Vincular uma ID de parceiro à sua conta usada para gerenciar clientes

Os parceiros da Microsoft oferecem serviços que ajudam os clientes a alcançar objetivos de negócios e de missão usando produtos da Microsoft. Quando um parceiro age em nome do cliente que gerencia, configura e dá suporte aos serviços do Azure, os usuários do parceiro precisarão de acesso ao ambiente do cliente. Quando os parceiros usam o PAL (Link do Partner Admin), eles podem associar sua ID de rede de parceiro deles às credenciais usadas para entrega do serviço.

O PAL permite que a Microsoft identifique e reconheça os parceiros que impulsionam o sucesso dos clientes do Azure. A Microsoft pode atribuir a influência e a receita consumida do Azure à sua organização com base nas permissões da conta (função do Azure) e no escopo (assinatura, grupo de recursos, recursos). Se um grupo tiver acesso ao RBAC do Azure, a PAL será reconhecida para todos os usuários no grupo.

Obter o acesso do cliente

Antes de vincular sua ID de parceiro, o cliente deve oferecer acesso a seus recursos do Azure, usando uma das seguintes opções:

• Usuário convidado: Seu cliente pode adicionar você como usuário convidado e atribuir qualquer função do Azure. Para obter mais informações, consulte Adicionar usuários convidados de outro diretório.

• Conta de diretório: Seu cliente pode criar uma conta de usuário para você no próprio diretório dele e atribuir qualquer função do Azure.

• Entidade de serviço: Seu cliente pode adicionar um aplicativo ou script da organização no diretório dele e atribuir qualquer função do Azure. A identidade do aplicativo ou script é conhecida como entidade de serviço.

• Azure Lighthouse: seu cliente pode delegar uma assinatura (ou um grupo de recursos) para que os usuários possam trabalhar nela no seu locatário. Para saber mais, confira Azure Lighthouse.

Vincular à uma ID de parceiro

Quando você tem acesso aos recursos do cliente, use o portal do Azure, o PowerShell ou a CLI do Azure para vincular sua ID de Parceiro à sua ID de usuário ou entidade de serviço. Vincule a ID de Parceiro em cada locatário do cliente.

Use o portal do Azure para vincular a uma nova ID de parceiro

1. Vá para Vincular a uma ID de parceiro no portal do Azure.

2. Entre no portal do Azure.

3. Insira a ID de parceiro da Microsoft. A ID do parceiro é a ID do Programa de Parceiro do Microsoft Cloud de sua organização. Use a ID de Parceiro Associado mostrada em seu perfil de parceiro.

   

4. Para vincular a ID de parceiro a outro cliente, alterne o diretório. Em Mudar diretório, selecione o seu diretório.

   

Use o PowerShell para vincular a uma nova ID de parceiro

1. Instale o módulo do PowerShell Az.ManagementPartner.

2. Entre no locatário do cliente com a conta de usuário ou a entidade de serviço. Para obter mais informações, veja Entrar com o PowerShell.

    C:\> Connect-AzAccount -TenantId XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
   

3. Vincular a nova ID de parceiro. A ID do parceiro é a ID do Programa de Parceiro do Microsoft Cloud de sua organização. Use a ID de Parceiro Associado mostrada em seu perfil de parceiro.

   C:\> New-AzManagementPartner -PartnerId 12345
   

Obter a ID de parceiro vinculada

C:\> Get-AzManagementPartner

Atualizar a ID de parceiro vinculada

C:\> Update-AzManagementPartner -PartnerId 12345

Excluir a ID de parceiro vinculada

C:\> Remove-AzManagementPartner -PartnerId 12345

Use a CLI do Azure para vincular a uma nova ID de parceiro

1. Instale a extensão de CLI do Azure.

   C:\ az extension add --name managementpartner
   

2. Entre no locatário do cliente com a conta de usuário ou a entidade de serviço. Para obter mais informações, veja Entrar com a CLI do Azure.

   C:\ az login --tenant <tenant>
   

3. Vincular a nova ID de parceiro. A ID do parceiro é a ID do Programa de Parceiro do Microsoft Cloud de sua organização.

   C:\ az managementpartner create --partner-id 12345
   

Obter a ID de parceiro vinculada

C:\ az managementpartner show

Atualizar a ID de parceiro vinculada

C:\ az managementpartner update --partner-id 12345

Excluir a ID de parceiro vinculada

C:\ az managementpartner delete --partner-id 12345

Perguntas frequentes

Quais permissões de identidade da PAL são necessárias para mostrar receita?

A PAL pode ser granular como uma instância de recurso. Por exemplo, uma máquina virtual única. No entanto, a PAL é definida em uma conta de usuário. O escopo da medida ACR (Receita Consumida do Azure) é toda permissão administrativa que uma conta de usuário tenha no ambiente. Um escopo administrativo pode ser assinatura, grupo de recursos ou instância de recurso usando funções RBAC padrão do Azure.

Em outras palavras, a associação da lista de acesso à publicação pode acontecer para todas as funções RBAC. As funções determinam a elegibilidade para incentivos de parceiros. Para obter mais informações sobre qualificação, confira Incentivos de parceiros.

Por exemplo, se você é um parceiro, seu cliente pode contratá-lo para fazer um projeto. Seu cliente pode fornecer uma conta administrativa para implantar, configurar e dar suporte a um aplicativo. Seu cliente pode definir o escopo do acesso a um grupo de recursos. Se você usar a PAL e associar sua ID do MPN à conta administrativa, a Microsoft mede a receita consumida dos serviços no grupo de recursos.

Se a identidade do Microsoft Entra usada para a PAL for excluída ou desabilitada, será interrompida a atribuição da ACR para o parceiro nos recursos associados.

Vários programas de parceiros têm regras diferentes para as funções RBAC. Entre em contato com o Gerenciador de Desenvolvimento de Parceiros para obter regras sobre as funções RBAC do Azure específicas que são necessárias no momento da PAL para que a atribuição da ACR seja realizada.

Para obter mais informações, consulte:

• Link do Admin de Parceiros do Azure
• Seja reconhecido com o Link do Link do Admin de Parceiros

Quem pode vincular a ID de parceiro?

Qualquer usuário da organização do parceiro que gerencia os recursos do cliente pode vincular a ID de parceiro à conta.

Uma ID de parceiro pode ser alterada depois que estiver vinculada?

Sim. Uma ID de parceiro vinculada pode ser alterada, adicionada ou removida.

Outros parceiros ou clientes podem editar ou remover a vinculação à ID de parceiro?

A vinculação está associada no nível da conta de usuário. Só você pode editar ou remover a vinculação à ID de parceiro. O cliente e outros parceiros não podem alterar a vinculação à ID de parceiro.

Qual ID de Parceiro deverei usar se minha empresa tiver várias?

Use a ID de Parceiro Associado mostrada em seu perfil de parceiro.

Onde posso encontrar relatórios de receita influenciados para a ID de parceiro vinculada?

O relatório de Desempenho do Produto em Nuvem está disponível para parceiros no Partner Center no painel Meus Insights. É necessário selecionar o Link de Partner Admin como o tipo de associação de parceiro.

Por que não consigo ver meu cliente nos relatórios?

Não é possível ver o cliente nos relatórios pelos seguintes motivos

1. A conta de usuário vinculada não tem o Azure RBAC (controle de acesso baseado em função) em nenhuma assinatura ou recurso do Azure do cliente.

2. A assinatura do Azure em que o usuário tem acesso ao Azure RBAC (controle de acesso baseado em função) não tem nenhum uso.

E se um usuário tiver uma conta em vários locatários do cliente?

A vinculação entre a ID de parceiro e a conta é feita para cada locatário do cliente. Vincule a ID de parceiro em cada locatário do cliente.

No entanto, se você estiver gerenciando recursos do cliente por meio do Azure Lighthouse, deverá criar o link no locatário do provedor de serviços usando uma conta que tenha acesso aos recursos do cliente.

Como fazer para vincular minha ID de Parceiro se a minha empresa usar o Azure Lighthouse para acessar os recursos do cliente?

Para que as atividades do Azure Lighthouse sejam reconhecidas, você precisa associar a sua ID de Parceiro a pelo menos uma conta de usuário que tenha acesso a cada uma de suas assinaturas de cliente integradas. A associação é necessária no locatário do provedor de serviços, em vez de em cada locatário do cliente.

Para simplificar, recomendamos criar uma conta de entidade de serviço no locatário, associando-a à sua ID de Parceiro e, em seguida, conceder a ela acesso a todos os clientes que você integrar com uma função interna do Azure qualificada para crédito obtido pelo parceiro.

Se você já tiver integrado um cliente, poderá vincular a ID de Parceiro a uma conta de usuário que já tenha permissão para trabalhar no locatário desse cliente para que você não precise executar outra implantação.

Para obter mais informações, confira Integrar um cliente ao Azure Lighthouse.

A vinculação de uma ID de parceiro funciona com o Azure Stack?

Sim, você pode vincular sua ID de Parceiro para o Azure Stack.

Como fazer para explicar o PAL (Link de Partner Admin) ao meu cliente?

O PAL (link de Partner Admin) permite que a Microsoft identifique e reconheça os parceiros que estão ajudando os clientes a alcançar os objetivos de negócios e a perceber valor na nuvem. Os clientes precisam primeiro fornecer acesso ao recurso do Azure deles a um parceiro. Quando o acesso é permitido, a ID do Programa de Parceiro do Microsoft Cloud é associada. Essa associação ajuda a Microsoft a entender o ecossistema dos provedores de serviços de TI e a refinar as ferramentas e os programas necessários para dar um melhor suporte a nossos clientes comuns.

Quais dados são coletados pelo PAL?

A associação do PAL às credenciais existentes não fornece novos dados do cliente à Microsoft. Ela simplesmente fornece as informações à Microsoft em que um parceiro está ativamente envolvido no ambiente do Azure de um cliente. A Microsoft pode atribuir a influência e a receita consumida do Azure do ambiente do cliente à organização do parceiro com base nas permissões da conta (função do Azure) e no escopo (grupo de gerenciamento, assinatura, grupo de recursos, recursos) fornecidos ao parceiro pelo cliente.

Isso afeta a segurança do ambiente do Azure de um cliente?

A associação do PAL somente adiciona a ID do parceiro à credencial já provisionada e não altera nenhuma permissão (função do Azure) nem fornece outros dados de serviço do Azure para o parceiro nem para a Microsoft.

O que acontecerá se a identidade PAL for excluída?

Se a ID de rede do parceiro (também chamada de ID do MPN) for excluída, todos os mecanismos de reconhecimento, incluindo a atribuição de ACR (Receita Consumida do Azure), deixarão de funcionar.

Próximas etapas

Participe da discussão da Comunidade de Parceiros da Microsoft para receber atualizações ou enviar comentários.