Obnovení oprávnění správce pro předplatná Azure CSP konkrétního zákazníka
Příslušné role: Globální správce | Správa agent
Vaši zákazníci se na vás, jako na partnera programu CSP (Cloud Solution Provider), často spoléhají při správě využití Azure a svých systémů. Abyste jim mohli pomoct, musíte mít oprávnění správce. Pokud ještě nemáte oprávnění správce, můžete si je ve spolupráci se zákazníkem udělit.
Oprávnění správce pro Azure v programu CSP
Některá oprávnění správce se udělují automaticky při navázání vztahu prodejce se zákazníkem. Jiné vám musí poskytnout zákazník.
V CSP existují dvě úrovně oprávnění správce pro Azure:
Oprávnění správce na úrovni tenanta (to znamená delegovaná oprávnění správce) umožňují přístup k tenantům vašich zákazníků. Tento delegovaný přístup umožňuje provádět funkce správy, jako je přidávání a správa uživatelů, resetování hesel a správa uživatelských licencí.
Oprávnění správce na úrovni tenanta získáte při navázání vztahů prodejců CSP se zákazníky.
Oprávnění správce na úrovni předplatného poskytují úplný přístup k předplatným Azure CSP zákazníka. Tento přístup vám umožňuje zřizovat a spravovat jejich prostředky Azure.
Při vytváření předplatných Azure CSP pro vaše zákazníky získáte oprávnění správce na úrovni předplatného.
Obnovení oprávnění správce CSP: vaše akce
Vy i váš zákazník máte k dispozici akce, které je třeba provést, abyste obnovili oprávnění správce CSP. Tato část popisuje akce, které můžete provést.
Pokud chcete obnovit oprávnění správce CSP, postupujte následovně:
Přihlaste se k Partnerskému centru a vyberte Zákazníci.
V seznamu zákazníků vyberte Požádat o vztah prodejce.
Zaškrtávací políčko Delegovaná Správa oprávnění:
- Pokud chcete vytvořit vztah s delegovanými oprávněními správce, ponechte políčko zaškrtnuté.
- Pokud chcete vytvořit relaci bez delegovaných oprávnění správce, zrušte zaškrtnutí políčka.
Zkontrolujte koncept e-mailové pozvánky.
- Výběrem možnosti Otevřít v e-mailu otevřete koncept pozvánky ve výchozí e-mailové aplikaci.
- Vyberte Kopírovat do schránky a zkopírujte pozvánku a vložte ji do e-mailové zprávy.
Důležité
Text v konceptu e-mailové zprávy můžete upravit, ale nezapomeňte přidat přizpůsobený odkaz , protože zákazníka propojí přímo s vaším účtem.
Vyberte Hotovo.
Pošlete e-mailovou pozvánku zákazníkovi.
Poznámka
Aby bylo možné žádost přijmout, musí být osoba v organizaci zákazníka globálním správcem tenanta zákazníka.
Zákazník vybere odkaz, který dostal v e-mailu. Odkaz je přenese do Centra microsoftu Správa, kde může vaši pozvánku přijmout.
Jakmile zákazník vaši žádost přijme, uvidíte ho na stránce Zákazníci v Partnerském centru, odkud budete moct zřizovat a spravovat službu pro zákazníka.
Jakmile zákazník schválí pozvánku k vztahu s prodejcem pomocí uvedeného odkazu, připojte se k partnerskému tenantovi a získejte
object ID
skupinu AdminAgents.Connect-AzAccount -Tenant "Partner tenant" # Get Object ID of AdminAgents group Get-AzADGroup -DisplayName AdminAgents
Ověřte, že zákazník má:
- Roli vlastníka nebo správce přístupu uživatelů
- Oprávnění k vytváření přiřazení rolí na úrovni předplatného
Obnovení oprávnění správce CSP: akce zákazníka
Tato část popisuje akce zákazníka pro obnovení oprávnění správce CSP.
K dokončení obnovení oprávnění správce CSP zákazník použije PowerShell nebo Azure CLI k provedení následujících kroků:
Zákazník k aktualizaci
Az.Resources
modulu používá PowerShell.Update-Module Az.Resources
Zákazník se připojí k tenantovi, ve kterém existuje předplatné CSP.
Connect-AzAccount -TenantID "<Customer tenant>"
az login --tenant <Customer tenant>
Zákazník se připojí k předplatnému.
Tento krok platí jenom v případě, že má uživatel oprávnění k přiřazení rolí k více předplatným v tenantovi.
Set-AzContext -SubscriptionID "<CSP Subscription ID>"
az account set --subscription <CSP Subscription ID>
Váš zákazník vytvoří přiřazení role.
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
Místo udělení oprávnění vlastníka na úrovni předplatného je možné udělit na úrovni skupiny prostředků nebo prostředku :
Na úrovni skupiny prostředků
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
Na úrovni prostředku
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
Řešení potíží s kroky zákazníka
Pokud zákazník nemůže dokončit předchozí kroky, navrhněte následující příkaz a poskytněte microsoftu výsledný newRoleAssignment.log
soubor k další analýze:
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log
Obnovení oprávnění správce CSP: Univerzální postup PowerShellu
Pokud kroky v předchozích částech nefungují nebo pokud při pokusu o ně dojde k chybám, zkuste pro zákazníka obnovit práva správce pomocí následujícího postupu:
Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"
Pokud procedura "catchall" selže v Import-Module
, zkuste následující kroky:
- Pokud import selže, protože modul se používá, restartujte relaci PowerShellu zavřením a opětovným otevřením všech oken.
- Zkontrolujte verzi nástroje
Az.Resources
sGet-Module Az.Resources -ListAvailable
.- Pokud verze 4.1.1 není v seznamu dostupných, musíte použít
Update-Module Az.Resources -Force
.
- Pokud verze 4.1.1 není v seznamu dostupných, musíte použít
- Pokud chyba uvádí, že
Az.Accounts
musí být konkrétní verze, aktualizujte také tento modul a nahraďteAz.Resources
zaAz.Accounts
. Potom musíte relaci PowerShellu restartovat.
Další kroky
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro