Vinculación de un identificador de partner a la cuenta que usa para administrar los clientes

Los asociados de Microsoft proporcionan servicios que ayudan a los clientes lograr los objetivos del negocio y la misión con productos de Microsoft. Cuando un partner actúa en nombre del cliente para administrar y configurar los servicios de Azure y darles soporte técnico, los usuarios asociados deberán acceder al entorno del cliente. Cuando los partners usan el Vínculo de administración de asociados (PAL), pueden asociar su identificador de red de partner con las credenciales usadas para la entrega del servicio.

PAL permite a Microsoft identificar y reconocer a los asociados que impulsan el éxito de los clientes de Azure. Microsoft puede atribuir la influencia y los ingresos por consumo de Azure a su organización en función de los permisos de la cuenta (rol de Azure) y el ámbito (suscripción, grupo de recursos y recurso). Si un grupo tiene acceso a Azure RBAC, se reconoce PAL para todos los usuarios del grupo.

Obtención de acceso del cliente

Antes de vincular su Id. de partner, el cliente debe concederle acceso a sus recursos de Azure mediante una de las siguientes opciones:

  • Usuario invitado: el cliente puede agregarle como usuario invitado y asignarle roles de Azure. Para más información, consulte Adición de usuarios invitados de otro directorio.

  • Cuenta de directorio: el cliente puede crear una cuenta de usuario automáticamente en su propio directorio y asignarle cualquier rol de Azure.

  • Entidad de servicio: el cliente puede agregar una aplicación o un script de su organización en el directorio del cliente y asignarle cualquier rol de Azure. La identidad de la aplicación o el script se conoce como entidad de servicio.

  • Azure Lighthouse: el cliente puede delegar una suscripción (o un grupo de recursos) para que los usuarios puedan trabajar en ella desde su inquilino. Para más información, consulte Azure Lighthouse.

Cuando acceda a los recursos del cliente, use Azure Portal, PowerShell o la CLI de Azure para vincular su identificador de partner a su identificador de usuario o entidad de servicio. Vincule el id. de partner en cada inquilino de cliente.

  1. Vaya al vínculo a un identificador de partner en Azure Portal.

  2. Inicie sesión en Azure Portal.

  3. Escriba el identificador de partner de Microsoft. El identificador de partner es el identificador de Microsoft Cloud Partner Program de su organización. Asegúrese de utilizar el identificador de partner asociado que se muestra en su perfil de partner.

    Captura de pantalla que muestra el vínculo a un id. de partner.

  4. Para vincular un identificador de partner con otro cliente, cambie el directorio. En Cambiar directorio, seleccione su directorio.

    Captura de pantalla que muestra la opción Cambiar directorio.

  1. Instale el módulo de PowerShell Az.ManagementPartner.

  2. Inicie sesión en el inquilino de cliente con la cuenta de usuario o la entidad de servicio. Para obtener más información, consulte Inicio de sesión con PowerShell.

     C:\> Connect-AzAccount -TenantId XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
    
  3. Vincule el nuevo Id. de partner. El identificador de partner es el identificador de Microsoft Cloud Partner Program de su organización. Asegúrese de utilizar el identificador de partner asociado que se muestra en su perfil de partner.

    C:\> New-AzManagementPartner -PartnerId 12345
    

Obtención del Id. de partner vinculado

C:\> Get-AzManagementPartner

Actualización del Id. de partner vinculado

C:\> Update-AzManagementPartner -PartnerId 12345

Eliminación del Id. de partner vinculado

C:\> Remove-AzManagementPartner -PartnerId 12345
  1. Instale la extensión de la CLI de Azure.

    C:\ az extension add --name managementpartner
    
  2. Inicie sesión en el inquilino de cliente con la cuenta de usuario o la entidad de servicio. Para obtener más información, consulte Inicio de sesión con la CLI de Azure.

    C:\ az login --tenant <tenant>
    
  3. Vincule el nuevo Id. de partner. El identificador de partner es el identificador de Microsoft Cloud Partner Program de su organización.

    C:\ az managementpartner create --partner-id 12345
    

Obtención del Id. de partner vinculado

C:\ az managementpartner show

Actualización del Id. de partner vinculado

C:\ az managementpartner update --partner-id 12345

Eliminación del Id. de partner vinculado

C:\ az managementpartner delete --partner-id 12345

Preguntas más frecuentes

¿Qué permisos de identidad PAL se necesitan para mostrar los ingresos?

PAL puede ser tan granular como una instancia de recurso. Por ejemplo, una sola máquina virtual. Sin embargo, PAL se establece en una cuenta de usuario. El ámbito de la medida de ingresos por consumo de Azure (ACR) es cualquier permiso administrativo que tenga una cuenta de usuario en el entorno. Un ámbito administrativo puede ser una suscripción, un grupo de recursos o una instancia de recursos que usa roles RBAC de Azure estándar.

En otras palabras, la asociación PAL puede darse para todos los roles RBAC. Los roles determinan la idoneidad para los incentivos de asociados. Para obtener más información sobre la idoneidad, consulte Incentivos de asociados.

Por ejemplo, si es un asociado, el cliente podría contratarle para realizar un proyecto. El cliente puede proporcionarle una cuenta administrativa para implementar, configurar y dar soporte técnico a una aplicación. El cliente puede limitar el acceso a un grupo de recursos. Si usa PAL y asocia el identificador de MPN con la cuenta administrativa, Microsoft mide los ingresos consumidos de los servicios del grupo de recursos.

Si la identidad de Microsoft Entra que se usó para PAL se elimina o deshabilita, la atribución de ACR se detiene para el asociado en los recursos asociados.

Varios programas de asociados tienen reglas diferentes para los roles RBAC. Póngase en contacto con el Administrador de desarrollo de asociados para conocer las reglas sobre los roles específicos RBAC de Azure que se necesitan en el momento de PAL para que se realice la atribución de ACR.

Para más información, consulte:

¿Quién puede vincular el Id. de partner?

Cualquier usuario de la organización asociada que administre los recursos de Azure del cliente puede vincular el identificador de partner a la cuenta.

¿Se puede cambiar un Id. de partner después de vincularlo?

Sí. El Id. de partner vinculado se puede cambiar, agregar o quitar.

¿Pueden otros partners o clientes editar o quitar el vínculo con el Id. de partner?

El vínculo está asociado al nivel de cuenta del usuario. Solo usted puede editar o quitar el vínculo con el Id. de partner. Ni el cliente ni ningún otro partner podrán modificar el vínculo con el Id. de partner.

¿Qué identificador de partner debo usar si mi compañía tiene varios?

Asegúrese de utilizar el identificador de partner asociado que se muestra en su perfil de asociado.

¿Dónde puedo encontrar informes de ingresos influenciados para el identificador de asociado vinculado?

Los informes de rendimiento del producto en la nube están disponibles para los asociados en el centro de asociados en el panel My Insights dashboard (Panel Mi información). Debe seleccionar Vínculo de administración de asociados como el tipo de asociación de asociados.

¿Por qué no puedo ver mi cliente en los informes?

No puede ver al cliente en los informes por los siguientes motivos

  1. La cuenta de usuario vinculada no tiene el control de acceso basado en rol (Azure RBAC) en ningún recurso o suscripción de Azure del cliente.

  2. La suscripción de Azure donde el usuario tiene el control de acceso basado en rol (Azure RBAC) no tiene ningún uso.

¿Qué ocurre si un usuario tiene una cuenta en varios inquilinos de cliente?

El vínculo entre el Id. de partner y la cuenta se realiza para cada inquilino de cliente. Vincule el Id. de partner en cada inquilino de cliente.

Pero si vas a administrar los recursos del cliente a través de Azure Lighthouse, debes crear el vínculo en el inquilino del proveedor de servicios y usar una cuenta que tenga acceso a los recursos del cliente.

¿Cómo se vincula el identificador de asociado si la empresa usa Azure Lighthouse para acceder a los recursos del cliente?

Para que se reconozcan las actividades de Azure Lighthouse, tendrás que asociar el Id. de partner con al menos una cuenta de usuario que tenga acceso a cada una de las suscripciones que has incorporado. La asociación es necesaria en el inquilino del proveedor de servicios, en lugar de en cada inquilino del cliente.

Para simplificar, se recomienda crear una cuenta de entidad de servicio en el inquilino, asociarla con el identificador de partner y, después, concederle acceso a todos los clientes que incorpore con un rol integrado de Azure que sea apto para el crédito obtenido por el asociado.

Si ya has incorporado un cliente, puedes vincular el Id. de partner a una cuenta de usuario que ya tiene permiso para trabajar en el inquilino de ese cliente, de modo que no tengas que realizar otra implementación.

Para obtener más información, consulta Incorporación de un cliente a Azure Lighthouse.

¿Funciona la vinculación de un Id. de partner con Azure Stack?

Sí, puedes vincular tu Id. de partner para Azure Stack.

¿Cómo se explica Vínculo de administración de asociados (PAL) a los clientes?

Vínculo de administración de asociados (PAL) permite a Microsoft identificar y reconocer a los asociados que ayudan a los clientes a lograr objetivos empresariales y a obtener valor en la nube. En primer lugar, los clientes deben proporcionar un acceso de asociado a su recurso de Azure. Una vez que se concede el acceso, se asocia el identificador de Microsoft Partner Network del partner. Esta asociación ayuda a Microsoft no solo a conocer el ecosistema de proveedores de servicios de TI, sino también a perfeccionar las herramientas y los programas necesarios para proporcionar mejor soporte técnico a nuestros clientes comunes.

¿Qué datos recopila PAL?

La asociación de PAL con las credenciales existentes no proporciona nuevos datos de los clientes a Microsoft. Simplemente proporciona a Microsoft la información de que un partner está implicado activamente en el entorno de Azure de un cliente. Microsoft puede atribuir la influencia y los ingresos por consumo de Azure del entorno del cliente a una organización de asociados en función de los permisos de la cuenta (rol de Azure) y el ámbito (grupo de administración, suscripción, grupo de recursos, recurso) que el cliente proporciona al asociado.

¿Afecta esto a la seguridad del entorno de Azure de los clientes?

La asociación de PAL solo agrega el identificador de partner a la credencial ya aprovisionada, y no modifica ningún permiso (rol de Azure) ni proporciona otros datos del servicio de Azure a ningún partner ni a Microsoft.

¿Qué ocurre si se elimina la identidad de PAL?

Si se elimina el identificador de red del partner, también denominado identificador de MPN, dejan de funcionar todos los mecanismos de reconocimiento, incluida la atribución de Ingresos por consumo de Azure (ACR).

Pasos siguientes

Únase al debate en la comunidad de asociados de Microsoft para recibir actualizaciones o enviar comentarios.