恢復客戶的 Azure CSP 訂用帳戶管理員權限

文章
08/01/2023

適當的角色：全域管理員 |管理員代理程式

身為一個雲端解決方案提供者 (CSP) 計劃的合作夥伴，您的客戶通常會倚賴您代為管理其 Azure 使用量及系統。您必須具備系統管理員許可權，才能協助他們。如果您還沒有管理員權限，您可以與客戶合作恢復相關權限。

CSP 計畫中的 Azure 管理員權限

當您與客戶建立轉銷商關係時，會自動授與某些系統管理員許可權。其他人必須由客戶授與您。

CSP 中有兩個層級的 Azure 系統管理員許可權：

租使用者層級系統管理員許可權 (即委派的 系統管理員許可權 ，) 可讓您存取客戶的租使用者。此委派存取可讓您執行系統管理功能，例如新增和管理使用者、重設密碼，以及管理使用者授權。

當您與客戶建立 CSP 轉銷商關係時，您會獲得租使用者層級系統管理員許可權。
訂用帳戶層級的管理員權限可讓您完整存取客戶的 Azure CSP 訂用帳戶。此存取權可讓您佈建及管理其 Azure 資源。

為您的客戶建立 Azure CSP 訂用帳戶時，您會獲得訂用帳戶層級系統管理員許可權。

恢復 CSP 系統管理員許可權：您的動作

您和您的客戶都有要執行的動作，以恢復 CSP 系統管理員許可權。本節說明要採取的動作。

若要恢復 CSP 系統管理員許可權，請使用下列步驟：

登入合作夥伴中心，然後選取 [客戶]。
在 [ 客戶清單]上，選取 [ 要求轉銷商關係]。
針對 [委派管理員許可權] 核取方塊：
- 保留選取的核取方塊，以建立與委派系統管理員許可權的關聯性。
- 清除核取方塊，以在沒有委派的系統管理員許可權 的情況下 建立關聯性。
檢閱草稿電子郵件邀請。
- 選取 [在電子郵件中開啟 ] 以開啟預設電子郵件應用程式中的草稿邀請。
- 選取 [複製到剪貼簿 ]，將邀請複製並貼到電子郵件訊息中。
重要

您可以編輯草稿電子郵件訊息中的文字，但 請務必包含個人化連結 ，因為它會將客戶直接連結到您的帳戶。
選取 [完成]。
傳送電子郵件邀請給您的客戶。

注意

若要能夠接受要求，客戶組織中的人員必須是客戶租使用者的 全域管理員 。
- 您的客戶會選取他們在電子郵件中收到的連結。連結會帶他們前往Microsoft 管理員中心，讓他們可以接受您的邀請。
- 客戶接受您的邀請之後，他們將會出現在合作夥伴中心的 [客戶] 頁面，而且您將能從該處為客戶佈建及管理服務。
客戶使用提供的連結核准轉銷商關係邀請之後，請連線到合作夥伴租使用者以取得 object ID AdminAgents 群組的。
```
Connect-AzAccount -Tenant "Partner tenant"
# Get Object ID of AdminAgents group
Get-AzADGroup -DisplayName AdminAgents
```
請確認您的客戶具有：
- [擁有者] 或 [使用者存取管理員] 的角色
- 在訂用帳戶層級建立角色指派的權限

恢復 CSP 系統管理員許可權：客戶動作

本節說明客戶用來恢復 CSP 系統管理員許可權的動作。

若要完成復原 CSP 系統管理員許可權，您的客戶會使用 PowerShell 或 Azure CLI 來執行下列步驟：

您的客戶會使用 PowerShell 來更新 Az.Resources 模組。
```
Update-Module Az.Resources
```

您的客戶會連線到 CSP 訂用帳戶所在的租使用者。

Connect-AzAccount -TenantID "<Customer tenant>"

az login --tenant <Customer tenant>

您的客戶會連線到訂用帳戶。

只有在使用者具有租使用者中多個訂用帳戶的角色指派許可權時，才適用此步驟。
```
Set-AzContext -SubscriptionID "<CSP Subscription ID>"
```
```
az account set --subscription <CSP Subscription ID>
```

您的客戶會建立角色指派。

New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"

az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"

您可以在資源群組或資源層級授與擁有者許可權，而不是在訂用帳戶層級授與擁有者許可權：

在 資源群組 層級

New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"

az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"

在資源層級

New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"

az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"

針對客戶步驟進行疑難排解

如果您的客戶無法完成上述步驟，請建議下列命令，並將產生的 newRoleAssignment.log 檔案提供給 Microsoft 以進一步分析：

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

恢復 CSP 系統管理員許可權：PowerShell catchall 程式

如果上述各節中的步驟無法運作，或如果您在嘗試時收到錯誤，請嘗試下列「catchall」程式來恢復客戶的系統管理員許可權：

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

如果「catchall」程式在失敗 Import-Module ，請嘗試下列步驟：

如果匯入因為模組正在使用中而失敗，請關閉並重新開啟所有視窗，以重新開機 PowerShell 會話。
使用 Get-Module Az.Resources -ListAvailable 檢查的版本 Az.Resources 。
- 如果 4.1.1 版不在可用的清單中，您必須使用 Update-Module Az.Resources -Force 。
如果錯誤指出 Az.Accounts 必須是特定版本，也請更新該模組，並將 Az.Resources 取代為 Az.Accounts 。您接著必須重新開機 PowerShell 會話。

接下來的步驟

管理 Azure 方案下的訂用帳戶和資源

分享方式：