顧客の Azure CSP サブスクリプションの管理者特権を復元する

対象のロール: グローバル管理者 | 管理エージェント

クラウド ソリューション プロバイダー (CSP) プログラム パートナーの顧客は、Azure の使用状況とシステムを代わりに CSP パートナーに管理してもらうことを望む場合がよくあります。 ユーザーを支援するには、管理者特権が必要です。 まだ管理者特権を持っていない場合は、顧客と協力してそれらを回復できます。

CSP プログラムでの Azure に対する管理者特権

一部の管理者特権は、顧客とのリセラー関係を確立すると自動的に付与されます。 その他のユーザーは、お客様に付与する必要があります。

CSP での Azure の管理者特権には、次の 2 つのレベルがあります。

  • テナント レベルの管理者特権 (つまり、 委任された管理者特権) を使用すると、顧客のテナントにアクセスできます。 この委任されたアクセスを使用すると、ユーザーの追加と管理、パスワードのリセット、ユーザー ライセンスの管理などの管理機能を実行できます。

    顧客との CSP リセラー関係を確立すると、テナント レベルの管理者特権が得られます。

  • サブスクリプション レベルの管理者特権があると、顧客の Azure CSP サブスクリプションに完全にアクセスできます。 このアクセスにより、顧客の Azure リソースのプロビジョニングと管理を行うことができます。

    顧客向けの Azure CSP サブスクリプションを作成するときに、サブスクリプション レベルの管理者特権を取得します。

CSP 管理者特権を回復する: アクション

お客様と顧客はそれぞれ、CSP 管理者特権を回復するために実行するアクションを持っています。 このセクションでは、 実行するアクション について説明します。

CSP 管理特権を回復するには:

  1. パートナー センターにサインインし、[顧客] を選択します

  2. 顧客リストで、[リセラー関係の要求] を選択します。

  3. [委任された管理特権] チェック ボックスの場合:

    • 委任された管理者特権 との 関係を確立するには、このチェック ボックスをオンのままにします。
    • 委任された管理者特権 なしで リレーションシップを確立するには、このチェック ボックスをオフにします。

    パートナー センターの [リレーションシップ要求の作成] ページのスクリーンショット。

  4. 下書きのメール招待状を確認します。

    • [ メールで開く ] を選択して、既定のメール アプリケーションで下書き招待状を開きます。
    • [ クリップボードにコピー] を 選択して、招待をコピーして電子メール メッセージに貼り付けます。

    重要

    下書きメール メッセージのテキストは編集できますが、顧客をアカウントに直接リンクするため、 パーソナライズされたリンクを必ず含 めてください。

  5. [完了] を選択します。

  6. 招待メールを顧客に送信します。

    注意

    要求を受け入れるには、顧客の組織内のユーザーが顧客のテナントの グローバル管理者 である必要があります。

    • 顧客は、メールで受信したリンクを選択します。 リンクをクリックすると、招待を承諾できる Microsoft 管理 センターに移動します。

    • 顧客が招待を承諾すると、パートナー センターの [顧客] ページに顧客が表示され、そこから顧客のサービスのプロビジョニングと管理を行うことができるようになります。

  7. 指定されたリンクを使用して顧客がリセラー関係への招待を承認したら、パートナー テナントに接続して AdminAgents グループを取得 object ID します。

    Connect-AzAccount -Tenant "Partner tenant"
    # Get Object ID of AdminAgents group
    Get-AzADGroup -DisplayName AdminAgents
    
  8. 顧客に次のものがあることを確認します。

    • 所有者またはユーザー アクセス管理者のロール
    • サブスクリプション レベルでロールの割り当てを作成するためのアクセス許可

CSP 管理者特権を回復する: 顧客のアクション

このセクションでは、CSP 管理者特権を回復するための 顧客の アクションについて説明します。

CSP 管理者特権の再提供を完了するために、お客様は PowerShell または Azure CLI を使用して次の手順を実行します。

  1. お客様は PowerShell を使用してモジュールを Az.Resources 更新します。

    Update-Module Az.Resources
    
  2. 顧客は、CSP サブスクリプションが存在するテナントに接続します。

    Connect-AzAccount -TenantID "<Customer tenant>"
    
    az login --tenant <Customer tenant>
    
  3. 顧客がサブスクリプションに接続します。

    この手順は、ユーザーがテナント内の複数のサブスクリプションに対するロール割り当てアクセス許可を持っている場合 にのみ 適用されます。

    Set-AzContext -SubscriptionID <"CSP Subscription ID">
    
    az account set --subscription <CSP Subscription ID>
    
  4. 顧客がロールの割り当てを作成します。

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName "Owner" -Scope "/subscriptions/'<CSP subscription ID>'"
    
    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>"
    

サブスクリプション レベルで所有者のアクセス許可を付与する代わりに、リソース グループまたはリソース レベルでアクセス許可を付与できます。

  • リソース グループ レベルの場合

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/'SubscriptionID of CSP subscription'/resourceGroups/'Resource group name'"
    
    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>//resourceGroups/<Resource group name>"
    
  • リソース レベルの場合

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>"
    
    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>"
    

顧客の手順のトラブルシューティング

顧客が上記の手順を完了できない場合は、次のコマンドを提案し、結果の newRoleAssignment.log ファイルを Microsoft に提供して詳細な分析を行います。

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

CSP 管理者特権を回復する: PowerShell catchall プロシージャ

前のセクションの手順が機能しない場合、または試行中にエラーが発生した場合は、次の "catchall" 手順を試して、お客様の管理者権限を回復してください。

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

"catchall" プロシージャが Import-Module失敗した場合は、次の手順を試してください。

  • モジュールが使用中であることを理由にインポートが失敗した場合は、すべてのウィンドウを閉じてから再度開くことで PowerShell セッションを再起動します。
  • Get-Module Az.Resources -ListAvailableAz.Resources のバージョンを確認します。
    • バージョン 4.1.1 が使用可能な一覧にない場合は、次を使用 Update-Module Az.Resources -Forceする必要があります。
  • エラーが特定のバージョンである必要があることを示しているAz.Accounts場合は、そのモジュールも更新して置き換えますAz.ResourcesAz.Accounts。 その後、PowerShell セッションを再起動する必要があります。

次の手順