Adminisztrátori jogosultságok visszaállítása az ügyfél Azure CSP-előfizetéseihez
Megfelelő szerepkörök: globális rendszergazda | Rendszergazda ügynök
A felhőszolgáltatói (CSP-) program partnereként ügyfelei gyakran bízzák Önre Azure-használatuk és rendszereik kezelését. A segítségükhöz rendszergazdai jogosultságokkal kell rendelkeznie. Ha még nem rendelkezik adminisztrátori jogosultságokkal, az ügyféllel együttműködve visszaállíthatja azokat.
Az Azure-hoz tartozó adminisztrátori jogosultságok a CSP-programban
Egyes rendszergazdai jogosultságok automatikusan meg lesznek adva, amikor viszonteladói kapcsolatot létesít egy ügyféllel. Másokat egy ügyfélnek kell megadnia.
Az Azure-hoz kétszintű rendszergazdai jogosultságok tartoznak a CSP-ben:
A bérlőszintű rendszergazdai jogosultságok (azaz a delegált rendszergazdai jogosultságok) hozzáférést biztosítanak az ügyfelek bérlőihez. Ez a delegált hozzáférés lehetővé teszi olyan rendszergazdai funkciók végrehajtását, mint a felhasználók hozzáadása és kezelése, a jelszavak alaphelyzetbe állítása és a felhasználói licencek kezelése.
Bérlőszintű rendszergazdai jogosultságokat kap, amikor CSP-viszonteladói kapcsolatokat létesít az ügyfelekkel.
Az előfizetési szintű adminisztrátori jogosultságok teljes hozzáférést adnak az ügyfelek Azure CSP-előfizetéseihez. Ezzel a hozzáféréssel kiépítheti és kezelheti az ügyfél Azure-erőforrásait.
Előfizetésszintű rendszergazdai jogosultságokat kap, amikor Azure CSP-előfizetéseket hoz létre az ügyfelek számára.
CSP-rendszergazdai jogosultságok visszaállítása: a műveletek
Ön és az ügyfél mindegyike rendelkezik olyan műveletekkel, amelyeket végre kell hajtania a CSP-rendszergazdai jogosultságok visszaállításához. Ez a szakasz a végrehajtandó műveleteket ismerteti.
A CSP-rendszergazdai jogosultságok visszaállításához kövesse az alábbi lépéseket:
Jelentkezzen be a Partnerközpontba , és válassza az Ügyfelek lehetőséget.
Az Ügyféllistában válassza a Viszonteladói kapcsolat kérése lehetőséget.
A Delegált Rendszergazda Jogosultságok jelölőnégyzetnél:
- Hagyja bejelölve a jelölőnégyzetet a delegált rendszergazdai jogosultságokkal való kapcsolat létrehozásához.
- Törölje a jelet a jelölőnégyzetből, ha delegált rendszergazdai jogosultságok nélkül szeretné létrehozni a kapcsolatot.
Tekintse át az e-mail-meghívó tervezetét.
- Válassza a Megnyitás e-mailben lehetőséget a piszkozatmeghívó megnyitásához az alapértelmezett levelezőalkalmazásban.
- Válassza a Másolás vágólapra lehetőséget a meghívó e-mailbe másolásához és beillesztéséhez.
Fontos
Szerkesztheti a szöveget a piszkozat e-mail-üzenetében, de mindenképpen adja meg a személyre szabott hivatkozást , mert az közvetlenül a fiókjához kapcsolja az ügyfelet.
Válassza a Kész lehetőséget.
Küldje el az e-mail-meghívót az ügyfélnek.
Megjegyzés
A kérés elfogadásához az ügyfél szervezetében lévő személynek az ügyfél bérlőjének globális rendszergazdájának kell lennie.
Az ügyfél kiválasztja az e-mailben kapott hivatkozást. A hivatkozás a Microsoft Rendszergazda Centerbe viszi őket, ahol elfogadhatják a meghívást.
Miután az ügyfél elfogadja a meghívását, megjelenik a Partnerközpontban található Ügyfelek oldalon, ahonnan kiépítheti és kezelheti majd az ügyfélnek nyújtott szolgáltatást.
Miután az ügyfél jóváhagyta a viszonteladói kapcsolati meghívást a megadott hivatkozással, csatlakozzon a partnerbérlőhöz, és kérje le az
object ID
AdminAgents csoport nevét.Connect-AzAccount -Tenant "Partner tenant" # Get Object ID of AdminAgents group Get-AzADGroup -DisplayName AdminAgents
Győződjön meg arról, hogy az ügyfele rendelkezik a következőkkel:
- Tulajdonos vagy Felhasználói hozzáférés adminisztrátora szerepkör
- Engedélyek az előfizetés szintjén történő szerepkör-hozzárendelések létrehozásához
CSP-rendszergazdai jogosultságok visszaállítása: ügyfélműveletek
Ez a szakasz a CSP-rendszergazdai jogosultságok visszaállítására vonatkozó ügyfélműveleteket ismerteti.
A CSP-rendszergazdai jogosultságok visszaállításának befejezéséhez az ügyfél a PowerShellt vagy az Azure CLI-t használja a következő lépések végrehajtásához:
Az ügyfél a PowerShell használatával frissíti a modult
Az.Resources
.Update-Module Az.Resources
Az ügyfél ahhoz a bérlőhöz csatlakozik, amelyben a CSP-előfizetés létezik.
Connect-AzAccount -TenantID "<Customer tenant>"
az login --tenant <Customer tenant>
Az ügyfél csatlakozik az előfizetéshez.
Ez a lépés csak akkor alkalmazható, ha a felhasználó szerepkör-hozzárendelési engedélyekkel rendelkezik több előfizetéshez a bérlőben.
Set-AzContext -SubscriptionID "<CSP Subscription ID>"
az account set --subscription <CSP Subscription ID>
Az ügyfél létrehozza a szerepkör-hozzárendelést.
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
Ahelyett, hogy tulajdonosi engedélyeket adnának meg az előfizetés szintjén, az erőforráscsoportban vagy az erőforrás szintjén is megadhatóak:
Az erőforráscsoport szintjén
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
Erőforrásszinten
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
Az ügyfél lépéseinek hibaelhárítása
Ha az ügyfél nem tudja végrehajtani az előző lépéseket, javasolja a következő parancsot, és adja meg az eredményként kapott newRoleAssignment.log
fájlt a Microsoftnak további elemzés céljából:
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log
CSP-rendszergazdai jogosultságok visszaállítása: A PowerShell minden eljárása
Ha az előző szakaszokban szereplő lépések nem működnek, vagy ha a kísérlet során hibaüzenet jelenik meg, próbálkozzon az alábbi "catchall" eljárással az ügyfél rendszergazdai jogainak visszaállításához:
Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"
Ha a "catchall" eljárás a következő időpontban Import-Module
meghiúsul, próbálkozzon a következő lépésekkel:
- Ha az importálás meghiúsul, mert a modul használatban van, indítsa újra a PowerShell-munkamenetet az összes ablak bezárásával és újbóli megnyitásával.
- Ellenőrizze a verziót
Az.Resources
a következővelGet-Module Az.Resources -ListAvailable
: .- Ha a 4.1.1-es verzió nem szerepel a rendelkezésre álló listában, akkor a következőt kell használnia
Update-Module Az.Resources -Force
: .
- Ha a 4.1.1-es verzió nem szerepel a rendelkezésre álló listában, akkor a következőt kell használnia
- Ha egy hiba azt állítja, hogy
Az.Accounts
egy adott verziónak kell lennie, frissítse a modult is, és cserélje leAz.Resources
a következőreAz.Accounts
: . Ezután újra kell indítania a PowerShell-munkamenetet.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: