Správa předplatných a prostředků v rámci plánu Azure
Příslušné role: Správa agent
Tento článek vysvětluje, jak můžou partneři CSP (Cloud Solution Provider) používat různé možnosti řízení přístupu na základě role (RBAC) k získání provozní kontroly a správy prostředků Azure zákazníka.
Při přechodu zákazníka na plán Azure máte ve výchozím nastavení přiřazená oprávnění privilegovaného správce v Azure – práva vlastníka předplatného prostřednictvím Správa jménem (AOBO).
Poznámka:
Správa oprávnění k předplatnému Azure může zákazník odebrat na úrovni předplatného, na úrovni skupiny prostředků nebo na úrovni úloh.
Partneři můžou získat nepřetržitou provozní kontrolu a správu prostředků Azure zákazníka v CSP pomocí různých možností dostupných prostřednictvím funkce řízení přístupu na základě role (RBAC).
Správa jménem – u AOBO má každý uživatel s rolí agenta Správa v partnerském tenantovi přístup vlastníka RBAC k předplatným Azure, která vytvoříte prostřednictvím programu CSP.
Azure Lighthouse: AOBO nemá flexibilitu při vytváření různých skupin, které pracují s různými zákazníky, nebo povolení různých rolí pro skupiny nebo uživatele. Pomocí Služby Azure Lighthouse ale můžete různým zákazníkům nebo rolím přiřadit různé skupiny. Vzhledem k tomu, že uživatelé mají odpovídající úroveň přístupu přes delegovanou správu prostředků Azure, můžete snížit počet uživatelů, kteří mají roli agenta Správa (a mají tak úplný přístup AOBO). To pomáhá zlepšit zabezpečení omezením zbytečného přístupu k prostředkům vašich zákazníků. Získáte tak také větší flexibilitu při správě více zákazníků ve velkém. Další informace najdete v tématu Azure Lighthouse a program Cloud Solution Provider.
Adresář nebo uživatelé typu host nebo instanční objekty: Podrobný přístup k předplatným CSP můžete delegovat přidáním uživatelů do adresáře zákazníka nebo přidáním uživatelů typu host a přiřazením konkrétních rolí RBAC.
Microsoft doporučuje uživatelům přiřazovat minimální oprávnění, která potřebují k práci. Další informace naleznete v tématu Microsoft Entra Privileged Identity Management prostředky.
Propojení ID partnera s přihlašovacími údaji pro správu prostředků Azure zákazníka
Následující tabulka ukazuje metody používané k přidružení ID partnera (dříve MPN ID) k různým možnostem přístupu RBAC.
| Kategorie | Scénář | Přidružení PartnerID |
|---|---|---|
| AOBO | Přímý partner CSP nebo nepřímý poskytovatel vytvoří předplatné pro zákazníka, aby přímý partner CSP nebo nepřímý poskytovatel byl výchozím vlastníkem předplatného pomocí AOBO. Přímý partner CSP nebo nepřímý poskytovatel poskytuje nepřímému prodejci přístup k předplatnému pomocí AOBO. | Automaticky (nevyžaduje se žádná práce partnera) |
| Azure Lighthouse | Partner vytvoří novou nabídku spravované služby na Marketplace. Nabídka se přijme v předplatném CSP a partner získá přístup k předplatnému CSP. | Automaticky (nevyžaduje se žádná práce partnera) |
| Azure Lighthouse | Partner nasadí šablonu Azure Resource Manageru (ARM) v předplatném Azure. | Partner musí přidružit ID partnera k uživateli nebo instančnímu objektu v partnerském tenantovi. Další informace najdete v tématu Propojení ID partnera a sledování dopadu na delegovaný prostředky. |
| Adresář nebo uživatel typu host | Partner vytvoří nového uživatele nebo instanční objekt v adresáři zákazníka a udělí mu přístup k předplatnému CSP. Partner vytvoří nového uživatele nebo instanční objekt v adresáři zákazníka. Partner přidá uživatele do skupiny a udělí přístup k předplatnému CSP ke skupině. | Partner musí přidružit ID partnera k uživateli nebo instančnímu objektu v tenantovi zákazníka. Další informace najdete v tématu Propojení ID partnera s vaším účtem, který slouží ke správě zákazníků. |
Potvrďte, že máte přístup správce.
Abyste mohli získat získané kredity, musíte mít přístup správce ke správě služeb zákazníka. Další informace o získaných kreditech najdete v tématu Kredity získané partnerem.
Pokud chcete zjistit, jestli máte přístup správce, postupujte následovně:
- Zkontrolujte soubor denního využití: Zkontrolujte jednotkovou cenu a platnou jednotkovou cenu v souboru denního využití a ověřte, jestli se uplatňuje sleva. Pokud dostanete slevu, jste správce.
Vytvoření upozornění služby Azure Monitor
Pokud se váš přístup RBAC z předplatného CSP odebere, můžete vytvořit upozornění na protokol aktivit služby Azure Monitor.
Pokud chcete vytvořit upozornění služby Azure Monitor, postupujte následovně:
-
Vyberte typ akce, kterou má výstraha provést.
Pokud například zadáte, že chcete e-mail, dostanete e-mail s upozorněním, pokud dojde k odstranění přiřazení role.
Odebrání AOBO
Zákazníci můžou spravovat přístup ke svým předplatným prostřednictvím řízení přístupu na webu Azure Portal. Na kartě Přiřazení rolí můžou vybrat Odebrat přístup.
Pokud zákazník odebere váš přístup, můžete:
Obraťte se na zákazníka a zjistěte, jestli je možné obnovit přístup správce.
Použijte přístup poskytnutý prostřednictvím řízení přístupu na základě role (RBAC).
Použijte přístup poskytnutý prostřednictvím Služby Azure Lighthouse.
Přístup na základě role se liší od přístupu správce. Role oddělují přesně to, co můžete a nemůžete dělat. Správa přístup je širší.
Pokud chcete zobrazit role, které mají nárok na získání kreditu získaného partnerem (PEC), podívejte se na role a oprávnění pro kredit získaný partnerem.
Pozastavení a opětovná aktivace plánu Azure
Partneři můžou plán Azure pozastavit nebo znovu aktivovat přímo v Partnerském centru na stránce podrobností plánu Azure.
- V Partnerském centru v části Zákazníci vyberte účet zákazníka.
- Přejděte k předplatným Azure zákazníka .
- Výběr plánu Azure
- Vyberte stav: Pozastaveno a pak odešlete k pozastavení plánu Azure.
- Vyberte stav: Aktivní a pak odešlete a znovu aktivujte plán Azure.
Existující plán Azure můžete pozastavit jenom v případě, že už k němu nejsou přidružené žádné aktivní prostředky využití, včetně předplatných využití Azure a rezervací Azure.
Partneři si můžou koupit jenom jeden plán Azure na konkrétní prodejce a kombinaci zákazníků. Pokud má zákazník prodejce pozastavený plán, nemůže si tento zákazník koupit nový plán. Zrušení není pro plán Azure k dispozici.
Informace o pozastavení plánu Azure podle rozhraní API najdete v tématu Pozastavení předplatného – Vývojář partnerských aplikací.
Informace o opětovné aktivaci plánu Azure podle rozhraní API najdete v tématu Opětovná aktivace pozastaveného předplatného – vývojář partnerských aplikací.
Zrušení předplatného Azure
V případě ohrožení předplatných plánu Azure zákazníka můžou partneři zrušit předplatná Azure z Partnerského centra. Tato funkce je dostupná pouze pro globální Správa istrátory s rolemi agenta Správa. Akce:
- Ze seznamu zákazníků vyberte zákazníka.
- Přejděte k předplatným Azure zákazníka .
- Vyberte plán Azure, ve které je předplatné.
- Na stránce podrobností plánu Azure vyberte předplatná Azure, která chcete zrušit.
- Odešlete změny výběrem možnosti Zrušit předplatné.
Tím se zruší jenom vybraná předplatná Azure. Zákazníci s přístupem k předplatnému Azure můžou předplatné znovu aktivovat, pokud je plán Azure stále aktivní. Aby se to nestalo, partneři by měli zrušit všechna předplatná Azure a pak samotný plán Azure.
Partneři můžou vícenásobný výběr předplatných, ale nemůžou současně zrušit více než 10 předplatných. Partneři můžou plán Azure zrušit, pokud v něm nejsou žádná aktivní předplatná Azure. To umožňuje partnerům vypnout plány a předplatná Azure, která mohla být ohrožena, i když špatný objekt actor odebral svá oprávnění RBAC.
Partneři můžou zrušit předplatná Azure prostřednictvím portálu Partnerského centra nebo rozhraní API. Podrobnosti o rozhraní API najdete v tématu Zrušení předplatného Azure a jeho vyzkoušení, viz Útrata Azure – Zrušení nároku Azure – REST API.
Další informace o zrušení předplatných Azure najdete v tématu Co se stane po zrušení předplatného?
Opětovná aktivace předplatného Azure
Partneři můžou znovu aktivovat předplatná Azure, která byla zrušena z důvodu ohrožení zabezpečení zákazníka na stránce podrobností plánu Azure, pomocí karty Neaktivní předplatná Azure. Tato funkce je dostupná pouze pro globální Správa istrátory s rolemi agenta Správa. Akce:
- Ze seznamu zákazníků vyberte zákazníka.
- Přejděte k předplatným Azure zákazníka .
- Vyberte plán Azure, ve které je předplatné.
- Na stránce podrobností plánu Azure v části Předplatné Azure vyberte kartu Neaktivní.
- Vyberte předplatné Azure, které chcete znovu aktivovat.
- Odešlete změny výběrem možnosti Znovu aktivovat předplatné.
Tím se znovu aktivují jenom vybraná předplatná Azure. Partneři můžou vícenásobný výběr předplatných, ale nemůžou znovu aktivovat více než 10 předplatných najednou. Přidružený plán Azure musí být aktivní, aby bylo možné znovu aktivovat předplatná Azure. Partneři můžou plány Azure znovu aktivovat přímo v Partnerském centru tak, že přejdou na stránku podrobností plánu Azure a aktualizují stav plánu Azure zpět na Aktivní.
Pokud předplatné Azure zrušil zákazník nebo vlastník fakturace na webu Azure Portal, bude se muset zákazník nebo vlastník fakturace obrátit, aby předplatné znovu aktivoval z webu Azure Portal.
Informace o opětovné aktivaci rozhraní API najdete v tématu Opětovná aktivace předplatného Azure – vývojář partnerských aplikací. Pokud si to chcete vyzkoušet, podívejte se na výdaje za Azure – Opětovná aktivace nároku Na Azure.
Další informace o opětovné aktivaci předplatných Azure najdete v dokumentaci k Azure.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro