管理 Azure 方案下的訂用帳戶和資源

  • 發行項

適當的角色:管理員 代理程式

本文說明 雲端解決方案提供者 (CSP) 合作夥伴如何使用各種角色型訪問控制 (RBAC) 選項來取得客戶 Azure 資源的作業控制和管理。

當您將客戶轉換至 Azure 方案時,系統會在 Azure 中獲指派特殊許可權的系統管理員許可權—根據預設,透過 管理員 代表 [AOBO] 的訂用帳戶擁有者許可權。

注意

管理員 客戶可以在訂用帳戶層級、資源群組層級或工作負載層級移除 Azure 訂用帳戶的許可權。

合作夥伴可以使用透過角色型訪問控制功能 (RBAC) 取得的各種可用選項,在 CSP 中持續控制和管理客戶的 Azure 資源。

  • 管理員 代表 - 使用 AOBO,合作夥伴租使用者中具有 管理員 代理程式角色的任何使用者,都可以存取您透過 CSP 計劃建立的 Azure 訂用帳戶。

  • Azure Lighthouse:AOBO 無法彈性地建立與不同客戶合作的不同群組,或為群組或使用者啟用不同的角色。 不過,使用 Azure Lighthouse,您可以將不同的群組指派給不同的客戶或角色。 由於使用者透過 Azure 委派的資源管理具有適當的存取層級,因此您可以減少具有 管理員 代理程式角色的用戶數目(因此具有完整的 AOBO 存取權)。 這有助於藉由限制對客戶資源的不必要存取來改善安全性。 它也可讓您更有彈性地大規模管理多個客戶。 如需詳細資訊,請參閱 Azure Lighthouse 和 雲端解決方案提供者 程式

  • 目錄或來賓用戶或服務 主體:您可以在客戶目錄中新增使用者,或新增來賓使用者並指派特定的 RBAC 角色,來委派對 CSP 訂用帳戶的細微存取權。

作為安全性做法,Microsoft 建議指派用戶執行其工作所需的最低許可權。 如需詳細資訊,請參閱 Microsoft Entra Privileged Identity Management 資源

下表顯示用來將 PartnerID (先前稱為 MPN 識別符) 與各種 RBAC 存取選項產生關聯的方法。

類別 案例 PartnerID 關聯
AOBO CSP 直接合作夥伴或間接提供者會為客戶建立訂用帳戶,讓 CSP 直接合作夥伴或間接提供者成為使用 AOBO 的預設訂用帳戶擁有者。 CSP 直接合作夥伴或間接提供者會使用 AOBO 為訂用帳戶提供間接轉銷商存取權。 自動 (不需要合作夥伴工作)
Azure Lighthouse 合作夥伴會在 Marketplace 中建立新的受控服務供應專案。 CSP 訂用帳戶上會接受供應專案,合作夥伴會取得 CSP 訂用帳戶的存取權。 自動 (不需要合作夥伴工作)
Azure Lighthouse 合作夥伴在 Azure 訂用帳戶中部署 Azure Resource Manager (ARM) 範本 合作夥伴必須將 PartnerID 與合作夥伴租使用者中的用戶或服務主體產生關聯。 如需詳細資訊,請參閱 連結 PartnerID 以追蹤您對委派資源的影響。
目錄或來賓使用者 夥伴會在客戶目錄中建立新的使用者或服務主體,並為使用者提供 CSP 訂用帳戶的存取權。 合作夥伴會在客戶目錄中建立新的使用者或服務主體。 合作夥伴會將使用者新增至群組,並且為群組提供 CSP 訂用帳戶的存取權。 合作夥伴必須將 PartnerID 與客戶租使用者中的用戶或服務主體產生關聯。 如需詳細資訊,請參閱 將 PartnerID 連結到用來管理客戶的帳戶。

確認您具有系統管理員存取權

您必須具有系統管理員存取權,才能管理客戶的服務,並接收所獲得點數。 如需所獲得點數的詳細資訊,請參閱 合作夥伴所獲得點數

若要判斷您是否具有系統管理員存取權,請使用下列步驟:

  • 檢閱每日使用量檔案:檢閱每日使用量檔案中的單價和有效單價,並確認是否套用折扣。 如果您收到折扣,您就是系統管理員。

建立 Azure 監視器警示

如果您從 CSP 訂用帳戶中移除 RBAC 存取權,您可以建立活動記錄 Azure 監視器警示 以收到通知。

若要建立 Azure 監視器警示,請使用下列步驟:

  1. 建立警示

    Screenshot of an Azure portal alert.

  2. 選取您想要警示採取的動作類型。

    例如,如果您指定您想要電子郵件,您會收到一封電子郵件,通知您是否發生任何角色指派刪除。

    Screenshot in the Azure portal of configuring an alert.

AOBO 移除

客戶可以前往 Azure 入口網站 存取控制 來管理其訂用帳戶的存取權。 從 [ 角色指派] 索引 標籤中,他們可以選取 [ 移除存取權]。

如果客戶移除您的存取權,您可以:

角色型存取權與系統管理員存取權不同。 角色會精確地分隔您可以和不可以執行的動作。 系統管理員存取權較廣泛。

若要查看有資格獲得合作夥伴所獲得點數的角色(PEC),請參閱 合作夥伴所獲得點數的角色和許可權。

暫停並重新啟用 Azure 方案

合作夥伴可以從 Azure 方案詳細數據頁面,直接在合作夥伴中心暫停或重新啟用 Azure 方案。

  1. 在合作夥伴中心的客戶中,選取客戶帳戶
  2. 流覽至客戶的 Azure 訂用帳戶
  3. 選取 Azure 方案
  4. 選取 [狀態: 已暫停 ],然後 選取 [提交 ] 以暫停 Azure 方案。
  5. 選取 [狀態: 使用 中],然後 選取 [提交 ] 以重新啟用 Azure 方案。

如果現有的 Azure 方案不再有任何相關聯的使用中使用量資產,包括 Azure 使用量訂用帳戶和 Azure 保留,您就只能暫停現有的 Azure 方案。

合作夥伴只能為每個特定轉銷商和客戶組合購買一個 Azure 方案。 如果轉銷商的客戶有暫停方案,該客戶就無法購買新方案。 取消不適用於 Azure 方案。

如需依 API 暫停的 Azure 方案,請參閱 暫停訂用帳戶 - 合作夥伴應用程式開發人員

如需依 API 重新啟用 Azure 方案,請參閱 重新啟用暫停的訂用帳戶 - 合作夥伴應用程式開發人員

取消 Azure 訂用帳戶

如果客戶的 Azure 方案訂用帳戶遭到入侵,合作夥伴可以從合作夥伴中心取消 Azure 訂用帳戶。 這項功能僅適用於具有 管理員 Agent 角色的全域 管理員 istrators。 若要這樣做:

  1. 從客戶清單中選取客戶
  2. 流覽至客戶的 Azure 訂用帳戶
  3. 選取訂用帳戶底下的 Azure 方案
  4. 在 [Azure 方案詳細數據] 頁面上,選取要取消的 Azure 訂用帳戶
  5. 選取 [取消訂用帳戶] 來提交變更

這隻會取消選取的 Azure 訂用帳戶。 如果 Azure 方案仍在使用中,具有 Azure 訂用帳戶存取權的客戶可以重新啟用訂用帳戶。 若要阻止這種情況發生,合作夥伴應該取消所有 Azure 訂用帳戶,然後取消 Azure 方案本身。

合作夥伴可以多重選取訂用帳戶,但一次無法取消超過10個訂用帳戶。 合作夥伴可以在沒有作用中的 Azure 訂用帳戶時取消 Azure 方案。 這可讓合作夥伴關閉可能遭到入侵的 Azure 方案和訂用帳戶,即使不良動作專案已移除其 RBAC 許可權也一樣。

合作夥伴可以透過合作夥伴中心入口網站或 API 取消 Azure 訂用帳戶。 如需 API 詳細數據,請參閱 取消 Azure 訂 用帳戶並試用,請參閱 Azure 費用 - 取消 Azure 權利 - REST API

若要深入瞭解如何取消 Azure 訂用帳戶,請參閱 訂用帳戶取消後會發生什麼情況?

重新啟用 Azure 訂用帳戶

合作夥伴可以使用 [非使用中 Azure 訂用帳戶] 索引卷標,從其 Azure 方案詳細數據頁面重新啟用因客戶入侵而取消的 Azure 訂用帳戶。這項功能僅適用於具有 管理員 Agent 角色的全域 管理員 istrators。 若要這樣做:

  1. 從客戶清單中選取客戶
  2. 流覽至客戶的 Azure 訂用帳戶
  3. 選取訂用帳戶底下的 Azure 方案
  4. 在 [Azure 方案詳細數據] 頁面上的 [Azure 訂用帳戶] 區段底下,選取 [非使用中] 索引卷標
  5. 選取要重新啟用的 Azure 訂用帳戶
  6. 選取 [重新啟用訂用帳戶] 以提交變更

這隻會重新啟用選取的 Azure 訂用帳戶。 合作夥伴可以多重選取訂用帳戶,但一次無法重新啟用10個以上的訂用帳戶。 相關聯的 Azure 方案必須作用中,才能重新啟用 Azure 訂用帳戶。 合作夥伴可以直接在合作夥伴中心重新啟用 Azure 方案,方法是移至 Azure 方案詳細數據頁面,並將 Azure 方案的狀態更新回作用中。

如果 Azure 入口網站 中的客戶或帳單擁有者已取消 Azure 訂用帳戶,則必須連絡客戶或帳單擁有者,才能從 Azure 入口網站 重新啟用訂用帳戶。

如需依 API 重新啟用,請參閱 重新啟用 Azure 訂用帳戶 - 合作夥伴應用程式開發人員。 若要試用,請參閱 Azure 費用 - 重新啟用 Azure 權利

如需重新啟用 Azure 訂用帳戶的詳細資訊,請參閱 Azure 檔

下一步