönetici ayrıcalıklarınızı yeniden devreye ekleme: müşteri eylemleri

Bu bölümde müşterinin CSP yönetici ayrıcalıklarınızı yeniden uygulamaya yönelik eylemleri açıklanmaktadır.

CSP yönetici ayrıcalıklarınızı yeniden devreye alma işlemini tamamlamak için müşteriniz aşağıdaki adımları gerçekleştirmek için PowerShell veya Azure CLI kullanır:

  1. Müşteriniz modülü güncelleştirmek Az.Resources için PowerShell kullanıyor.

    Update-Module Az.Resources

  2. Müşteriniz CSP aboneliğinin bulunduğu kiracıya bağlanır.

    Connect-AzAccount -TenantID "<Customer tenant>"

    az login --tenant <Customer tenant>

  3. Müşteriniz aboneliğe bağlanır.

    Bu adım yalnızca kullanıcının kiracıdaki birden çok abonelik üzerinde rol atama izinleri varsa geçerlidir.

    Set-AzContext -SubscriptionID "<CSP Subscription ID>"

    az account set --subscription <CSP Subscription ID>

  4. Müşteriniz rol atamasını oluşturur.

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"

    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"

Abonelik düzeyinde sahip izinleri vermek yerine, bunlar kaynak grubu veya kaynak düzeyinde verilebilir:

  • Kaynak grubu düzeyinde

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"

    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"

  • Kaynak düzeyinde

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"

    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"

Müşteri adımlarının sorunlarını giderme

Müşteriniz önceki adımları tamamlayamıyorsa aşağıdaki komutu önerin ve daha fazla analiz için sonuç newRoleAssignment.log dosyasını Microsoft'a sağlayın:

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

CSP yönetici ayrıcalıklarınızı yeniden devreye alma: PowerShell catchall yordamı

Önceki bölümlerdeki adımlar işe yaramazsa veya bunları denerken hata alırsanız, müşterinizin yönetici haklarını yeniden devreye almak için aşağıdaki "catchall" yordamını deneyin:

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

"catchall" yordamı konumunda Import-Modulebaşarısız olursa aşağıdaki adımları deneyin:

  • Modül kullanımda olduğu için içeri aktarma başarısız olursa, tüm pencereleri kapatıp yeniden açarak PowerShell oturumunu yeniden başlatın.
  • ile Get-Module Az.Resources -ListAvailablesürümünü Az.Resources denetleyin.
    • Sürüm 4.1.1 kullanılabilir listede yoksa kullanmanız gerekir Update-Module Az.Resources -Force.
  • Bir hata belirli bir sürüm olması gerektiğini belirtiyorsaAz.Accounts, değerini ile Az.Accountsdeğiştirerek Az.Resources bu modülü de güncelleştirin. Ardından PowerShell oturumunu yeniden başlatmanız gerekir.

Sonraki adımlar