Restabelecer os privilégios de administrador para as subscrições do Azure CSP

Funções adequadas: Administrador global | agente de Administração

Como parceiro do programa Fornecedor de Soluções Cloud (CSP), os clientes dependem frequentemente de si para gerirem a utilização do Azure e os sistemas. Tem de ter privilégios de administrador para os ajudar. Se ainda não tiver privilégios de administrador, poderá trabalhar com o cliente para os restabelecer.

Privilégios de administrador para o Azure no programa CSP

Alguns privilégios de administrador são concedidos automaticamente quando estabelece uma relação de revendedor com um cliente. Os outros utilizadores têm de lhe ser concedidos por um cliente.

Existem dois níveis de privilégios de administrador para o Azure no CSP:

• Os privilégios de administrador ao nível do inquilino (ou seja, privilégios de administrador delegado) dão-lhe acesso aos inquilinos dos seus clientes. Este acesso delegado permite-lhe executar funções administrativas, como adicionar e gerir utilizadores, repor palavras-passe e gerir licenças de utilizador.

  Obtém privilégios de administrador ao nível do inquilino quando estabelece relações de revendedor CSP com os clientes.

• Os privilégios de administrador ao nível da subscrição concedem-lhe acesso completo às subscrições do Azure CSP dos clientes. Este acesso permite-lhe aprovisionar e gerir os recursos do Azure desses clientes.

  Obtém privilégios de administrador ao nível da subscrição ao criar subscrições CSP do Azure para os seus clientes.

Reintegre os privilégios de administrador do CSP: as suas ações

Cada um tem ações a realizar para restabelecer os privilégios de administrador do CSP. Esta secção descreve as ações que deve efetuar .

Para restabelecer os privilégios de administrador do CSP, utilize os seguintes passos:

1. Inicie sessão no Centro de Parceiros e selecione Clientes.

2. Na Lista de Clientes, selecione Pedir uma relação de revendedor.

3. Para a caixa de verificação Privilégios de Administração Delegados:

   • Deixe a caixa de verificação selecionada para estabelecer a relação com privilégios de administrador delegados.
   • Desmarque a caixa de verificação para estabelecer a relação sem privilégios de administrador delegados.

   

4. Reveja o convite por e-mail de rascunho.

   • Selecione Abrir por e-mail para abrir o convite de rascunho na sua aplicação de e-mail predefinida.
   • Selecione Copiar para a área de transferência para copiar e colar o convite numa mensagem de e-mail.

   Importante

   Pode editar o texto na mensagem de e-mail de rascunho, mas certifique-se de que inclui a ligação personalizada porque liga o cliente diretamente à sua conta.

5. Selecione Concluído.

6. Envie o convite por e-mail para o seu cliente.

   Nota

   Para poder aceitar o pedido, a pessoa na organização do cliente tem de ser um Administrador global do inquilino do cliente.

   • O cliente seleciona a ligação que recebeu no e-mail. A ligação direciona-os para o Microsoft Administração Center, onde podem aceitar o seu convite.

   • Após aceitar o convite, o cliente será apresentado na página Clientes no Centro de Parceiros e poderá aprovisionar e gerir o serviço em nome do cliente a partir daí.

7. Depois de o cliente aprovar o convite de relação do revendedor com a ligação fornecida, ligue-se ao inquilino do parceiro para obter o object ID do grupo AdminAgents.

   Connect-AzAccount -Tenant "Partner tenant"
   # Get Object ID of AdminAgents group
   Get-AzADGroup -DisplayName AdminAgents
   

8. Confirme que o cliente tem:

   • A função de proprietário ou administrador de acesso de utilizador
   • Permissões para criar atribuições de funções ao nível da subscrição

Restabelecer os privilégios de administrador do CSP: ações do cliente

Esta secção descreve as ações do cliente para restabelecer os privilégios de administrador do CSP.

Para concluir a reinstauração dos privilégios de administrador do CSP, o cliente utiliza o PowerShell ou a CLI do Azure para executar os seguintes passos:

1. O cliente utiliza o PowerShell para atualizar o Az.Resources módulo.

   Update-Module Az.Resources
   

2. O cliente liga-se ao inquilino no qual a subscrição CSP existe.

   Connect-AzAccount -TenantID "<Customer tenant>"
   

   az login --tenant <Customer tenant>
   

3. O cliente liga-se à subscrição.

   Este passo só é aplicável se o utilizador tiver permissões de atribuição de funções em várias subscrições no inquilino.

   Set-AzContext -SubscriptionID "<CSP Subscription ID>"
   

   az account set --subscription <CSP Subscription ID>
   

4. O cliente cria a atribuição de função.

   New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
   

   az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
   

Em vez de conceder permissões de proprietário ao nível da subscrição , podem ser concedidas ao nível do grupo de recursos ou do recurso :

• Ao nível do grupo de recursos

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
  

• Ao nível do recurso

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
  

Resolução de problemas dos passos do cliente

Se o cliente não conseguir concluir os passos anteriores, sugira o seguinte comando e forneça o ficheiro resultante newRoleAssignment.log à Microsoft para análise adicional:

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

Reponha os privilégios de administrador do CSP: Procedimento de atualização do PowerShell

Se os passos nas secções anteriores não funcionarem ou se obtiver erros ao tentar, experimente o seguinte procedimento "catchall" para restabelecer os direitos de administrador do cliente:

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

Se o procedimento "catchall" falhar em Import-Module, experimente os seguintes passos:

• Se a importação falhar porque o módulo está a ser utilizado, reinicie a sessão do PowerShell fechando e reabrindo todas as janelas.
• Verifique a versão de Az.Resources com Get-Module Az.Resources -ListAvailable.
  • Se a versão 4.1.1 não estiver na lista disponível, tem de utilizar Update-Module Az.Resources -Force.
• Se um erro indicar que Az.Accounts tem de ser uma versão específica, atualize esse módulo também, substituindo Az.Resources por Az.Accounts. Em seguida, tem de reiniciar a sessão do PowerShell.

Passos seguintes

• Manage subscriptions and resources under the Azure plan (Gerir subscrições e recursos ao abrigo do plano do Azure)