管理 Azure 计划中的订阅和资源

相应的角色:管理员代理

本文介绍如何云解决方案提供商(CSP)合作伙伴使用各种基于角色的访问控制(RBAC)选项来获取客户的 Azure 资源的运营控制和管理。

将客户过渡到 Azure 计划时,默认情况下会代表 (AOBO) 通过管理员分配 Azure 中的特权管理员权限。

注意

客户可以在订阅级别、资源组级别或工作负荷级别删除 Azure 订阅的管理员权限。

合作伙伴可以使用通过基于角色的访问控制功能(RBAC)提供的各种选项,在 CSP 中持续控制和管理客户的 Azure 资源。

  • 管理员代表 - 使用 AOBO,合作伙伴租户中具有管理员代理角色的任何用户都具有对通过 CSP 计划创建的 Azure 订阅的 RBAC 所有者访问权限。

  • Azure Lighthouse:AOBO 无法灵活地创建与不同客户合作的不同组,或者为组或用户启用不同的角色。 但是,使用 Azure Lighthouse,可以将不同的组分配给不同的客户或角色。 由于用户通过 Azure 委派的资源管理具有适当的访问权限级别,因此可以减少具有管理员代理角色的用户数(因此具有完整的 AOBO 访问权限)。 这有助于通过限制对客户资源的不必要的访问来提高安全性。 此外,它还可以让你更灵活地大规模管理多个客户。 有关详细信息,请参阅 Azure Lighthouse 和云解决方案提供商计划

  • 目录或来宾用户或服务 主体:可以通过在客户目录中添加用户或添加来宾用户并分配特定的 RBAC 角色来委托对 CSP 订阅的精细访问。

作为安全做法,Microsoft建议向用户分配执行其工作所需的最低权限。 有关详细信息,请参阅 Microsoft Entra Privileged Identity Management 资源

下表显示了用于将 PartnerID(前 MPN ID)与各种 RBAC 访问选项关联的方法。

类别 方案 PartnerID 关联
AOBO CSP 直接合作伙伴或间接提供商为客户创建订阅,使 CSP 直接合作伙伴或间接提供商使用 AOBO 成为订阅的默认所有者。 CSP 直接合作伙伴或间接提供商使用 AOBO 授予间接经销商对订阅的访问权限。 自动(无需合作伙伴的干预)
Azure Lighthouse 合作伙伴在市场中创建新的托管服务产品/服务。 在 CSP 订阅上接受产品/服务,合作伙伴可以访问 CSP 订阅。 自动(无需合作伙伴的干预)
Azure Lighthouse 合作伙伴在 Azure 订阅中部署 Azure 资源管理器 (ARM) 模板 合作伙伴必须将 PartnerID 与合作伙伴租户中的用户或服务主体相关联。 有关详细信息,请参阅 链接 PartnerID,以跟踪对委托资源的影响。
目录或来宾用户 合作伙伴在客户目录中创建新的用户或服务主体,并向用户授予对 CSP 订阅的访问权限。 合作伙伴在客户目录中创建新的用户或服务主体。 伙伴将用户添加到某个组,并向该组授予对 CSP 订阅的访问权限。 合作伙伴必须将 PartnerID 与客户租户中的用户或服务主体相关联。 有关详细信息,请参阅 将 PartnerID 链接到用于管理客户的帐户。

确认你拥有管理员访问权限

必须具有管理员访问权限才能管理客户的服务并接收赚取的积分。 有关赚取的积分的详细信息,请参阅 合作伙伴赚取的积分

若要确定你是否具有管理员访问权限,请使用以下步骤:

  • 查看每日使用情况文件:查看每日使用文件中的单价和有效单价,并确认是否应用了折扣。 如果收到折扣,则你是管理员。

创建 Azure Monitor 警报

如果从 CSP 订阅中删除了 RBAC 访问权限,则可以创建要通知的活动日志 Azure Monitor 警报

若要创建 Azure Monitor 警报,请使用以下步骤:

  1. 创建警报

    Azure 门户警报的屏幕截图。

  2. 选择希望警报执行的操作类型。

    例如,如果指定需要电子邮件,将收到一封电子邮件,通知你是否删除任何角色分配。

    配置警报Azure 门户的屏幕截图。

AOBO 删除

客户可以通过转到Azure 门户访问控制来管理对其订阅的访问权限。 在“角色分配”选项卡中,可以选择“删除访问权限”。

如果客户删除了你的访问权限,你可以:

基于角色的访问权限不同于管理员访问权限。 角色精确界定你可以和不可以执行的操作。 管理员访问权限更广泛。

暂停并重新激活 Azure 计划

合作伙伴可以直接在合作伙伴中心通过 Azure 计划详细信息页暂停或重新激活 Azure 计划。

  1. 在合作伙伴中心的客户中,选择客户帐户
  2. 导航到客户的 Azure 订阅
  3. 选择 Azure 计划
  4. 选择“状态: 挂起”,然后 提交 以暂停 Azure 计划。
  5. 选择“状态: 活动 ”,然后 提交 以重新激活 Azure 计划。

如果现有 Azure 计划不再具有与之关联的任何活动使用情况资产(包括 Azure 使用情况订阅和 Azure 预留),则只能暂停现有 Azure 计划。

合作伙伴只能为每个特定经销商和客户组合购买一个 Azure 计划。 如果经销商的客户已暂停计划,则客户无法购买新计划。 取消不适用于 Azure 计划。

有关 API 暂停的 Azure 计划,请参阅 暂停订阅 - 合作伙伴应用开发人员

有关 API 重新激活 Azure 计划,请参阅 重新激活暂停的订阅 - 合作伙伴应用开发人员

取消 Azure 订阅

如果客户的 Azure 计划订阅已泄露,合作伙伴可以从合作伙伴中心取消 Azure 订阅。 此功能仅适用于管理员代理角色。 要执行此操作:

  1. 从客户列表中选择“客户
  2. 导航到客户的 Azure 订阅
  3. 选择订阅位于的 Azure 计划
  4. 在 Azure 计划详细信息页上,选择要取消的 Azure 订阅
  5. 通过选择“取消订阅” 提交更改

这会仅取消所选的 Azure 订阅。 如果 Azure 计划仍然处于活动状态,则有权访问 Azure 订阅的客户可以重新激活订阅。 若要阻止这种情况发生,合作伙伴应取消所有 Azure 订阅,然后取消 Azure 计划本身。

合作伙伴可以多选订阅,但一次不能取消超过 10 个订阅。 合作伙伴可以在其下没有活动的 Azure 订阅时取消 Azure 计划。 这使合作伙伴能够关闭可能已泄露的 Azure 计划和订阅,即使一个不良参与者删除了其 RBAC 权限。

合作伙伴可以通过合作伙伴中心门户或 API 取消 Azure 订阅。 有关 API 详细信息,请参阅 “取消 Azure 订阅 并试用”,请参阅 Azure 支出 - 取消 Azure 权利 - REST API

若要详细了解如何取消 Azure 订阅,请参阅 订阅取消后会发生什么情况?

重新激活 Azure 订阅

合作伙伴可以使用“非活动 Azure 订阅”选项卡从其 Azure 计划详细信息页重新激活因客户泄露而取消的 Azure 订阅。此功能仅适用于管理员代理角色。 要执行此操作:

  1. 从客户列表中选择“客户
  2. 导航到客户的 Azure 订阅
  3. 选择订阅位于的 Azure 计划
  4. 在“Azure 计划详细信息”页上的“Azure 订阅”部分下,选择“非活动”选项卡
  5. 选择要重新激活的 Azure 订阅
  6. 通过选择“重新激活订阅” 提交更改

这会仅重新激活所选的 Azure 订阅。 合作伙伴可以多选订阅,但一次不能重新激活 10 个以上的订阅。 关联的 Azure 计划必须处于活动状态才能重新激活 Azure 订阅。 合作伙伴可以直接在合作伙伴中心重新激活 Azure 计划,方法是转到 Azure 计划详细信息页,并将 Azure 计划的状态更新回活动状态。

如果客户或计费所有者在Azure 门户中取消了 Azure 订阅,则需要联系客户或计费所有者,以便从Azure 门户重新激活订阅。

有关通过 API 重新激活,请参阅 重新激活 Azure 订阅 - 合作伙伴应用开发人员。 若要试用,请参阅 Azure 支出 - 重新激活 Azure 权利

有关重新激活 Azure 订阅的详细信息,请参阅 Azure 文档