Obnovení oprávnění správce pro předplatná Azure CSP konkrétního zákazníka

  • Článek

Příslušné role: Globální správce | Správa agent

Vaši zákazníci se na vás, jako na partnera programu CSP (Cloud Solution Provider), často spoléhají při správě využití Azure a svých systémů. Abyste jim mohli pomoct, musíte mít oprávnění správce. Pokud ještě nemáte oprávnění správce, můžete si je ve spolupráci se zákazníkem udělit.

Oprávnění správce pro Azure v programu CSP

Některá oprávnění správce se udělují automaticky při navázání vztahu prodejce se zákazníkem. Jiné vám musí poskytnout zákazník.

V CSP existují dvě úrovně oprávnění správce pro Azure:

  • Oprávnění správce na úrovni tenanta (to znamená delegovaná oprávnění správce) umožňují přístup k tenantům vašich zákazníků. Tento delegovaný přístup umožňuje provádět funkce správy, jako je přidávání a správa uživatelů, resetování hesel a správa uživatelských licencí.

    Oprávnění správce na úrovni tenanta získáte při navázání vztahů prodejců CSP se zákazníky.

  • Oprávnění správce na úrovni předplatného poskytují úplný přístup k předplatným Azure CSP zákazníka. Tento přístup vám umožňuje zřizovat a spravovat jejich prostředky Azure.

    Při vytváření předplatných Azure CSP pro vaše zákazníky získáte oprávnění správce na úrovni předplatného.

Obnovení oprávnění správce CSP: vaše akce

Vy i váš zákazník máte k dispozici akce, které je třeba provést, abyste obnovili oprávnění správce CSP. Tato část popisuje akce, které můžete provést.

Pokud chcete obnovit oprávnění správce CSP, postupujte následovně:

  1. Přihlaste se k Partnerskému centru a vyberte Zákazníci.

  2. V seznamu zákazníků vyberte Požádat o vztah prodejce.

  3. Zaškrtávací políčko Delegovaná Správa oprávnění:

    • Pokud chcete vytvořit vztah s delegovanými oprávněními správce, ponechte políčko zaškrtnuté.
    • Pokud chcete vytvořit relaci bez delegovaných oprávnění správce, zrušte zaškrtnutí políčka.

    Snímek obrazovky ze stránky Vytvořit žádost o vztah v Partnerském centru

  4. Zkontrolujte koncept e-mailové pozvánky.

    • Výběrem možnosti Otevřít v e-mailu otevřete koncept pozvánky ve výchozí e-mailové aplikaci.
    • Vyberte Kopírovat do schránky a zkopírujte pozvánku a vložte ji do e-mailové zprávy.

    Důležité

    Text v konceptu e-mailové zprávy můžete upravit, ale nezapomeňte přidat přizpůsobený odkaz , protože zákazníka propojí přímo s vaším účtem.

  5. Vyberte Hotovo.

  6. Pošlete e-mailovou pozvánku zákazníkovi.

    Poznámka

    Aby bylo možné žádost přijmout, musí být osoba v organizaci zákazníka globálním správcem tenanta zákazníka.

    • Zákazník vybere odkaz, který dostal v e-mailu. Odkaz je přenese do Centra microsoftu Správa, kde může vaši pozvánku přijmout.

    • Jakmile zákazník vaši žádost přijme, uvidíte ho na stránce Zákazníci v Partnerském centru, odkud budete moct zřizovat a spravovat službu pro zákazníka.

  7. Jakmile zákazník schválí pozvánku k vztahu s prodejcem pomocí uvedeného odkazu, připojte se k partnerskému tenantovi a získejte object ID skupinu AdminAgents.

    Connect-AzAccount -Tenant "Partner tenant"
# Get Object ID of AdminAgents group
Get-AzADGroup -DisplayName AdminAgents

  8. Ověřte, že zákazník má:

    • Roli vlastníka nebo správce přístupu uživatelů
    • Oprávnění k vytváření přiřazení rolí na úrovni předplatného

Obnovení oprávnění správce CSP: akce zákazníka

Tato část popisuje akce zákazníka pro obnovení oprávnění správce CSP.

K dokončení obnovení oprávnění správce CSP zákazník použije PowerShell nebo Azure CLI k provedení následujících kroků:

  1. Zákazník k aktualizaci Az.Resources modulu používá PowerShell.

    Update-Module Az.Resources

  2. Zákazník se připojí k tenantovi, ve kterém existuje předplatné CSP.

    Connect-AzAccount -TenantID "<Customer tenant>"

    az login --tenant <Customer tenant>

  3. Zákazník se připojí k předplatnému.

    Tento krok platí jenom v případě, že má uživatel oprávnění k přiřazení rolí k více předplatným v tenantovi.

    Set-AzContext -SubscriptionID "<CSP Subscription ID>"

    az account set --subscription <CSP Subscription ID>

  4. Váš zákazník vytvoří přiřazení role.

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"

    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"

Místo udělení oprávnění vlastníka na úrovni předplatného je možné udělit na úrovni skupiny prostředků nebo prostředku :

  • Na úrovni skupiny prostředků

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"

    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"

  • Na úrovni prostředku

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"

    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"

Řešení potíží s kroky zákazníka

Pokud zákazník nemůže dokončit předchozí kroky, navrhněte následující příkaz a poskytněte microsoftu výsledný newRoleAssignment.log soubor k další analýze:

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

Obnovení oprávnění správce CSP: Univerzální postup PowerShellu

Pokud kroky v předchozích částech nefungují nebo pokud při pokusu o ně dojde k chybám, zkuste pro zákazníka obnovit práva správce pomocí následujícího postupu:

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

Pokud procedura "catchall" selže v Import-Module, zkuste následující kroky:

  • Pokud import selže, protože modul se používá, restartujte relaci PowerShellu zavřením a opětovným otevřením všech oken.
  • Zkontrolujte verzi nástroje Az.Resources s Get-Module Az.Resources -ListAvailable.
    • Pokud verze 4.1.1 není v seznamu dostupných, musíte použít Update-Module Az.Resources -Force.
  • Pokud chyba uvádí, že Az.Accounts musí být konkrétní verze, aktualizujte také tento modul a nahraďte Az.Resources za Az.Accounts. Potom musíte relaci PowerShellu restartovat.

Další kroky