Gerenciar assinaturas e recursos no âmbito do plano do AzureManage subscriptions and resources under the Azure plan

Ao fazer a transição de um cliente para o plano do Azure, você recebe direitos de administrador no Azure (direitos de proprietário da assinatura por meio do recurso Administrador em nome de) por padrão.When you transition a customer to the Azure plan, you are assigned privileged admin rights in Azure (subscription owner rights through admin on behalf of) by default.

Observação

Os direitos de administrador na assinatura do Azure podem ser removidos pelo cliente no âmbito da assinatura, do grupo de recursos ou da carga de trabalho.Admin rights to the Azure subscription can be removed by the customer at a subscription, resource group, or workload level.

Os parceiros podem obter controle operacional 24x7 e gerenciamento dos recursos do Azure de um cliente no CSP usando diferentes opções fornecidas por meio do recurso de RBAC (controle de acesso baseado em função).Partners can gain 24x7 operational control and management of a customer's Azure resources in CSP by using different options provided through the role-based access control feature (RBAC).

  • AOBO (Administrador em nome de) – Com o recurso AOBO, qualquer usuário com a função de agente administrativo no locatário do parceiro terá acesso de proprietário do RBAC às assinaturas do Azure que você criar por meio do programa CSP.Admin on Behalf Of (AOBO) - With AOBO, any user with the Admin Agent role in the partner tenant will have RBAC owner access to Azure subscriptions that you create through the CSP program.

  • Azure Lighthouse: O AOBO não permite a flexibilidade de criar grupos distintos que funcionem com clientes diferentes ou para habilitar funções diferentes para grupos ou usuários.Azure Lighthouse: AOBO doesn't allow the flexibility to create distinct groups that work with different customers, or to enable different roles for groups or users. Usando o Azure Lighthouse, você pode atribuir diferentes grupos a diferentes clientes ou funções.Using Azure Lighthouse, you can assign different groups to different customers or roles. Como os usuários terão o nível apropriado de acesso por meio do gerenciamento de recursos delegado do Azure, você poderá reduzir o número de usuários que têm a função de Agente Administrador (e, portanto, ter acesso total por meio do AOBO).Because users will have the appropriate level of access through Azure delegated resource management, you can reduce the number of users who have the Admin Agent role (and thus have full AOBO access). Isso ajuda a melhorar a segurança limitando o acesso desnecessário aos recursos de seus clientes.This helps improve security by limiting unnecessary access to your customers' resources. Isso também proporciona mais flexibilidade para gerenciar vários clientes em escala.It also gives you more flexibility to manage multiple customers at scale. Para obter mais informações, leia Azure Lighthouse e o programa Provedor de Soluções na Nuvem.For more information, read Azure Lighthouse and the Cloud Solution Provider program.

  • Diretório ou usuários convidados ou entidades de serviço : Você pode delegar acesso granular a assinaturas do CSP adicionando usuários no diretório Customer ou adicionando usuários convidados e atribuindo funções RBAC específicas.Directory or Guest Users or Service Principals: You can delegate granular access to CSP subscriptions by adding users in the customer directory or adding guest users and assigning specific RBAC roles.

A Microsoft recomenda que os usuários tenham as permissões mínimas necessárias para realizar seu trabalho como uma prática de segurança.Microsoft recommends that users have the minimum permissions they need to perform their work as a security practice. Confira Recursos do Azure Active Directory Privileged Identity Management.See Azure Active Directory Privileged Identity Management resources.

A tabela a seguir mostra os métodos usados para associar sua ID de parceiro a várias opções de acesso RBAC.The following table shows the methods used to associate your partner ID with various RBAC access options.

CategoriaCategory CenárioScenario Associação de ID de MPNMPN ID association
AOBOAOBO O parceiro direto do CSP ou o provedor indireto cria a assinatura para o cliente, tornando o parceiro direto do CSP ou provedor indireto o proprietário padrão da assinatura por meio do AOBO. O parceiro direto do CSP ou o provedor indireto concede acesso indireto ao revendedor à assinatura usando o AOBO.CSP direct partner or indirect provider creates the subscription for the customer making the CSP direct partner or indirect provider default owner of the subscription using AOBO.; CSP direct partner or indirect provider give indirect reseller access to the subscription using AOBO. Automático (não requer esforço do parceiro)Automatic (no partner work required)
Azure LighthouseAzure Lighthouse O parceiro cria uma nova oferta de Serviços Gerenciados no Marketplace.Partner creates a new Managed Services offer in Marketplace. Esta oferta é aceita na assinatura do CSP e o parceiro obtém acesso à assinatura do CSP.This offer is accepted on the CSP subscription and partner gets access to the CSP subscription. Automático (não requer esforço do parceiro)Automatic (no partner work required)
Azure LighthouseAzure Lighthouse O parceiro implanta o modelo ARM na assinatura do AzurePartner deploys ARM template in Azure subscription O parceiro precisa associar a ID do MPN ao usuário ou à entidade de serviço no locatário do parceiro.Partner needs to associate the MPN ID to the user or service principal in the partner tenant. Para obter mais informações – Vincular ID do Parceiro.For more information - Link Partner ID.
Diretório ou usuário convidadoDirectory or guest user O parceiro cria um novo usuário ou entidade de serviço no diretório do cliente e fornece acesso à assinatura do CSP para o usuário.Partner creates a new user or service principal in the customer directory and gives access to the CSP subscription to the user. O parceiro cria um novo usuário ou entidade de serviço no diretório do cliente.Partner creates a new user or service principal in the customer directory. O parceiro adiciona o usuário a um grupo e dá acesso à assinatura do CSP para o grupo.Partner adds the user to a group and gives access to the CSP subscription to the group. O parceiro precisa associar a ID do MPN ao usuário ou à entidade de serviço no locatário do cliente.Partner needs to associate the MPN ID to the user or service principal in the customer tenant. Para obter mais informações – Vincular ID do Parceiro.For more information - Link Partner ID.

Confirme se você tem acesso de administradorConfirm that you have admin access

Você precisa de acesso de administrador para gerenciar os serviços do cliente e receber créditos ganhos.You require admin access to manage your customer's services and to received earned credits. Leia Créditos ganhos pelo parceiro para obter informações detalhadas sobre os créditos ganhos.Read Partner earned credits for detailed information on earned credits. Você tem duas maneiras de garantir que tem acesso de administrador.You have two ways to make sure you know that you have admin access.

  • Examinar o arquivo de uso diário – isso pode ser determinado examinando o preço unitário e o preço unitário efetivo no arquivo de uso diário e confirmando se existe um desconto sendo aplicado.Review the daily usage file - This can be determined by reviewing the unit price and effective unit price within the daily usage file and confirming if a discount is being applied. Se estiver recebendo o desconto, significa que você é o administrador.If you are receiving the discount you are the admin.

  • Criar um alerta do Azure monitor – você pode criar um alerta no log de atividades do Azure Monitor para ser notificado quando o seu acesso RBAC for removido da assinatura do CSP.Create an Azure monitor alert - You can create an Azure Monitor activity log alert to be notified of when your RBAC access is removed from CSP subscription.

Criar um alerta no Azure MonitorCreate an Azure monitor alert

  1. Criar alerta.Create alert.

alerta do azure

  1. Selecione o tipo de ação que deseja que o alerta execute. Por exemplo, se especificar que deseja um email, você receberá um email de notificação se ocorrer alguma exclusão de atribuição de função.Select the type of action you want the alert to take.For example, if you specify that you want an email, you will receive an email notifying you if any role assignment deletion occurs.

configurar alerta

Remoção do AOBOAOBO removal

Os clientes podem gerenciar o acesso às suas assinaturas por meio do Controle de Acesso, no portal do Azure.Customers can manage access to their subscriptions by going to Access Control on the Azure portal. Na guia Atribuições de função, eles selecionam Remover acesso.From the Role assignments tab, they select Remove access. Se isso acontecer, você poderá:If this happens, you can:

O acesso baseado em função difere do acesso de administrador.Role-based access differs from admin access. As funções delimitam com precisão o que você pode ou não pode fazer.Roles delimit precisely what you can and can't do. O acesso de administrador é mais amplo.Admin access is broader.

Para ver as funções qualificadas para obter o PEC, leia Funções e permissões para o crédito ganho pelo parceiro.To see the roles eligible to earn PEC, read Roles and permissions for the partner earned credit.

Para saber maisFor more information