顧客の Azure CSP サブスクリプションの管理者特権を復元する

  • [アーティクル]

対象のロール: グローバル管理者 | 管理エージェント

クラウド ソリューション プロバイダー (CSP) プログラム パートナーの顧客は、Azure の使用状況とシステムを代わりに CSP パートナーに管理してもらうことを望む場合がよくあります。 それらを支援するには、管理者特権が必要です。 まだ管理者特権を持っていない場合は、顧客と協力してそれらを回復できます。

CSP プログラムでの Azure に対する管理者特権

一部の管理者特権は、顧客とのリセラー関係を確立すると自動的に付与されます。 その他のユーザーは、顧客から付与される必要があります。

CSP の Azure には、次の 2 つのレベルの管理者特権があります。

  • テナント レベルの管理者特権 ( つまり、委任された管理者特権) を使用すると、顧客のテナントにアクセスできます。 この委任されたアクセスにより、ユーザーの追加と管理、パスワードのリセット、ユーザー ライセンスの管理などの管理機能を実行できます。

    顧客との CSP リセラー関係を確立すると、テナント レベルの管理者特権が得られます。

  • サブスクリプション レベルの管理者特権があると、顧客の Azure CSP サブスクリプションに完全にアクセスできます。 このアクセスにより、顧客の Azure リソースのプロビジョニングと管理を行うことができます。

    顧客向けの Azure CSP サブスクリプションを作成するときに、サブスクリプション レベルの管理者特権を取得します。

CSP 管理者特権を復元する: アクション

お客様と顧客はそれぞれ、CSP 管理者特権を回復するために実行するアクションを持っています。 このセクションでは、 実行 するアクションについて説明します。

CSP 管理者特権を復元するには、次の手順に従います。

  1. パートナー センターにサインインし、[顧客] を選択します

  2. [ 顧客一覧] で、[ リセラー関係を要求する] を選択します。

  3. [委任された管理特権] チェック ボックスの場合:

    • 委任された管理者特権 を持つ リレーションシップを確立するには、このチェック ボックスをオンのままにします。
    • 委任された管理者特権 なしで リレーションシップを確立するには、このチェック ボックスをオフにします。

    パートナー センターの [リレーションシップ要求の作成] ページのスクリーンショット。

  4. 下書きメールの招待を確認します。

    • [ メールで開く ] を選択して、既定のメール アプリケーションで下書きの招待を開きます。
    • [ クリップボードにコピー] を 選択して、招待をコピーしてメール メッセージに貼り付けます。

    重要

    下書きメール メッセージのテキストは編集できますが、顧客をアカウントに直接リンクするため、 カスタマイズされたリンクを含めるようにしてください

  5. [Done] を選択します。

  6. 招待メールを顧客に送信します。

    Note

    要求を受け入れるには、顧客の組織内のユーザーが顧客のテナントの グローバル管理者 である必要があります。

    • 顧客は、メールで受信したリンクを選択します。 リンクをクリックすると、招待を承諾できる Microsoft 管理 センターに移動します。

    • 顧客が招待を承諾すると、パートナー センターの [顧客] ページに顧客が表示され、そこから顧客のサービスのプロビジョニングと管理を行うことができるようになります。

  7. 顧客が提供されたリンクを使用してリセラー関係の招待を承認したら、パートナー テナントに接続して AdminAgents グループの を object ID 取得します。

    Connect-AzAccount -Tenant "Partner tenant"
# Get Object ID of AdminAgents group
Get-AzADGroup -DisplayName AdminAgents

  8. 顧客に次のものがあることを確認します。

    • 所有者またはユーザー アクセス管理者のロール
    • サブスクリプション レベルでロールの割り当てを作成するためのアクセス許可

CSP 管理者特権を回復する: 顧客のアクション

このセクションでは、CSP 管理者特権を回復するための 顧客の アクションについて説明します。

CSP 管理者特権の復元を完了するために、お客様は PowerShell または Azure CLI を使用して次の手順を実行します。

  1. お客様は PowerShell を使用してモジュールを Az.Resources 更新します。

    Update-Module Az.Resources

  2. 顧客は、CSP サブスクリプションが存在するテナントに接続します。

    Connect-AzAccount -TenantID "<Customer tenant>"

    az login --tenant <Customer tenant>

  3. 顧客がサブスクリプションに接続します。

    この手順は、ユーザーがテナント内の複数のサブスクリプションに対するロールの割り当てアクセス許可を持っている場合 にのみ 適用されます。

    Set-AzContext -SubscriptionID "<CSP Subscription ID>"

    az account set --subscription <CSP Subscription ID>

  4. 顧客がロールの割り当てを作成します。

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"

    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"

サブスクリプション レベルで所有者のアクセス許可を付与する代わりに、リソース グループまたはリソース レベルで付与できます。

  • リソース グループ レベルの場合

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"

    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"

  • リソース レベルの場合

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"

    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"

お客様の手順のトラブルシューティング

顧客が上記の手順を完了できない場合は、次のコマンドを提案し、結果の newRoleAssignment.log ファイルを Microsoft に提供して詳細な分析を行います。

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

CSP 管理者特権を回復する: PowerShell catchall プロシージャ

前のセクションの手順が機能しない場合、またはエラーが発生した場合は、次の "catchall" 手順を試して、顧客の管理者権限を復元してください。

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

"catchall" プロシージャが で Import-Module失敗した場合は、次の手順を試してください。

  • モジュールが使用中であることを理由にインポートが失敗した場合は、すべてのウィンドウを閉じてから再度開くことで PowerShell セッションを再起動します。
  • Get-Module Az.Resources -ListAvailableAz.Resources のバージョンを確認します。
    • バージョン 4.1.1 が使用可能な一覧にない場合は、 を使用 Update-Module Az.Resources -Forceする必要があります。
  • エラーで特定のバージョンである必要があることを示すAz.Accounts場合は、そのモジュールも更新し、 を にAz.Accounts置き換えますAz.Resources。 その後、PowerShell セッションを再起動する必要があります。

次の手順