Rétablir les privilèges d’administrateur pour les abonnements Azure CSP d’un client

Article
08/01/2023

Rôles appropriés : Administrateur général | Agent d’administration

En tant que partenaire du programme CSP (Cloud Solution Provider, fournisseur de solutions Cloud), vos clients comptent souvent sur vous pour gérer leur utilisation d’Azure et leurs systèmes. Vous devez disposer de privilèges d’administrateur pour les aider. Si vous n’en disposez pas déjà, vous pouvez les rétablir en collaboration avec le client.

Privilèges Administrateur pour Azure dans le programme CSP

Certains privilèges d’administrateur sont accordés automatiquement lorsque vous établissez une relation de revendeur avec un client. D’autres doivent vous être accordées par un client.

Il existe deux niveaux de privilèges d’administrateur pour Azure dans CSP :

Les privilèges d’administrateur au niveau du locataire (c’est-à-dire les privilèges d’administrateur délégué) vous permettent d’accéder aux locataires de vos clients. Cet accès délégué vous permet d’effectuer des fonctions d’administration, telles que l’ajout et la gestion d’utilisateurs, la réinitialisation des mots de passe et la gestion des licences utilisateur.

Vous bénéficiez de privilèges d’administrateur au niveau du locataire lorsque vous établissez des relations de revendeur CSP avec les clients.
Les privilèges Administrateur au niveau de l’abonnement vous offrent un accès complet aux abonnements Azure CSP de vos clients. Cet accès vous permet de provisionner et de gérer leurs ressources Azure.

Vous bénéficiez de privilèges d’administrateur au niveau de l’abonnement lors de la création d’abonnements Azure CSP pour vos clients.

Rétablir vos privilèges d’administrateur CSP : vos actions

Vous et votre client avez chacun des actions à effectuer pour rétablir vos privilèges d’administrateur CSP. Cette section décrit les actions que vous devez effectuer.

Pour rétablir vos privilèges d’administrateur CSP, procédez comme suit :

Connectez-vous à l’Espace partenaires et sélectionnez Clients.
Dans la liste des clients, sélectionnez Demander une relation de revendeur.
Pour la case à cocher Privilèges Administration délégués :
- Laissez la case à cocher sélectionnée pour établir la relation avec les privilèges d’administrateur délégué.
- Désactivez la case à cocher pour établir la relation sans privilèges d’administrateur délégué.
Passez en revue le brouillon d’invitation par e-mail.
- Sélectionnez Ouvrir dans l’e-mail pour ouvrir le brouillon d’invitation dans votre application de messagerie par défaut.
- Sélectionnez Copier dans le Presse-papiers pour copier et coller l’invitation dans un message électronique.
Important

Vous pouvez modifier le texte du brouillon de message électronique, mais veillez à inclure le lien personnalisé , car il lie directement le client à votre compte.
Sélectionnez Terminé.
Envoyez l’invitation par e-mail à votre client.

Notes

Pour pouvoir accepter la demande, la personne de l’organisation de votre client doit être un administrateur général du locataire de votre client.
- Votre client sélectionne le lien qu’il a reçu dans l’e-mail. Le lien les dirige vers le Centre Administration Microsoft où ils peuvent accepter votre invitation.
- Une fois qu’il a accepté votre invitation, le client s’affiche dans votre page Clients dans l’Espace partenaires. Vous pouvez alors provisionner et gérer son service à partir de là.
Une fois que votre client a approuvé l’invitation de relation de revendeur à l’aide du lien fourni, connectez-vous au locataire partenaire pour obtenir le object ID du groupe AdminAgents.
```
Connect-AzAccount -Tenant "Partner tenant"
# Get Object ID of AdminAgents group
Get-AzADGroup -DisplayName AdminAgents
```
Vérifiez que votre client respecte les prérequis suivants :
- Rôle de propriétaire ou d’administrateur de l’accès utilisateur
- Autorisations pour créer des attributions de rôle au niveau de l’abonnement

Rétablir vos privilèges d’administrateur CSP : actions client

Cette section décrit les actions du client pour rétablir vos privilèges d’administrateur CSP.

Pour terminer la rétablissement de vos privilèges d’administrateur CSP, votre client utilise PowerShell ou Azure CLI pour effectuer les étapes suivantes :

Votre client utilise PowerShell pour mettre à jour le Az.Resources module.
```
Update-Module Az.Resources
```

Votre client se connecte au locataire dans lequel l’abonnement CSP existe.

Connect-AzAccount -TenantID "<Customer tenant>"

az login --tenant <Customer tenant>

Votre client se connecte à l’abonnement.

Cette étape s’applique uniquement si l’utilisateur dispose d’autorisations d’attribution de rôle sur plusieurs abonnements dans le locataire.
```
Set-AzContext -SubscriptionID "<CSP Subscription ID>"
```
```
az account set --subscription <CSP Subscription ID>
```

Votre client crée l’attribution de rôle.

New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"

az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"

Au lieu d’accorder des autorisations de propriétaire au niveau de l’abonnement , elles peuvent être accordées au niveau du groupe de ressources ou de la ressource :

Au niveau du groupe de ressources

New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"

az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"

Au niveau de la ressource

New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"

az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"

Résolution des problèmes liés aux étapes du client

Si votre client ne parvient pas à effectuer les étapes précédentes, proposez la commande suivante et fournissez le fichier résultant newRoleAssignment.log à Microsoft pour une analyse plus approfondie :

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

Rétablir vos privilèges d’administrateur CSP : procédure catchall PowerShell

Si les étapes décrites dans les sections précédentes ne fonctionnent pas, ou si vous obtenez des erreurs lors de leur tentative, essayez la procédure « catchall » suivante pour rétablir les droits d’administrateur de votre client :

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

Si la procédure « catchall » échoue à Import-Module, essayez les étapes suivantes :

Si l’importation échoue parce que le module est en cours d’utilisation, redémarrez la session PowerShell en fermant et en ouvrant à nouveau toutes les fenêtres.
Vérifiez la version de Az.Resources avec Get-Module Az.Resources -ListAvailable.
- Si la version 4.1.1 ne figure pas dans la liste disponible, vous devez utiliser Update-Module Az.Resources -Force.
Si une erreur indique que Az.Accounts doit être une version spécifique, mettez également à jour ce module, en remplaçant par Az.ResourcesAz.Accounts. Vous devez ensuite redémarrer la session PowerShell.

Étapes suivantes

Gérer les abonnements et les ressources dans le cadre du plan Azure