恢复客户的 Azure CSP 订阅的管理员权限

项目
08/01/2023

相应的角色全局管理员 | 管理员代理

由于你是云解决方案提供商 (CSP) 计划合作伙伴，你的客户通常会依赖于你来管理他们的 Azure 使用情况和系统。你必须具有管理员权限才能帮助他们。如果你还没有管理员权限，可以请求客户恢复权限。

CSP 计划中的 Azure 管理员权限

当你与客户建立经销商关系时，会自动授予某些管理员权限。其他必须由客户授予你。

CSP 中有两个级别的 Azure 管理员权限：

租户级管理员权限 (即 ，委派的管理员权限) 授予对客户租户的访问权限。通过此委派访问权限，可以执行管理功能，例如添加和管理用户、重置密码以及管理用户许可证。

在与客户建立 CSP 经销商关系时，可以获得租户级管理员权限。
订阅级别的管理员权限为你提供客户 Azure CSP 订阅的完全访问权限。此访问权限使你能够预配和管理其 Azure 资源。

为客户创建 Azure CSP 订阅时，可获得订阅级管理员权限。

恢复 CSP 管理员权限：操作

你和你的客户都有要执行的操作来恢复 CSP 管理员权限。本部分 介绍要执行的操作 。

若要恢复 CSP 管理员权限，请使用以下步骤：

登录到合作伙伴中心，然后选择“ 客户”。
在 “客户列表”上，选择“ 请求经销商关系”。
对于“委派管理员权限”检查框：
- 保留选中“检查”框以建立与委派管理员权限的关系。
- 清除“检查”框以在没有委派的管理员权限的情况下建立关系。
查看电子邮件邀请草稿。
- 选择“ 在电子邮件中打开 ”，在默认电子邮件应用程序中打开草稿邀请。
- 选择“ 复制到剪贴板 ”，将邀请复制并粘贴到电子邮件中。
重要

您可以编辑草稿电子邮件中的文本，但 请务必包含个性化链接， 因为它将客户直接链接到你的帐户。
选择“完成” 。
向客户发送电子邮件邀请。

注意

为了能够接受请求，客户组织中的人员必须是客户租户的 全局管理员 。
- 客户选择他们在电子邮件中收到的链接。该链接会将他们带到 Microsoft 管理员中心，他们可以在那里接受你的邀请。
- 客户接受邀请后，他们会出现在合作伙伴中心的“客户”页面上，你将能够从中为客户预配和管理服务。
客户使用提供的链接批准经销商关系邀请后，连接到合作伙伴租户以获取 object ID AdminAgents 组的。
```
Connect-AzAccount -Tenant "Partner tenant"
# Get Object ID of AdminAgents group
Get-AzADGroup -DisplayName AdminAgents
```
确保客户具有：
- “所有者”或“用户访问管理员”角色
- 在订阅级别创建角色分配的权限

恢复 CSP 管理员权限：客户操作

本部分介绍客户恢复 CSP 管理员权限的操作。

若要完成 CSP 管理员权限的恢复，客户使用 PowerShell 或 Azure CLI 执行以下步骤：

客户使用 PowerShell 更新 Az.Resources 模块。
```
Update-Module Az.Resources
```

客户连接到 CSP 订阅所在的租户。

Connect-AzAccount -TenantID "<Customer tenant>"

az login --tenant <Customer tenant>

客户连接到订阅。

仅当用户对租户中的多个订阅具有角色分配权限时，此步骤才适用。
```
Set-AzContext -SubscriptionID "<CSP Subscription ID>"
```
```
az account set --subscription <CSP Subscription ID>
```

客户创建角色分配。

New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"

az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"

可以在资源组或资源级别授予所有者权限，而不是在订阅级别授予所有者权限：

在资源组级别

New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"

az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"

在资源级别

New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"

az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"

排查客户步骤问题

如果客户无法完成上述步骤，建议使用以下命令，并将生成的 newRoleAssignment.log 文件提供给 Microsoft 进行进一步分析：

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

恢复 CSP 管理员权限：PowerShell catchall 过程

如果上述部分中的步骤不起作用，或者尝试时出现错误，请尝试以下“catchall”过程以恢复客户的管理员权限：

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

如果 “catchall” 过程在失败 Import-Module，请尝试以下步骤：

如果导入失败是因为模块正在使用中，请关闭并重新打开所有窗口，重启 PowerShell 会话。
使用 Get-Module Az.Resources -ListAvailable 检查 Az.Resources 的版本。
- 如果版本 4.1.1 不在可用列表中，则必须使用 Update-Module Az.Resources -Force。
如果错误指出 Az.Accounts 必须是特定版本，请同时更新该模块，并将 Az.ResourcesAz.Accounts替换为。然后必须重启 PowerShell 会话。

后续步骤

管理 Azure 计划中的订阅和资源