顧客の Azure CSP サブスクリプションの管理者特権を復元するReinstate admin privileges for a customer's Azure CSP subscriptions

該当するロールApplicable roles

  • グローバル管理者Global admin
  • 管理エージェントAdmin agent

CSP パートナーの顧客は、自分の Azure の使用状況とシステムを、自分の代わりに CSP パートナーに管理してもらうことを望む場合がよくあります。As a CSP partner your customers often expect that you will manage their Azure usage and their systems for them. これを行うには、管理者特権が必要です。Doing so requires you to have admin privileges. 一部の特権は、顧客とのリセラーの関係が確立されると付与されます。Some privileges are granted these when your reseller relationship with the customer is established. それ以外は、顧客によってパートナーに付与されます。Others are granted to you by your customer.

CSP での Azure に対する管理者特権Admin privileges for Azure in CSP

CSP では Azure に対して 2 つのレベルの管理者特権があります。There are two levels of admin privileges for Azure in CSP.

テナント レベルの管理者特権 (委任された管理者特権) - CSP パートナーは、顧客との CSP リセラーの関係を確立する際に、これらの特権を取得します。Tenant level admin privileges (Delegated admin privileges) - CSP partners get these privileges while establishing CSP reseller relationship with customers. これにより、CSP パートナーは顧客のテナントにアクセスできるようになり、ユーザーの追加/管理、パスワードのリセット、ユーザー ライセンスの管理などの管理機能を実行できます。This gives CSP partners access to their customers' tenants, which allows them to perform administrative functions such as add/manage users, reset passwords and manage user licenses.

サブスクリプション レベルの管理者特権 - CSP パートナーは、顧客のための Azure CSP サブスクリプションを作成する際に、これらの特権を取得します。Subscription level admin privileges - CSP partners get these privileges while creating Azure CSP subscriptions for their customers. これらの特権により、CSP パートナーはこれらのサブスクリプションに完全にアクセスできるようになり、Azure リソースのプロビジョニングと管理を行うことができます。Having these privileges gives CSP partners complete access to these subscriptions, which allows them to provision and manage Azure resources.

CSP パートナーの管理者特権を復元するReinstate CSP partners' admin privileges

委任された管理者特権を回復するには、顧客と協力する必要があります。To regain delegated admin privileges, you need to work with your customer.

  1. パートナー センター ダッシュボードにサインインし、パートナー センター メニューから [顧客] を選択します。Sign in to Partner Center dashboard and from the Partner Center menu, select Customers.

  2. 協力する顧客を選択し、 [リセラーの関係を要求する] を選択します。Select the customer you are working with and request a reseller relationship. これにより、テナント管理者権限を持つ顧客へのリンクが生成されます。This generates a link to the customer who has tenant admin rights.

  3. そのユーザーはリンクを選択し、リセラーの関係の要求を承認する必要があります。That user needs to select the link and approve the reseller relationship request.

    リセラーの関係

Azure CSP サブスクリプションの所有者として管理者エージェント グループを追加するAdding the admin agents group as an owner for the Azure CSP subscription

貴社の顧客は、Azure CSP サブスクリプション、リソース グループ、またはリソースの所有者として、貴社の管理者エージェント グループを追加する必要があります。Your customer will need to add your admin agent group as the owner of a Azure CSP subscription, a Resource group or a resource.

  1. PowerShell コンソールまたは PowerShell Integrated Scripting Environment (ISE) のいずれかを使用します。Use either PowerShell Console or PowerShell Integrated Scripting Environment(ISE). AzureAD モジュールがインストールされていることを確認します。Ensure that AzureAD modules are installed.

  2. Azure AD テナントに接続します。Connect to your Azure AD Tenant.

    Connect-AzureAD
    
  3. 管理者エージェント グループの ObjectId を取得します。Get ObjectId of the Admin Agents groups.

    Get-AzureADGroup
    

    次の手順は、顧客の会社の、Azure CSP サブスクリプションに対する所有者アクセス権を持つユーザーが実行します。The following steps are performed by the user in your customer's company who has owner access to the Azure CSP subscription.

  4. Azure CSP サブスクリプションへの所有者アクセス権を持つユーザーは、自分の資格情報を使用して Azure にサインインします。The user with owner access to the Azure CSP subscription, signs into Azure using her credentials.

    Connect-AzureRmAccount
    
  5. その後、適切なリソース URI を Scope パラメーターに適用して、貴社の管理者エージェント グループを所有者として CSP Azure サブスクリプション、リソース グループ、またはリソースに追加できます。She can then add your admin agent group as owner to the CSP Azure subscription, Resource group or Resource by applying a proper Resource Uri in Scope parameter.

    # Grant owner role at subscription level
    New-AzureRmRoleAssignment -ObjectId <Object Id that you got from step 3> -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionId of CSP subscription>"
    
    # Grant owner role at resource group level
    New-AzureRmRoleAssignment -ObjectId <Object Id that you got from step 3> -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionId of CSP subscription>/resourceGroups/<Resource group name>"
    
    # Grant owner role at resource level
    New-AzureRmRoleAssignment -ObjectId <Object Id that you got from step 3> -RoleDefinitionName Owner -Scope "<Resource Uri>"
    

次の手順Next steps

Azure プランのサブスクリプションとリソースを管理するManage subscriptions and resources under the Azure plan