將合作夥伴識別碼連結至用來管理客戶的帳戶

  • 文章

Microsoft 合作夥伴提供服務,協助客戶使用 Microsoft 產品達成商務和任務目標。 當合作夥伴代表客戶管理、設定及支援 Azure 服務時,合作夥伴使用者將需要存取客戶的環境。 當合作夥伴使用合作夥伴 管理員 連結(PAL)時,他們可以將其合作夥伴網路標識碼與用於服務傳遞的認證產生關聯。

PAL 可讓 Microsoft 識別並辨識推動 Azure 客戶成功的合作夥伴。 Microsoft 可以根據帳戶的許可權(Azure 角色)和範圍(訂用帳戶、資源群組、資源群組、資源),將影響和 Azure 取用的收入歸因於您的組織。 如果群組具有 Azure RBAC 存取權,則會針對群組中的所有用戶辨識 PAL。

從您的客戶取得存取權

在連結合作夥伴識別碼之前,您的客戶必須使用下列其中一個選項來提供其 Azure 資源的存取權:

  • 來賓使用者:您的客戶可以將您新增為來賓使用者,並指派任何 Azure 角色。 如需詳細資訊,請參閱 從另一個目錄新增來賓使用者。

  • 目錄帳戶:您的客戶可以在自己的目錄中為您建立用戶帳戶,並指派任何 Azure 角色。

  • 服務主體:您的客戶可以在其目錄中新增應用程式或腳本,並指派任何 Azure 角色。 應用程式或腳本的身分識別稱為服務主體。

  • Azure Lighthouse:您的客戶可以委派訂用帳戶(或資源群組),讓使用者可以從租用戶內處理。 如需詳細資訊,請參閱 Azure Lighthouse

當您能夠存取客戶的資源時,請使用 Azure 入口網站、PowerShell 或 Azure CLI,將您的合作夥伴識別碼連結至您的使用者識別碼或服務主體。 連結每個客戶租使用者中的合作夥伴識別碼。

  1. 移至 Azure 入口網站 中的合作夥伴標識碼連結。

  2. 登入 Azure 入口網站。

  3. 輸入 Microsoft 合作夥伴識別碼。 合作夥伴標識碼是 貴組織的 Microsoft Cloud 合作夥伴計劃 標識碼。 請務必使用 合作夥伴配置檔上顯示的相關聯合作夥伴 標識碼。

    顯示合作夥伴識別碼連結的螢幕快照。

  4. 若要連結另一個客戶的合作夥伴標識碼,請切換目錄。 在 [切換目錄] 底下,選取您的目錄。

    顯示 Switch 目錄的螢幕快照。

  1. 安裝 Az.ManagementPartner PowerShell 模組。

  2. 使用用戶帳戶或服務主體登入客戶的租使用者。 如需詳細資訊,請參閱 使用PowerShell登入。

     C:\> Connect-AzAccount -TenantId XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

  3. 連結至新的合作夥伴識別碼。 合作夥伴標識碼是 貴組織的 Microsoft Cloud 合作夥伴計劃 標識碼。 請務必使用 合作夥伴配置檔上顯示的相關聯合作夥伴 標識碼。

    C:\> New-AzManagementPartner -PartnerId 12345

取得連結的合作夥伴識別碼

C:\> Get-AzManagementPartner

更新連結的合作夥伴識別碼

C:\> Update-AzManagementPartner -PartnerId 12345

刪除連結的合作夥伴識別碼

C:\> Remove-AzManagementPartner -PartnerId 12345

  1. 安裝 Azure CLI 延伸模組。

    C:\ az extension add --name managementpartner

  2. 使用用戶帳戶或服務主體登入客戶的租使用者。 如需詳細資訊,請參閱 使用 Azure CLI 登入。

    C:\ az login --tenant <tenant>

  3. 連結至新的合作夥伴識別碼。 合作夥伴標識碼是 貴組織的 Microsoft Cloud 合作夥伴計劃 標識碼。

    C:\ az managementpartner create --partner-id 12345

取得連結的合作夥伴識別碼

C:\ az managementpartner show

更新連結的合作夥伴識別碼

C:\ az managementpartner update --partner-id 12345

刪除連結的合作夥伴識別碼

C:\ az managementpartner delete --partner-id 12345

常見問題集

需要哪些 PAL 身分識別許可權才能顯示營收?

PAL 可以和資源實例一樣細微。 例如,單一虛擬機。 不過,PAL 是在用戶帳戶上設定。 Azure 耗用量營收 (ACR) 量測的範圍是使用者帳戶在環境中擁有的任何系統管理許可權。 系統管理範圍可以是使用標準 Azure RBAC 角色的訂用帳戶、資源群組或資源實例。

換句話說,所有 RBAC 角色都可以發生 PAL 關聯。 角色會決定合作夥伴獎勵的資格。 如需資格的詳細資訊,請參閱 合作夥伴獎勵

例如,如果您是合作夥伴,您的客戶可能會雇用您執行專案。 您的客戶可以提供系統管理帳戶來部署、設定及支援應用程式。 您的客戶可以將資源群組的存取範圍設定為範圍。 如果您使用 PAL 並將 MPN 識別碼與系統管理帳戶產生關聯,Microsoft 會測量資源群組內服務所耗用的收入。

如果刪除或停用用於 PAL 的 Microsoft Entra 身分識別,ACR 屬性就會在相關聯的資源上停止合作夥伴。

各種合作夥伴計劃對於 RBAC 角色有不同的規則。 請連絡合作夥伴開發管理員,以取得 PAL 時所需的特定 Azure RBAC 角色規則,以便實現 ACR 屬性。

如需詳細資訊,請參閱

神秘 可以鏈接合作夥伴識別碼嗎?

管理客戶 Azure 資源之合作夥伴組織的任何使用者都可以將合作夥伴識別碼連結至帳戶。

合作夥伴標識碼在鏈接之後是否可以變更?

是。 鏈接的合作夥伴識別碼可以變更、新增或移除。

其他合作夥伴或客戶是否可以編輯或移除合作夥伴標識碼的連結?

連結會在用戶帳戶層級建立關聯。 只有您可以編輯或移除合作夥伴識別碼的連結。 客戶和其他合作夥伴無法變更合作夥伴識別碼的連結。

如果我的公司有多個合作夥伴標識碼,我應該使用哪一個合作夥伴標識符?

請務必使用 合作夥伴配置檔中顯示的相關聯合作夥伴識別碼

哪裡可以找到連結合作夥伴標識碼的受影響營收報告?

雲端產品效能報告可供合作夥伴在 My Insights 儀錶板的合作夥伴使用。 您必須選取 [合作夥伴 管理員 連結] 作為合作夥伴關聯類型。

為什麼我在報告中看不到我的客戶?

由於下列原因,您無法在報告中看到客戶

  1. 鏈接的用戶帳戶在任何客戶 Azure 訂用帳戶或資源上都沒有 Azure 角色型存取控制 (Azure RBAC )。

  2. 使用者具有 Azure 角色型存取權 (Azure RBAC) 存取權的 Azure 訂用帳戶沒有任何使用方式。

如果使用者在多個客戶租使用者中有帳戶,該怎麼辦?

合作夥伴標識碼與帳戶之間的連結會針對每個客戶租使用者完成。 連結每個客戶租使用者中的合作夥伴識別碼。

不過,如果您要透過 Azure Lighthouse 管理客戶資源,您應該使用可存取客戶資源的帳戶,在服務提供者租使用者中建立連結。

如果我的公司使用,如何? 連結我的合作夥伴標識符Azure Lighthouse 可存取客戶資源?

若要辨識 Azure Lighthouse 活動,您必須將合作夥伴識別碼與至少一個可存取您上線客戶訂用帳戶的用戶帳戶產生關聯。 您的服務提供者租使用者中需要關聯,而不是在每個客戶租使用者中。

為了簡單起見,建議您在租使用者中建立服務主體帳戶,將它與您的合作夥伴標識元建立關聯,然後將您上線 的每個客戶存取權授與符合合作夥伴所獲得點數資格的 Azure 內建角色。

如果您已將客戶上線,您可以將合作夥伴標識碼連結至已擁有該客戶租使用者工作許可權的用戶帳戶,讓您不需要執行另一個部署。

如需詳細資訊,請參閱 將客戶上線至 Azure Lighthouse

鏈接合作夥伴識別碼是否可與 Azure Stack 搭配運作?

是,您可以連結 Azure Stack 的合作夥伴識別碼。

如何? 向客戶解釋合作夥伴 管理員 連結 (PAL) 嗎?

合作夥伴 管理員 連結 (PAL) 可讓 Microsoft 識別及辨識那些協助客戶達成商務目標並實現雲端價值的合作夥伴。 客戶必須先提供其 Azure 資源的合作夥伴存取權。 授與存取權之後,合作夥伴的 Microsoft Cloud Partner 計劃識別碼就會相關聯。 此關聯可協助 Microsoft 瞭解 IT 服務提供者的生態系統,並改進最佳支持我們共同客戶所需的工具和計劃。

PAL 會收集哪些數據?

與現有認證的 PAL 關聯不會為 Microsoft 提供新的客戶數據。 它只會將資訊提供給 Microsoft,讓合作夥伴積极參與客戶的 Azure 環境。 Microsoft 可以根據客戶提供給合作夥伴的許可權(Azure 角色)和範圍(管理群組、訂用帳戶、資源群組、資源群組、資源),將客戶環境的影響和 Azure 取用的收入歸因於合作夥伴組織。

這會影響客戶 Azure 環境的安全性嗎?

PAL 關聯只會將合作夥伴的標識碼新增至已布建的認證,而且不會變更任何許可權(Azure 角色),也不會將其他 Azure 服務數據提供給合作夥伴或 Microsoft。

如果刪除 PAL 身分識別,會發生什麼事?

如果已刪除也稱為 MPN 識別碼的合作夥伴網路識別碼,則包括 Azure 取用營收 (ACR) 屬性在內的所有辨識機制都會停止運作。

下一步

加入 Microsoft 合作夥伴社群中的討論,以接收更新或傳送意見反應。