Správa předplatných a prostředků v rámci plánu Azure

Příslušné role: Agent správce

V tomto článku se dozvíte, jak partneři CSP můžou pomocí různých možností řízení přístupu na základě role (RBAC) získat provozní kontrolu a správu prostředků Azure zákazníka. Při převodu zákazníka na plán Azure vám standardně přiřadíte oprávnění správce v Azure (práva vlastníka předplatného prostřednictvím Správce jménem).

Poznámka

Oprávnění správce k předplatnému Azure může odebrat zákazník na základě předplatného, skupiny prostředků nebo úrovně zatížení.

Partneři můžou pomocí různých možností poskytovaných prostřednictvím funkce řízení přístupu na základě rolí (RBAC) získat nepřetržitou provozní kontrolu a správu prostředků Azure u zákazníka v CSP.

  • Správce jménem (administrate) – s administratebude mít každý uživatel s rolí agenta správce v partnerském tenantovi přístup k předplatným Azure, které vytvoříte prostřednictvím programu CSP.

  • Azure Lighthouse: administrate neumožňuje flexibilitu vytvářet odlišné skupiny, které pracují s různými zákazníky, nebo pro skupiny nebo uživatele povolit různé role. Pomocí Azure Lighthouse můžete přiřadit různé skupiny různým zákazníkům nebo rolím. Vzhledem k tomu, že uživatelé budou mít odpovídající úroveň přístupu prostřednictvím delegované správy prostředků Azure, můžete snížit počet uživatelů, kteří mají roli agenta správce (a mít tak úplný přístup k ADMINISTRATE). To pomáhá zlepšovat zabezpečení tím, že omezuje zbytečný přístup k prostředkům vašich zákazníků. Nabízí také větší flexibilitu při správě více zákazníků ve velkém měřítku. další informace najdete v tématu Azure Lighthouse a programu Cloud Solution Provider.

  • Uživatelé adresáře nebo hostů nebo instanční objekty: podrobnější přístup k předplatným CSP můžete delegovat přidáním uživatelů v adresáři zákazníka nebo přidáním uživatelů typu Host a přiřazením konkrétních rolí RBAC.

Microsoft doporučuje, aby uživatelé měli minimální oprávnění, která potřebují k tomu, aby pracovali jako bezpečnostní postupy. viz Azure Active Directory Privileged Identity Management prostředky.

Následující tabulka uvádí metody použité k přidružení ID partnera k různým možnostem přístupu RBAC.

Kategorie Scénář Přidružení ID MPN
ADMINISTRATE Přímý partner CSP nebo nepřímý poskytovatel vytvoří předplatné pro zákazníka, kterému je výchozí vlastník poskytovatele CSP nebo nepřímý poskytovatel, který používá ADMINISTRATE.; Přímý partner CSP nebo nepřímý poskytovatel poskytují nepřímým prodejcům přístup k předplatnému pomocí ADMINISTRATE. Automaticky (nevyžaduje se žádná práce v partnerovi)
Azure Lighthouse Partner vytvoří novou nabídku spravované služby na webu Marketplace. Tato nabídka je přijatá na předplatném CSP a partner získá přístup k předplatnému CSP. Automaticky (nevyžaduje se žádná práce v partnerovi)
Azure Lighthouse Šablona ARM nasazení partnera v předplatném Azure Partner musí přidružit ID MPN k uživatelskému nebo instančnímu objektu v partnerském tenantovi. Další informace najdete v odkazu s ID partnera.
Adresář nebo uživatel typu Host Partner vytvoří nového uživatele nebo instanční objekt v adresáři zákazníka a poskytne uživateli přístup k předplatnému CSP. Partner vytvoří nového uživatele nebo instanční objekt v adresáři zákazníka. Partner přidá uživatele do skupiny a poskytne skupině přístup k předplatnému CSP. Partner musí přidružit ID MPN k uživatelskému nebo instančnímu objektu v tenantovi zákazníka. Další informace najdete v odkazu s ID partnera.

Potvrďte, že máte přístup správce.

Pro správu služeb zákazníka a přijímání realizovaných kreditů vyžadujete přístup správce. Přečtěte si kredity získané partnerem , kde najdete podrobné informace o získaných kreditech. Máte dva způsoby, jak se ujistit, že máte oprávnění správce.

  • Projděte si soubor denního využití – můžete ho určit tak, že zkontrolujete cenu za jednotku a platnou jednotkovou cenu v souboru denního využití a potvrdíte, jestli se sleva uplatňuje. Pokud obdržíte slevu, kterou jste správcem.

  • Vytvoření upozornění na Azure monitor – můžete vytvořit Upozornění protokolu aktivit Azure monitor, abyste byli informováni o tom, kdy se přístup k RBAC odebere z předplatného CSP.

Vytvoření výstrahy Azure monitoru

  1. Vytvořit výstrahu.

    Výstraha Azure.

  2. Vyberte typ akce, kterou má výstraha provést. Pokud například zadáte, že chcete e-mailem, obdržíte e-mail s upozorněním, pokud dojde k odstranění přiřazení role.

    konfigurovat výstrahu.

Odebrání ADMINISTRATE

Zákazníci mohou spravovat přístup ke svým předplatným, a to tak, že v Azure Portal Access Control . Na kartě přiřazení rolí vyberte možnost Odebrat přístup. Pokud k tomu dojde, můžete:

Přístup založený na rolích se liší od přístupu správce. Role přesně vymezují, co můžete a nemůžete dělat. Přístup správce je širší.

Chcete-li zobrazit role, které mají nárok na získání řadiče PEC, přečtěte si role a oprávnění pro daný kredit pro partnery.

Další kroky