相应的角色:行政代理人
本文介绍如何云解决方案提供商(CSP)合作伙伴使用各种基于角色的访问控制(RBAC)选项来获取客户的 Azure 资源的运营控制和管理。
将客户转换到 Azure 计划时,默认你会获得 Azure 中的特权管理员权限(由管理员代表 (AOBO) 授予的订阅所有者权限)。
注意
客户可以在以下任意级别删除管理员权限:订阅、资源组和工作负荷。
若要在 CSP 中管理客户的 Azure 资源,合作伙伴可以使用基于角色的访问控制(RBAC)。 此功能允许您保持操作控制,并持续监督管理任务。
管理员代表 - 借助 AOBO,在合作伙伴租户中具有“管理员代理”角色的任何用户将对你通过 CSP 计划创建的 Azure 订阅拥有 RBAC 所有者访问权限。
Azure Lighthouse:AOBO 无法灵活地创建与不同客户合作的不同组,或者为组或用户启用不同的角色。 但是,使用 Azure Lighthouse,可以将不同的组分配给不同的客户或角色。 由于用户通过 Azure 委派的资源管理具有适当的访问权限级别,因此可以减少具有管理员代理角色的用户数(因此具有完整的 AOBO 访问权限)。 这有助于通过限制对客户资源的不必要的访问来提高安全性。 此外,它还可以让你更灵活地大规模管理多个客户。 有关详细信息,请参阅 Azure Lighthouse 和云解决方案提供商计划。
目录用户、来宾用户或服务主体:可以通过将用户添加到客户目录,或者添加来宾用户并分配特定的 RBAC 角色,来委托对 CSP 订阅的精细访问权限。
作为安全做法,Microsoft建议向用户分配执行其工作所需的最低权限。 有关详细信息,请参阅 Microsoft Entra Privileged Identity Management 资源。
将 PartnerID 链接到您的凭据,以便管理客户的 Azure 资源
下表显示了用于将 PartnerID(前 MPN ID)与各种 RBAC 访问选项关联的方法。
| 类别 | 至关重要 | PartnerID 关联 |
|---|---|---|
| 奥博 | CSP 直接合作伙伴或间接提供商为客户创建订阅,使 CSP 直接合作伙伴或间接提供商使用 AOBO 成为订阅的默认所有者。 CSP 直接合作伙伴或间接提供商使用 AOBO 向间接经销商授予对该订阅的访问权限。 | 自动(无需合作伙伴的干预) |
| Azure Lighthouse (Azure 灯塔) | 合作伙伴在市场中创建新的托管服务套餐。 该套餐在 CSP 订阅中接受,合作伙伴获取对该 CSP 订阅的访问权限。 | 自动(无需合作伙伴的干预) |
| Azure Lighthouse (Azure 灯塔) | 合作伙伴在 Azure 订阅中部署 Azure 资源管理器 (ARM) 模板 | 合作伙伴必须将 PartnerID 与合作伙伴租户中的用户或服务主体相关联。 有关详细信息,请参阅链接 PartnerID 以跟踪你对委托资源的影响。 |
| 目录或来宾用户 | 合作伙伴在客户目录中创建新的用户或服务主体,并向用户授予对 CSP 订阅的访问权限。 合作伙伴在客户目录中创建新的用户或服务主体。 伙伴将用户添加到某个组,并向该组授予对 CSP 订阅的访问权限。 | 合作伙伴必须将 PartnerID 与客户租户中的用户或服务主体相关联。 有关详细信息,请参阅链接 PartnerID 到用于管理客户的帐户。 |
确认你拥有管理员访问权限
必须具有管理员访问权限才能管理客户的服务并接收赚取的积分。 有关赚取的返点的详细信息,请参阅合作伙伴赚取的返点。
若要确定你是否具有管理员访问权限,请使用以下步骤:
- 查看每日使用记录:查看每日使用记录中的单价和有效单价,并确认是否正在应用折扣。 如果你获得了折扣,那么你就是管理员。
创建 Azure 监控警报
如果从 CSP 订阅中删除了您的 RBAC 访问权限,您可以创建一个 Azure Monitor Alert 活动日志来收到通知。
若要创建 Azure Monitor 警报,请使用以下步骤:
创建警报。
选择希望警报执行的操作类型。
例如,如果你指定要接收电子邮件,那么在有任何角色分配被删除时,你会收到通知邮件。
在 Azure 门户配置警报界面的屏幕截图。移除 AOBO 访问权限
客户可以通过访问 Azure 门户的访问控制来管理对其订阅的访问权限。 在角色分配选项卡中,他们可以选择删除访问。
如果客户删除了你的访问权限,你可以:
与客户沟通,看看是否可以恢复管理访问权限。
使用通过基于角色的访问控制 (RBAC) 提供的访问权限。
使用通过 Azure Lighthouse 提供的访问权限。
基于角色的访问权限不同于管理员访问权限。 角色精确界定你可以和不可以执行的操作。 管理员访问权限更广泛。
暂停并重新激活 Azure 计划
合作伙伴可以直接在合作伙伴中心通过 Azure 计划详细信息页暂停或重新激活 Azure 计划。
- 在合作伙伴中心中,选择客户帐户
- 导航到客户的 Azure 订阅
- 选择该 Azure 计划
- 选择状态“已暂停”,然后选择“提交”以暂停 Azure 计划。
- 选择状态“获得”,然后选择“提交”以重新激活 Azure 计划。
只有在现有的 Azure 计划不再有任何活动使用资产(包括 Azure 使用订阅和 Azure 预订)与之关联时,才能暂停该 Azure 计划。
合作伙伴只能为每个特定经销商和客户组合购买一个 Azure 计划。 如果经销商的客户已暂停计划,则客户无法购买新计划。 取消不适用于 Azure 计划。
有关通过 API 暂停 Azure 计划,请参阅暂停订阅 - 合作伙伴应用开发人员。
有关通过 API 重新激活 Azure 计划,请参阅重新激活暂停的订阅 - 合作伙伴应用开发人员。
取消 Azure 订阅
如果客户的 Azure 计划订阅遭到入侵,合作伙伴可以从合作伙伴中心取消 Azure 订阅。 合作伙伴必须具有全局管理员权限和管理员代理角色才能取消 Azure 订阅。 取消:
- 从客户列表中选择客户
- 导航到客户的 Azure 订阅
- 选择订阅所属的“Azure 计划”
- 在 Azure 计划详细信息页上,选择要取消的 Azure 订阅
- 提交更改,请选择“取消订阅”
此过程仅取消所选的 Azure 订阅。 如果 Azure 计划仍然处于活动状态,则有权访问 Azure 订阅的客户可以重新激活订阅。 若要停止重新激活,合作伙伴应取消所有 Azure 订阅,然后取消 Azure 计划本身。
合作伙伴可以多选订阅,但一次不能取消超过 10 个订阅。 合作伙伴可以在其下没有活动的 Azure 订阅时取消 Azure 计划。 此过程使合作伙伴能够关闭可能遭到入侵的 Azure 计划和订阅,即使不良参与者删除了其 RBAC 权限。
合作伙伴可以通过合作伙伴中心门户或 API 取消 Azure 订阅。 有关 API 详细信息,请参阅取消 Azure 订阅并进行试用,请参阅 Azure 支出 - 取消 Azure 权利 - REST API。
若要详细了解如何取消 Azure 订阅,请参阅订阅取消后会发生什么情况?
重新激活 Azure 订阅
合作伙伴可以使用“非活动 Azure 订阅”选项卡从其 Azure 计划详细信息页重新激活因客户泄露而取消的 Azure 订阅。合作伙伴必须具有全局管理员权限和管理员代理角色才能重新激活 Azure 订阅。 若要重新激活:
- 从客户列表中选择客户
- 导航到客户的 Azure 订阅
- 选择订阅所属的“Azure 计划”
- 在“Azure计划详细信息”页面的“Azure订阅”部分,选择“未激活”选项卡
- 选择要重新激活的 Azure 订阅
- 通过选择“重新激活订阅”提交更改
它仅重新激活所选的 Azure 订阅。 合作伙伴可以多选订阅,但一次不能重新激活 10 个以上的订阅。 关联的 Azure 计划必须处于活动状态才能重新激活 Azure 订阅。 若要重新激活 Azure 计划,请先转到合作伙伴中心的 Azure 计划详细信息页。 然后,将计划的状态更改回活动状态。
若要重新激活订阅,请联系在 Azure 门户中取消订阅的客户或计费所有者。 他们需要登录并完成重新激活过程。
有关通过 API 重新激活,请参阅重新激活 Azure 订阅 - 合作伙伴应用开发人员。 若要进行试用,请参阅 Azure 支出 - 重新激活 Azure 权利。
有关重新激活 Azure 订阅的详细信息,请参阅 Azure 文档。