Adminisztrátori jogosultságok visszaállítása az ügyfél Azure CSP-előfizetéseihez

Cikk
08/01/2023

Megfelelő szerepkörök: globális rendszergazda | Rendszergazda ügynök

A felhőszolgáltatói (CSP-) program partnereként ügyfelei gyakran bízzák Önre Azure-használatuk és rendszereik kezelését. A segítségükhöz rendszergazdai jogosultságokkal kell rendelkeznie. Ha még nem rendelkezik adminisztrátori jogosultságokkal, az ügyféllel együttműködve visszaállíthatja azokat.

Az Azure-hoz tartozó adminisztrátori jogosultságok a CSP-programban

Egyes rendszergazdai jogosultságok automatikusan meg lesznek adva, amikor viszonteladói kapcsolatot létesít egy ügyféllel. Másokat egy ügyfélnek kell megadnia.

Az Azure-hoz kétszintű rendszergazdai jogosultságok tartoznak a CSP-ben:

A bérlőszintű rendszergazdai jogosultságok (azaz a delegált rendszergazdai jogosultságok) hozzáférést biztosítanak az ügyfelek bérlőihez. Ez a delegált hozzáférés lehetővé teszi olyan rendszergazdai funkciók végrehajtását, mint a felhasználók hozzáadása és kezelése, a jelszavak alaphelyzetbe állítása és a felhasználói licencek kezelése.

Bérlőszintű rendszergazdai jogosultságokat kap, amikor CSP-viszonteladói kapcsolatokat létesít az ügyfelekkel.
Az előfizetési szintű adminisztrátori jogosultságok teljes hozzáférést adnak az ügyfelek Azure CSP-előfizetéseihez. Ezzel a hozzáféréssel kiépítheti és kezelheti az ügyfél Azure-erőforrásait.

Előfizetésszintű rendszergazdai jogosultságokat kap, amikor Azure CSP-előfizetéseket hoz létre az ügyfelek számára.

CSP-rendszergazdai jogosultságok visszaállítása: a műveletek

Ön és az ügyfél mindegyike rendelkezik olyan műveletekkel, amelyeket végre kell hajtania a CSP-rendszergazdai jogosultságok visszaállításához. Ez a szakasz a végrehajtandó műveleteket ismerteti.

A CSP-rendszergazdai jogosultságok visszaállításához kövesse az alábbi lépéseket:

Jelentkezzen be a Partnerközpontba , és válassza az Ügyfelek lehetőséget.
Az Ügyféllistában válassza a Viszonteladói kapcsolat kérése lehetőséget.
A Delegált Rendszergazda Jogosultságok jelölőnégyzetnél:
- Hagyja bejelölve a jelölőnégyzetet a delegált rendszergazdai jogosultságokkal való kapcsolat létrehozásához.
- Törölje a jelet a jelölőnégyzetből, ha delegált rendszergazdai jogosultságok nélkül szeretné létrehozni a kapcsolatot.
Tekintse át az e-mail-meghívó tervezetét.
- Válassza a Megnyitás e-mailben lehetőséget a piszkozatmeghívó megnyitásához az alapértelmezett levelezőalkalmazásban.
- Válassza a Másolás vágólapra lehetőséget a meghívó e-mailbe másolásához és beillesztéséhez.
Fontos

Szerkesztheti a szöveget a piszkozat e-mail-üzenetében, de mindenképpen adja meg a személyre szabott hivatkozást , mert az közvetlenül a fiókjához kapcsolja az ügyfelet.
Válassza a Kész lehetőséget.
Küldje el az e-mail-meghívót az ügyfélnek.

Megjegyzés

A kérés elfogadásához az ügyfél szervezetében lévő személynek az ügyfél bérlőjének globális rendszergazdájának kell lennie.
- Az ügyfél kiválasztja az e-mailben kapott hivatkozást. A hivatkozás a Microsoft Rendszergazda Centerbe viszi őket, ahol elfogadhatják a meghívást.
- Miután az ügyfél elfogadja a meghívását, megjelenik a Partnerközpontban található Ügyfelek oldalon, ahonnan kiépítheti és kezelheti majd az ügyfélnek nyújtott szolgáltatást.
Miután az ügyfél jóváhagyta a viszonteladói kapcsolati meghívást a megadott hivatkozással, csatlakozzon a partnerbérlőhöz, és kérje le az object ID AdminAgents csoport nevét.
```
Connect-AzAccount -Tenant "Partner tenant"
# Get Object ID of AdminAgents group
Get-AzADGroup -DisplayName AdminAgents
```
Győződjön meg arról, hogy az ügyfele rendelkezik a következőkkel:
- Tulajdonos vagy Felhasználói hozzáférés adminisztrátora szerepkör
- Engedélyek az előfizetés szintjén történő szerepkör-hozzárendelések létrehozásához

CSP-rendszergazdai jogosultságok visszaállítása: ügyfélműveletek

Ez a szakasz a CSP-rendszergazdai jogosultságok visszaállítására vonatkozó ügyfélműveleteket ismerteti.

A CSP-rendszergazdai jogosultságok visszaállításának befejezéséhez az ügyfél a PowerShellt vagy az Azure CLI-t használja a következő lépések végrehajtásához:

Az ügyfél a PowerShell használatával frissíti a modult Az.Resources .
```
Update-Module Az.Resources
```

Az ügyfél ahhoz a bérlőhöz csatlakozik, amelyben a CSP-előfizetés létezik.

Connect-AzAccount -TenantID "<Customer tenant>"

az login --tenant <Customer tenant>

Az ügyfél csatlakozik az előfizetéshez.

Ez a lépés csak akkor alkalmazható, ha a felhasználó szerepkör-hozzárendelési engedélyekkel rendelkezik több előfizetéshez a bérlőben.
```
Set-AzContext -SubscriptionID "<CSP Subscription ID>"
```
```
az account set --subscription <CSP Subscription ID>
```

Az ügyfél létrehozza a szerepkör-hozzárendelést.

New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"

az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"

Ahelyett, hogy tulajdonosi engedélyeket adnának meg az előfizetés szintjén, az erőforráscsoportban vagy az erőforrás szintjén is megadhatóak:

Az erőforráscsoport szintjén

New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"

az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"

Erőforrásszinten

New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"

az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"

Az ügyfél lépéseinek hibaelhárítása

Ha az ügyfél nem tudja végrehajtani az előző lépéseket, javasolja a következő parancsot, és adja meg az eredményként kapott newRoleAssignment.log fájlt a Microsoftnak további elemzés céljából:

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

CSP-rendszergazdai jogosultságok visszaállítása: A PowerShell minden eljárása

Ha az előző szakaszokban szereplő lépések nem működnek, vagy ha a kísérlet során hibaüzenet jelenik meg, próbálkozzon az alábbi "catchall" eljárással az ügyfél rendszergazdai jogainak visszaállításához:

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

Ha a "catchall" eljárás a következő időpontban Import-Modulemeghiúsul, próbálkozzon a következő lépésekkel:

Ha az importálás meghiúsul, mert a modul használatban van, indítsa újra a PowerShell-munkamenetet az összes ablak bezárásával és újbóli megnyitásával.
Ellenőrizze a verziót Az.Resources a következővel Get-Module Az.Resources -ListAvailable: .
- Ha a 4.1.1-es verzió nem szerepel a rendelkezésre álló listában, akkor a következőt kell használnia Update-Module Az.Resources -Force: .
Ha egy hiba azt állítja, hogy Az.Accounts egy adott verziónak kell lennie, frissítse a modult is, és cserélje le Az.Resources a következőre Az.Accounts: . Ezután újra kell indítania a PowerShell-munkamenetet.

Következő lépések

Az Azure-csomagban foglalt előfizetések és erőforrások kezelése