Поделиться через

Связывание идентификатора партнера с учетной записью, используемой для управления клиентами

Партнеры Microsoft предоставляют услуги, которые помогают клиентам достичь целей бизнеса и задач с помощью продуктов Microsoft. Когда партнер действует от имени клиента для управления, настройки и поддержки служб Azure, пользователям партнера потребуется доступ к среде клиента. Если партнеры используют ссылку администратора партнера (PAL), они могут связать идентификатор сети партнера с учетными данными, используемыми для доставки служб.

PAL позволяет корпорации Майкрософт выявлять и идентифицировать партнеров, которые обеспечивают успех клиентов Azure. Корпорация Майкрософт может отнести влияние и потребляемый доход Azure к вашей организации на основе разрешений учетной записи (роль Azure) и области (подписка, группа ресурсов, ресурс). Если у группы есть доступ к Azure RBAC, то пользовательское соавторство признается для всех пользователей в этой группе.

Получение доступа от клиента

Перед привязкой идентификатора партнера клиент должен предоставить вам доступ к своим ресурсам Azure. Это можно сделать с помощью одного из следующих вариантов.

  • Гостевой пользователь: клиент может добавить вас в качестве гостевого пользователя и назначить все роли Azure. Дополнительные сведения см. в статье Добавление гостевых пользователей из другого каталога.

  • Учетная запись каталога: Ваш клиент может создать для вас учетную запись пользователя в своем каталоге и назначить любую роль Azure.

  • Учетная запись службы: Ваш клиент может добавить приложение или скрипт из вашей организации в свой каталог и назначить любую роль Azure. Идентификатор приложения или сценария называют учетной записью службы.

  • Azure Lighthouse: Ваши клиенты могут делегировать подписку (или группу ресурсов), чтобы ваши пользователи могли работать с ней в рамках вашего тенанта. Для получения дополнительной информации см. Azure Lighthouse.

Если у вас есть доступ к ресурсам клиента, используйте портал Azure, PowerShell или Azure CLI для связывания идентификатора партнера с идентификатором пользователя или субъектом-службой. Свяжите идентификатор партнера в каждом клиентском арендаторе.

  1. Перейдите в портал Azure на страницу Link to a partner ID, где происходит привязка идентификатора партнера.

  2. Войдите на портал Azure.

  3. Введите идентификатор партнера Майкрософт. Идентификатор партнера — это идентификатор программы Microsoft Cloud Partner для вашей организации. Обязательно используйте идентификатор связанного партнера, отображаемый в профиле партнера.

    Снимок экрана: ссылка на идентификатор партнера.

  4. Чтобы привязать идентификатор партнера к другому клиенту, переключите каталог. В разделе Переключение каталога выберите свой каталог.

    Снимок экрана: каталог Switch.

  1. Установите модуль Az.ManagementPartner PowerShell.

  2. Войдите в аккаунт клиента с помощью учетной записи пользователя или служебного принципала. Дополнительные сведения см. в разделе Вход с помощью PowerShell.

     C:\> Connect-AzAccount -TenantId XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

  3. Привяжите новый идентификатор партнера. Идентификатор партнера — это идентификатор программы Microsoft Cloud Partner для вашей организации. Обязательно используйте идентификатор связанного партнера, отображаемый в профиле партнера.

    C:\> New-AzManagementPartner -PartnerId 12345

Получите связанный идентификатор партнера

C:\> Get-AzManagementPartner

Обновление связанного идентификатора партнера

C:\> Update-AzManagementPartner -PartnerId 12345

Удалить связанный идентификатор партнера

C:\> Remove-AzManagementPartner -PartnerId 12345

  1. Установите расширение Azure CLI .

    C:\ az extension add --name managementpartner

  2. Войдите в аккаунт клиента с помощью учетной записи пользователя или служебного принципала. Дополнительные сведения см. в разделе Вход с помощью Azure CLI.

    C:\ az login --tenant <tenant>

  3. Привяжите новый идентификатор партнера. Идентификатор партнера — это идентификатор программы Microsoft Cloud Partner для вашей организации.

    C:\ az managementpartner create --partner-id 12345

Получите связанный идентификатор партнера

C:\ az managementpartner show

Обновление связанного идентификатора партнера

C:\ az managementpartner update --partner-id 12345

Удалить связанный идентификатор партнера

C:\ az managementpartner delete --partner-id 12345

Часто задаваемые вопросы

Какие разрешения на идентификацию PAL необходимы для отображения дохода?

PAL может быть настолько детализированным, как один экземпляр ресурса. Например, одна виртуальная машина. Однако PAL установлен для учетной записи пользователя. Область измерения "Потребляемый доход Azure" (ACR) охватывает любые административные разрешения, которые есть у учетной записи пользователя в данной среде. Область администрирования может быть подпиской, группой ресурсов или экземпляром ресурса, используя стандартные роли Azure RBAC.

Другими словами, ассоциация PAL может происходить для всех ролей системы RBAC. Роли определяют право на поощрения партнеров. Дополнительные сведения о правах см. в разделе "Стимулы партнеров".

Например, если вы являетесь партнером, ваш клиент может нанять вас для выполнения проекта. Клиент может предоставить вам учетную запись администратора для развертывания, настройки и поддержки приложения. Клиент может определить объем вашего доступа к группе ресурсов. Если вы используете PAL и связываете идентификатор MPN с учетной записью администратора, корпорация Майкрософт измеряет потребляемый доход от служб в группе ресурсов.

Если идентификационная запись Microsoft Entra, используемая для PAL, удалена или отключена, атрибуция ACR прекращается для партнера в связанных ресурсах.

Различные партнерские программы имеют разные правила для ролей RBAC. Обратитесь к менеджеру по работе с партнёрами, чтобы узнать правила о конкретных ролях RBAC Azure, необходимых в процессе PAL для осуществления атрибуции ACR.

Дополнительные сведения см. в разделе:

Кто может привязать идентификатор партнера?

Любой пользователь из партнерской организации, который управляет ресурсами Azure клиента, может привязать идентификатор партнера к учетной записи.

Можно ли изменить идентификатор партнера после того, как он был привязан?

Да. Связанный идентификатор партнера можно изменить, добавить или удалить.

Могут ли другие партнеры или клиенты изменить или удалить привязку к идентификатору партнера?

Привязка создана на уровне учетной записи пользователя. Только вы можете изменить или удалить привязку к идентификатору партнера. Клиенты и другие партнеры не могут изменять привязку к идентификатору партнера.

Какой идентификатор партнера следует использовать, если у моей компании несколько?

Обязательно используйте идентификатор связанного партнера, показанный в вашем профиле партнера.

Где я могу найти информацию, оказавшую влияние на отчетность по доходам для идентификатора связанного партнера?

Отчеты о производительности облачных продуктов доступны для партнеров в партнерском центре в Моя информационная панель . В качестве типа партнерской ассоциации необходимо выбрать ссылку "Partner Admin Link".

Почему в отчетах не отображается клиент?

Вы не видите клиента в отчетах по следующим причинам:

  1. Для связанной учетной записи пользователя не настроено управление доступом на основе ролей (Azure RBAC) ни в одном клиентском ресурсе или подписке Azure.

  2. Отсутствуют сведения об использовании подписки Azure, в которой пользователь имеет доступ на основе Azure RBAC.

Что делать, если у пользователя есть учетная запись в нескольких клиентах?

Привязка идентификатора партнера к учетной записи выполняется для каждого клиента. Привяжите идентификатор партнера в каждом клиенте.

Однако если вы управляете ресурсами клиентов с помощью Azure Lighthouse, необходимо создать ссылку в клиенте поставщика услуг с помощью учетной записи, которая имеет доступ к ресурсам клиента.

Как связать идентификатор партнера, если моя компания использует Azure Lighthouse для получения доступа к ресурсам клиента?

Чтобы распознать действия Azure Lighthouse, необходимо связать идентификатор партнера по крайней мере с одной учетной записью пользователя, которая имеет доступ к каждой подключенной подписке клиента. Связь необходима в арендаторе вашего поставщика услуг, а не в каждом арендаторе клиента.

Для упрощения мы рекомендуем создать учетную запись доверенного субъекта в вашем клиенте, связать ее с идентификатором вашего партнера, а затем предоставить ей доступ к каждому клиенту, которого вы принимаете с помощью встроенной роли Azure, имеющей право на получение партнерских бонусов.

Если вы уже внедрили клиента, вы можете связать идентификатор партнера с учетной записью пользователя, которая уже имеет разрешение на работу в его клиенте, чтобы вам не пришлось выполнять другое развертывание.

Дополнительные сведения см. в статье "Подключение клиента к Azure Lighthouse".

Работает ли связывание идентификатора партнера с Azure Stack?

Да, вы можете связать идентификатор партнера для Azure Stack.

Как объяснить клиенту, что такое Ссылка администратора партнера (PAL)?

Ссылка администратора партнера (PAL) позволяет корпорации Майкрософт определять и поощрять партнеров, которые помогают клиентам достигать бизнес-целей и извлекать коммерческую выгоду с помощью облака. Клиенты должны предоставить партнеру доступ к своему ресурсу Azure, После предоставления доступа будет связан идентификатор программы Microsoft Cloud Partner'а. Эта связь помогает корпорации Майкрософт понять экосистему поставщиков ИТ-услуг и усовершенствовать средства и программы, необходимые для поддержки наших общих клиентов.

Какие данные собираются через PAL?

Связь PAL с существующими учетными данными не предоставляет новых данных о клиентах в корпорацию Майкрософт. Он лишь предоставляет информацию Microsoft о том, где партнёр активно задействован в среде Azure клиента. Корпорация Майкрософт может связать показатели влияния и потребления ресурсов Azure между клиентской средой и партнерской организацией на основе разрешений учетной записи (роли Azure) и области (группа управления, подписка, группа ресурсов, ресурс), предоставленных партнеру клиентом.

Влияет ли это на безопасность среды Azure клиента?

Ассоциация PAL добавляет только идентификатор партнера к уже подготовленным учетным данным, и это не изменяет разрешения (роль Azure) или предоставляет другие данные службы Azure партнеру или корпорации Майкрософт.

Что произойдет, если удостоверение PAL удалено?

Если идентификатор партнерской сети, также называемый идентификатором MPN, удаляется, то все механизмы распознавания, включая атрибуцию "Потребляемый доход Azure" (ACR), перестают работать.

Следующие шаги

Присоединитесь к обсуждениям сообщества партнеров Майкрософт, чтобы получать обновления или отправлять отзывы.