Manage subscriptions and resources under the Azure plan (Gerir subscrições e recursos ao abrigo do plano do Azure)

Funções adequadas: Agente administrativo

Este artigo explica como os parceiros Fornecedor de Soluções em Nuvem (CSP) podem usar diferentes opções de controlo de acesso baseado em funções (RBAC) para obter controlo operacional e gestão dos recursos Azure de um cliente. Quando transita um cliente para o plano do Azure, por predefinição, recebe direitos privilegiados de administrador no Azure (direitos de proprietário da subscrição através do Administrador em nome de).

Nota

Os direitos de administrador da subscrição do Azure podem sem removidos pelo cliente ao nível da subscrição, do grupo de recursos ou da carga de trabalho.

Os parceiros podem obter o controlo operacional e a gestão dos recursos do Azure de um cliente no CSP, 24 horas por dia, 7 dias por semana, ao utilizar diferentes opções disponibilizadas através da funcionalidade de controlo de acesso baseado em funções (RBAC) .

  • Administrador em Nome de (AOBO) – Com o AOBO, qualquer utilizador com a função de Agente Administrador no inquilino parceiro terá acesso de proprietário RBAC às subscrições Azure que cria através do programa CSP.

  • Azure Lighthouse: o AOBO não permite flexibilidade para criar grupos distintos que funcionem com clientes diferentes nem para ativar diferentes funções para grupos ou utilizadores. Ao utilizar o Azure Lighthouse, poderá atribuir diferentes grupos a diferentes clientes ou funções. Uma vez que os utilizadores terão o nível de acesso adequado através da gestão de recursos delegados do Azure, poderá reduzir o número de utilizadores que têm a função de Agente Administrador (e, assim, ter acesso total ao AOBO). Tal ajuda a melhorar a segurança ao limitar o acesso desnecessário aos recursos dos clientes. Também lhe oferece mais flexibilidade para gerir vários clientes em escala. Para obter mais informações, leia Azure Lighthouse e o programa Fornecedor de Soluções na Cloud.

  • Diretório ou Utilizadores convidados ou principais de serviços: Pode delegar o acesso granular às subscrições do CSP adicionando utilizadores no diretório de clientes ou adicionando utilizadores convidados e atribuindo funções específicas de RBAC.

Como prática de segurança, a Microsoft recomenda que os utilizadores tenham as permissões mínimas necessárias para fazerem o trabalho. Veja Recursos do Azure Active Directory Privileged Identity Management.

A tabela a seguir mostra os métodos utilizados para associar o seu ID ao seu parceiro com várias opções de acesso RBAC.

Categoria Cenário Associação MPN ID
AOBO O parceiro direto da CSP ou fornecedor indireto cria a subscrição para o cliente, tornando o parceiro direto da CSP ou o fornecedor indireto proprietário da subscrição utilizando a AOBO. O parceiro direto da CSP ou o fornecedor indireto dão acesso indireto ao revendedor à subscrição utilizando o AOBO. Automático (não é necessário trabalhar com parceiro)
Azure Lighthouse Parceiro cria uma nova oferta de Serviços Geridos no Marketplace. Esta oferta é aceite na subscrição da CSP e o parceiro tem acesso à subscrição da CSP. Automático (não é necessário trabalhar com parceiro)
Azure Lighthouse Parceiro implementa modelo ARM na subscrição do Azure O parceiro precisa de associar o ID mpn ao utilizador ou ao principal de serviço no inquilino sócio. Para obter mais informações, veja Ligar o seu ID de parceiro para controlar o impacto nos recursos delegados.
Diretório ou utilizador convidado O Parceiro cria um novo utilizador ou principal de serviço no diretório de clientes e dá acesso à subscrição CSP ao utilizador. O Parceiro cria um novo utilizador ou diretor de serviço no diretório de clientes. O parceiro adiciona o utilizador a um grupo e dá acesso à subscrição do CSP ao grupo. O parceiro precisa de associar o ID MPN ao utilizador ou ao principal de serviço no cliente. Para mais informações - Link Partner ID.

Confirme que tem acesso a administrador

Necessita de acesso administrativo para gerir os serviços do seu cliente e receber créditos obtidos. Leia O Parceiro ganhou créditos por informações detalhadas sobre créditos obtidos. Tem duas maneiras de se certificar de que sabe que tem acesso administrativo.

  • Reveja o ficheiro de utilização diária. Isto pode ser determinado através da revisão do preço unitário e do preço unitário efetivo dentro do ficheiro de utilização diária e confirmando se está a ser aplicado um desconto. Se está a receber o desconto, é o administrador.

  • Crie um alerta de monitor Azure. Pode criar um alerta de registo de atividade do Azure Monitor para ser notificado quando o seu acesso AO RBAC for removido da subscrição do CSP.

Criar um alerta de monitor Azure

  1. Criar alerta.

    azure alert.

  2. Selecione o tipo de ação que deseja que o alerta tome. Por exemplo, se especificar que deseja um e-mail, receberá um e-mail notificando-o caso de ocorrer alguma eliminação de funções.

    configure alert.

Remoção do AOBO

Os clientes podem gerir o acesso às suas subscrições indo ao Access Control no portal Azure. A partir do separador Funções, selecionam Remover o acesso. Se um cliente remover o seu acesso, pode:

O acesso baseado em funções difere do acesso a administrador. Os papéis delimitam precisamente o que podes ou não fazer. O acesso a administrador é mais amplo.

Para ver as funções elegíveis para ganhar PEC, leia Papéis e permissões para o parceiro ganhou crédito.

Passos seguintes