恢复客户的 Azure CSP 订阅的管理员权限
相应的角色全局管理员 | 管理员代理
由于你是云解决方案提供商 (CSP) 计划合作伙伴,你的客户通常会依赖于你来管理他们的 Azure 使用情况和系统。 你必须具有管理员权限才能帮助他们。 如果你还没有管理员权限,可以请求客户恢复权限。
CSP 计划中的 Azure 管理员权限
当你与客户建立经销商关系时,会自动授予某些管理员权限。 其他必须由客户授予你。
CSP 中有两个级别的 Azure 管理员权限:
租户级管理员权限 (即 ,委派的管理员权限) 授予对客户租户的访问权限。 通过此委派访问权限,可以执行管理功能,例如添加和管理用户、重置密码以及管理用户许可证。
在与客户建立 CSP 经销商关系时,可以获得租户级管理员权限。
订阅级别的管理员权限为你提供客户 Azure CSP 订阅的完全访问权限。 此访问权限使你能够预配和管理其 Azure 资源。
为客户创建 Azure CSP 订阅时,可获得订阅级管理员权限。
恢复 CSP 管理员权限:操作
你和你的客户都有要执行的操作来恢复 CSP 管理员权限。 本部分 介绍要执行的操作 。
若要恢复 CSP 管理员权限,请使用以下步骤:
登录到 合作伙伴中心 ,然后选择“ 客户”。
在 “客户列表”上,选择“ 请求经销商关系”。
对于“委派管理员权限”检查框:
- 保留选中“检查”框以建立与委派管理员权限的关系。
- 清除“检查”框以在没有委派的管理员权限的情况下建立关系。
查看电子邮件邀请草稿。
- 选择“ 在电子邮件中打开 ”,在默认电子邮件应用程序中打开草稿邀请。
- 选择“ 复制到剪贴板 ”,将邀请复制并粘贴到电子邮件中。
重要
您可以编辑草稿电子邮件中的文本,但 请务必包含个性化链接, 因为它将客户直接链接到你的帐户。
选择“完成” 。
向客户发送电子邮件邀请。
注意
为了能够接受请求,客户组织中的人员必须是客户租户的 全局管理员 。
客户选择他们在电子邮件中收到的链接。 该链接会将他们带到 Microsoft 管理员 中心,他们可以在那里接受你的邀请。
客户接受邀请后,他们会出现在合作伙伴中心的“客户”页面上,你将能够从中为客户预配和管理服务。
客户使用提供的链接批准经销商关系邀请后,连接到合作伙伴租户以获取
object ID
AdminAgents 组的 。Connect-AzAccount -Tenant "Partner tenant" # Get Object ID of AdminAgents group Get-AzADGroup -DisplayName AdminAgents
确保客户具有:
- “所有者”或“用户访问管理员”角色
- 在订阅级别创建角色分配的权限
恢复 CSP 管理员权限:客户操作
本部分介绍 客户 恢复 CSP 管理员权限的操作。
若要完成 CSP 管理员权限的恢复,客户使用 PowerShell 或 Azure CLI 执行以下步骤:
客户使用 PowerShell 更新
Az.Resources
模块。Update-Module Az.Resources
客户连接到 CSP 订阅所在的租户。
Connect-AzAccount -TenantID "<Customer tenant>"
az login --tenant <Customer tenant>
客户连接到订阅。
仅当用户对租户中的多个订阅具有角色分配权限时,此步骤 才 适用。
Set-AzContext -SubscriptionID "<CSP Subscription ID>"
az account set --subscription <CSP Subscription ID>
客户创建角色分配。
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
可以在资源组或资源级别授予所有者权限,而不是在订阅级别授予所有者权限:
在资源组级别
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
在资源级别
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
排查客户步骤问题
如果客户无法完成上述步骤,建议使用以下命令,并将生成的 newRoleAssignment.log
文件提供给 Microsoft 进行进一步分析:
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log
恢复 CSP 管理员权限:PowerShell catchall 过程
如果上述部分中的步骤不起作用,或者尝试时出现错误,请尝试以下“catchall”过程以恢复客户的管理员权限:
Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"
如果 “catchall” 过程在 失败 Import-Module
,请尝试以下步骤:
- 如果导入失败是因为模块正在使用中,请关闭并重新打开所有窗口,重启 PowerShell 会话。
- 使用
Get-Module Az.Resources -ListAvailable
检查Az.Resources
的版本。- 如果版本 4.1.1 不在可用列表中,则必须使用
Update-Module Az.Resources -Force
。
- 如果版本 4.1.1 不在可用列表中,则必须使用
- 如果错误指出
Az.Accounts
必须是特定版本,请同时更新该模块,并将Az.Resources
Az.Accounts
替换为 。 然后必须重启 PowerShell 会话。
后续步骤
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈