恢复客户的 Azure CSP 订阅的管理员权限
相应的角色全局管理员 | 管理员代理
由于你是云解决方案提供商 (CSP) 计划合作伙伴,你的客户通常会依赖于你来管理他们的 Azure 使用情况和系统。 必须具有管理员权限才能提供帮助。 如果你还没有管理员权限,可以请求客户恢复权限。
CSP 计划中的 Azure 管理员权限
与客户建立经销商关系时,会自动授予某些管理员权限。 客户必须向你授予其他人。
CSP 中 Azure 有两个级别的管理员权限:
租户级管理员权限 (即 委派管理员权限)可让你访问客户的租户。 通过此委派访问权限,可以执行管理功能,例如添加和管理用户、重置密码和管理用户许可证。
与客户建立 CSP 经销商关系时,将获得租户级管理员权限。
订阅级别的管理员权限为你提供客户 Azure CSP 订阅的完全访问权限。 此访问权限使你能够预配和管理其 Azure 资源。
为客户创建 Azure CSP 订阅时,将获得订阅级管理员权限。
恢复 CSP 管理员权限:操作
你和你的客户都有用于恢复 CSP 管理员权限的操作。 本部分介绍要执行的操作。
若要恢复 CSP 管理员权限,请使用以下步骤:
登录到合作伙伴中心并选择“客户”。
在 “客户列表”上,选择“ 请求经销商关系”。
对于“委派管理员权限”复选框:
- 保留选中的复选框,以与委派的管理员权限建立关系。
- 清除复选框以在没有委派的管理员权限的情况下建立关系。
查看草稿电子邮件邀请。
- 选择“ 在电子邮件 中打开”以在默认电子邮件应用程序中打开草稿邀请。
- 选择“ 复制到剪贴板 ”,将邀请复制并粘贴到电子邮件中。
重要
您可以编辑草稿电子邮件中的文本,但 请务必包含个性化链接 ,因为它将客户直接链接到你的帐户。
选择“完成” 。
向客户发送电子邮件邀请。
注意
为了能够接受请求,客户组织中的人员必须是 客户的租户的全局管理员 。
- 客户选择他们在电子邮件中收到的链接。 该链接会将他们转到 Microsoft管理中心 ,他们可以接受邀请。
- 客户接受邀请后,他们会出现在合作伙伴中心的“客户”页面上,你将能够从中为客户预配和管理服务。
客户使用提供的链接批准经销商关系邀请后,连接到合作伙伴租户以获取
object IDAdminAgents 组。Connect-AzAccount -Tenant "Partner tenant" # Get Object ID of AdminAgents group Get-AzADGroup -DisplayName AdminAgents确保客户具有:
- “所有者”或“用户访问管理员”角色
- 在订阅级别创建角色分配的权限
恢复 CSP 管理员权限:客户操作
本部分介绍 客户 恢复 CSP 管理员权限的操作。
若要完成恢复 CSP 管理员权限,客户使用 PowerShell 或 Azure CLI 执行以下步骤:
客户使用 PowerShell 更新
Az.Resources模块。Update-Module Az.Resources客户连接到 CSP 订阅所在的租户。
Connect-AzAccount -TenantID "<Customer tenant>"az login --tenant <Customer tenant>客户连接到订阅。
仅当用户对租户中的多个订阅具有角色分配权限时,此步骤才适用。
Set-AzContext -SubscriptionID "<CSP Subscription ID>"az account set --subscription <CSP Subscription ID>客户创建角色分配。
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
可以在资源组或资源级别授予所有者权限,而不是在订阅级别授予所有者权限:
在资源组级别
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"在资源级别
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
排查客户步骤问题
如果客户无法完成上述步骤,建议使用以下命令并提供结果 newRoleAssignment.log 文件以Microsoft以供进一步分析:
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log
恢复 CSP 管理员权限:PowerShell catchall 过程
如果上述部分中的步骤不起作用,或者在尝试这些步骤时遇到错误,请尝试以下“catchall”过程,恢复客户的管理员权限:
Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"
如果“catchall”过程失败 Import-Module,请尝试以下步骤:
- 如果导入失败是因为模块正在使用中,请关闭并重新打开所有窗口,重启 PowerShell 会话。
- 使用
Get-Module Az.Resources -ListAvailable检查Az.Resources的版本。- 如果版本 4.1.1 不在可用列表中,则必须使用
Update-Module Az.Resources -Force。
- 如果版本 4.1.1 不在可用列表中,则必须使用
- 如果错误指出
Az.Accounts必须是特定版本,请更新该模块,并Az.ResourcesAz.Accounts替换为 。 然后必须重启 PowerShell 会话。
间接经销商如何代表 Azure 订阅(AOBO)客户特权获得管理员
间接经销商可以按照以下步骤获取 Azure 订阅的 AOBO 客户特权:
- 与最终客户建立关系。
- 使用 Azure 订阅的最终客户请求精细委派的管理员权限(GDAP)。
- 签入自己的Azure 门户自己的租户 AdminAgent 组的对象 ID(若要了解如何执行此操作,请参阅合作伙伴赚取的信用故障排除指南)。
- 如果间接提供商对客户和 RBAC 所有者角色具有 OBO 权限,他们可以运行恢复 CSP 管理员权限中 提供的脚本:客户操作 以向间接经销商的管理员代理对象 ID 授予 AOBO 权限。 或者,如果最终用户拥有订阅的所有权,则最终客户可以执行此操作。