Az Azure-csomagban foglalt előfizetések és erőforrások kezeléseManage subscriptions and resources under the Azure plan

Megfelelő szerepkörökAppropriate roles

  • Felügyeleti ügynökAdmin agent

Ez a cikk azt ismerteti, hogy a CSP-partnerek hogyan használhatják a különböző szerepköralapú hozzáférés-vezérlési (RBAC) lehetőségeket az ügyfél Azure-erőforrásainak operatív vezérléséhez és kezeléséhez.This article explains how CSP partners can use different role-based access control (RBAC) options to gain operational control and management of a customer's Azure resources. Amikor átvált egy ügyfelet az Azure-csomagra, a jogosultsági szintű rendszergazdai jogosultságokat az Azure-ban rendeli hozzá (az előfizetés tulajdonosi jogosultságai a rendszergazda nevében) alapértelmezés szerint.When you transition a customer to the Azure plan, you are assigned privileged admin rights in Azure (subscription owner rights through admin on behalf of) by default.

Megjegyzés

Az ügyfél az Azure-előfizetéshez tartozó rendszergazdai jogosultságokat az előfizetés, az erőforráscsoport vagy a munkaterhelés szintjén távolíthatja el.Admin rights to the Azure subscription can be removed by the customer at a subscription, resource group, or workload level.

A partnerek a szerepköralapú hozzáférés-vezérlési funkció (RBAC) által biztosított különböző beállítások használatával nonstop az ügyfél Azure-erőforrásainak működési irányítását és felügyeletét a CSP-ben.Partners can gain 24x7 operational control and management of a customer's Azure resources in CSP by using different options provided through the role-based access control feature (RBAC).

  • Rendszergazda a (z) (Aobo) nevében – az Aoboszolgáltatásban a partner bérlőn lévő rendszergazdai ügynök szerepkörrel rendelkező felhasználók a CSP program keretében létrehozott Azure-előfizetésekhez RBAC tulajdonosi hozzáféréssel.Admin on Behalf Of (AOBO) - With AOBO, any user with the Admin Agent role in the partner tenant will have RBAC owner access to Azure subscriptions that you create through the CSP program.

  • Az Azure Lighthouse: a AOBO nem teszi lehetővé a rugalmasságot olyan különálló csoportok létrehozására, amelyek különböző ügyfelekkel működnek, vagy különböző szerepköröket engedélyeznek a csoportoknak vagy a felhasználóknak.Azure Lighthouse: AOBO doesn't allow the flexibility to create distinct groups that work with different customers, or to enable different roles for groups or users. Az Azure Lighthouse használatával különböző csoportokat rendelhet hozzá különböző ügyfelekhez vagy szerepkörökhöz.Using Azure Lighthouse, you can assign different groups to different customers or roles. Mivel a felhasználók a megfelelő szintű hozzáféréssel rendelkeznek az Azure-beli delegált erőforrás-kezelésen keresztül, csökkentheti a rendszergazdai ügynök szerepkörrel rendelkező felhasználók számát (és így teljes AOBO-hozzáféréssel rendelkezik).Because users will have the appropriate level of access through Azure delegated resource management, you can reduce the number of users who have the Admin Agent role (and thus have full AOBO access). Ez segít a biztonság javításában azáltal, hogy korlátozza az ügyfelek erőforrásainak szükségtelen hozzáférését.This helps improve security by limiting unnecessary access to your customers' resources. Emellett nagyobb rugalmasságot biztosít több ügyfél felügyeletéhez.It also gives you more flexibility to manage multiple customers at scale. További információért olvassa el Az Azure Lighthouse és a Cloud Solution Provider programot.For more information, read Azure Lighthouse and the Cloud Solution Provider program.

  • Címtár vagy vendég felhasználók vagy egyszerű szolgáltatások: a CSP-előfizetésekre vonatkozó részletes hozzáférést delegálhat, ha felhasználókat ad hozzá az ügyfél-címtárban, illetve vendég felhasználókat ad hozzá, és hozzárendel egy adott RBAC-szerepkört.Directory or Guest Users or Service Principals: You can delegate granular access to CSP subscriptions by adding users in the customer directory or adding guest users and assigning specific RBAC roles.

A Microsoft azt javasolja, hogy a felhasználóknak olyan minimális engedélyekkel rendelkezzenek, amelyekre szükségük van a munkájuk biztonsági gyakorlatként való elvégzéséhez.Microsoft recommends that users have the minimum permissions they need to perform their work as a security practice. Lásd: Azure Active Directory Privileged Identity Management erőforrások.See Azure Active Directory Privileged Identity Management resources.

A következő táblázat a partner-azonosító különböző RBAC-hozzáférési lehetőségekkel való hozzárendeléséhez használt módszereket mutatja be.The following table shows the methods used to associate your partner ID with various RBAC access options.

KategóriaCategory ForgatókönyvScenario MPN-azonosító társításaMPN ID association
AOBOAOBO A CSP Direct partner vagy közvetett szolgáltató létrehoz egy előfizetést az ügyfél számára, amely a CSP közvetlen partnere vagy a közvetett szolgáltató alapértelmezett tulajdonosa az előfizetéshez az AOBO használatával.; A CSP közvetlen partnere vagy közvetett szolgáltatója közvetett viszonteladói hozzáférést biztosít az előfizetéshez a AOBO használatával.CSP direct partner or indirect provider creates the subscription for the customer making the CSP direct partner or indirect provider default owner of the subscription using AOBO.; CSP direct partner or indirect provider give indirect reseller access to the subscription using AOBO. Automatikus (nincs szükség partneri munkára)Automatic (no partner work required)
Azure LighthouseAzure Lighthouse A partner létrehoz egy új , felügyelt szolgáltatási ajánlatot a piactéren.Partner creates a new Managed Services offer in Marketplace. Ezt az ajánlatot a CSP-előfizetés fogadja el, és a partner hozzáférést kap a CSP-előfizetéshez.This offer is accepted on the CSP subscription and partner gets access to the CSP subscription. Automatikus (nincs szükség partneri munkára)Automatic (no partner work required)
Azure LighthouseAzure Lighthouse Partner üzembe helyezése ARM-sablon az Azure-előfizetésbenPartner deploys ARM template in Azure subscription A partnernek hozzá kell rendelnie az MPN-azonosítót a felhasználóhoz vagy az egyszerű szolgáltatáshoz a partner bérlőn.Partner needs to associate the MPN ID to the user or service principal in the partner tenant. További információ: kapcsolati partner azonosítója.For more information - Link Partner ID.
Címtár vagy vendég felhasználóDirectory or guest user A partner létrehoz egy új felhasználót vagy szolgáltatásnevet az ügyfél címtárában, és hozzáférést biztosít a felhasználó számára a CSP-előfizetéshez.Partner creates a new user or service principal in the customer directory and gives access to the CSP subscription to the user. A partner új felhasználót vagy szolgáltatásnevet hoz létre az ügyfél címtárában.Partner creates a new user or service principal in the customer directory. A partner hozzáadja a felhasználót egy csoporthoz, és hozzáférést biztosít a CSP-előfizetéshez a csoport számára.Partner adds the user to a group and gives access to the CSP subscription to the group. A partnernek az MPN-azonosítót hozzá kell rendelnie a felhasználóhoz vagy az egyszerű szolgáltatáshoz az ügyfél bérlője számára.Partner needs to associate the MPN ID to the user or service principal in the customer tenant. További információ: kapcsolati partner azonosítója.For more information - Link Partner ID.

Ellenőrizze, hogy rendelkezik-e rendszergazdai hozzáférésselConfirm that you have admin access

Rendszergazdai hozzáféréssel kell rendelkeznie az ügyfél szolgáltatásainak kezeléséhez és a szerzett kreditek fogadásához.You require admin access to manage your customer's services and to received earned credits. A keresett kreditekkel kapcsolatos részletes információkért olvassa el a partner által szerzett krediteket .Read Partner earned credits for detailed information on earned credits. Kétféleképpen lehet meggyőződni arról, hogy rendszergazdai hozzáférése van.You have two ways to make sure you know that you have admin access.

  • Tekintse át a napi használati fájlt – ez az egységár és a tényleges egység árának áttekintésével határozható meg a napi használati fájlban, és megerősíti, hogy van-e kedvezmény alkalmazva.Review the daily usage file - This can be determined by reviewing the unit price and effective unit price within the daily usage file and confirming if a discount is being applied. Ha a kedvezményt kapja, Ön a rendszergazda.If you are receiving the discount you are the admin.

  • Azure monitor-riasztás létrehozása – létrehozhat egy Azure Monitor műveletnapló riasztást arról, hogy értesítést kapjon, ha a RBAC hozzáférése el lett távolítva a CSP-előfizetésből.Create an Azure monitor alert - You can create an Azure Monitor activity log alert to be notified of when your RBAC access is removed from CSP subscription.

Azure monitor-riasztás létrehozásaCreate an Azure monitor alert

  1. Riasztás létrehozása.Create alert.

    Azure-riasztás

  2. Válassza ki, hogy milyen típusú műveletet szeretne végrehajtani a riasztásban. Ha például azt szeretné, hogy egy e-mailt küldjön, a rendszer értesítést küld arról, hogy a szerepkör-hozzárendelés törlése megtörténik-e.Select the type of action you want the alert to take.For example, if you specify that you want an email, you will receive an email notifying you if any role assignment deletion occurs.

    riasztás konfigurálása

AOBO eltávolításaAOBO removal

Az ügyfelek az előfizetésekhez való hozzáférést a Azure Portal Access Control is kezelhetik.Customers can manage access to their subscriptions by going to Access Control on the Azure portal. A szerepkör-hozzárendelések lapon válassza a hozzáférés eltávolítása lehetőséget.From the Role assignments tab, they select Remove access. Ha ez történik, a következőket teheti:If this happens, you can:

A szerepköralapú hozzáférés különbözik a rendszergazdai hozzáféréstől.Role-based access differs from admin access. A szerepkörök leszűkítik pontosan, hogy mit tehet és mit nem.Roles delimit precisely what you can and can't do. A rendszergazdai hozzáférés szélesebb körű.Admin access is broader.

Ha meg szeretné tekinteni a PEC-t kereső szerepköröket, olvassa el a partner által létrehozott kreditek szerepköreit és engedélyeit.To see the roles eligible to earn PEC, read Roles and permissions for the partner earned credit.

További lépésekNext steps