Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Соответствующие роли: агент по администрированию
В этой статье объясняется, как партнеры поставщик облачных решений (CSP) могут использовать различные варианты управления доступом на основе ролей (RBAC), чтобы получить операционный контроль и управление ресурсами Azure клиента.
При переводе клиента на план Azure вам назначаются права привилегированного администратора в Azure — права владельца подписки через администратора по доверенности (по умолчанию, AOBO).
Примечание.
Клиенты могут удалять права администратора на любом из этих уровней: подписку, группу ресурсов и рабочую нагрузку.
Для управления ресурсами Azure клиента в CSP партнеры могут использовать управление доступом на основе ролей (RBAC). Эта функция позволяет поддерживать операционный контроль и непрерывно контролировать задачи управления.
Администратор от имени — С помощью AOBO любой пользователь с ролью агента администрирования в клиенте партнера имеет доступ владельца RBAC к подпискам Azure, которые вы создаете через программу СПС.
Azure Lighthouse: AOBO не имеет гибкости для создания отдельных групп, работающих с разными клиентами, или для включения различных ролей для групп или пользователей. Однако с помощью Azure Lighthouse можно назначать разные группы разным клиентам или ролям. Так как пользователи имеют соответствующий уровень доступа через делегированное управление ресурсами Azure, вы можете уменьшить количество пользователей, имеющих роль агента администрирования (и, следовательно, полный доступ к AOBO). Это помогает повысить безопасность путем ограничения ненужного доступа к ресурсам клиентов. Кроме того, это повышает гибкость управления несколькими клиентами в соответствующем масштабе. Дополнительную информацию см. в Azure Lighthouse и программе поставщиков облачных решений.
Каталог или гостевые пользователи или принципалы службы: Вы можете предоставить более точный доступ к подпискам CSP, добавив пользователей в каталог клиента или добавив гостевых пользователей и назначив определенные роли RBAC.
В качестве практики безопасности корпорация Майкрософт рекомендует назначать пользователям минимальные разрешения, необходимые для выполнения их работы. Для получения дополнительной информации см. ресурсы управления привилегированными пользователями Microsoft Entra.
Связывание идентификатора партнера с учетными данными для управления ресурсами Azure клиента
В следующей таблице показаны методы, используемые для связывания Идентификатора партнера (прежнего имени MPN) с различными параметрами доступа RBAC.
| Категория | Сценарий | Ассоциация PartnerID |
|---|---|---|
| АОБО | Прямой партнер или косвенный поставщик CSP создает подписку для клиента, что делает CSP прямого партнера или косвенного поставщика владельцем подписки по умолчанию с помощью AOBO. Прямой партнер или непрямой поставщик CSP предоставляет непрямому торговому посреднику доступ к подписке, используя AOBO. | Автоматическая (от партнера не требуется каких-либо действий) |
| Azure Lighthouse (маяк Azure) | Партнер создает новое предложение управляемых услуг в Marketplace. Предложение принимается в подписке CSP, а партнер получает доступ к подписке CSP. | Автоматическая (от партнера не требуется каких-либо действий) |
| Azure Lighthouse (маяк Azure) | Партнер развертывает шаблон Azure Resource Manager (ARM) в учетной записи Azure | Партнер должен связать идентификатор PartnerID с пользователем или сервисным принципалом в арендаторе партнера. Для получения дополнительной информации см. Свяжите ваш PartnerID, чтобы отслеживать влияние на делегированные ресурсы. |
| Каталог или гостевой пользователь | Партнер создает нового пользователя или служебного принципала в каталоге клиента и предоставляет этому пользователю доступ к подписке CSP. Партнер создает нового пользователя или сервисного принципала в каталоге клиента. Партнер добавляет пользователя в группу и предоставляет ей доступ к подписке CSP. | Партнер должен связать PartnerID с пользователем или субъектом-службой в тенанте клиента. Для получения более подробной информации см. статью «Привязка идентификатора партнера к учетной записи, используемой для управления клиентами». |
Убедитесь, что у вас есть права администратора.
У вас должен быть доступ администратора для управления службами клиента и получения заработанных кредитов. Дополнительные сведения о заработанных кредитах, см. в разделе "Заработанные кредиты партнера".
Чтобы определить, имеется ли у вас доступ администратора, выполните следующие действия.
- Проверьте файл ежедневного использования: Проверьте цену за единицу и эффективную цену за единицу в файле ежедневного использования и убедитесь, применяется ли скидка. Если вы получаете скидку, вы являетесь администратором.
Создайте оповещение Azure Monitor
Вы можете создать оповещение Azure Monitor журнала действий, чтобы получать уведомления, если ваши права доступа RBAC удаляются из подписки CSP.
Чтобы создать оповещение Azure Monitor, выполните следующие действия.
Создайте оповещение.
Выберите тип действия, которое вы хотите, чтобы оповещение совершило.
Например, если указать, что требуется сообщение электронной почты, вы получите сообщение электронной почты, уведомляющее вас об удалении назначения ролей.
Скриншот в портале Azure при настройке оповещения.
Удалите доступ AOBO
Клиенты могут управлять доступом к своим подпискам, перейдя на Контроль доступа на портале Azure. На вкладке Назначения ролей они могут выбрать Удалить доступ.
Если клиент удаляет доступ, вы можете:
Обратитесь к клиенту, чтобы узнать, можно ли восстановить административный доступ.
Используйте доступ, предоставленный через контроль доступа на основе ролей (RBAC).
Используйте доступ, предоставленный с помощью Azure Lighthouse.
Доступ на основе ролей отличается от административного доступа. Роли позволяют точно указать, что доступно, а что запрещено. Административный доступ является более обширным.
Приостановка и повторная активация плана Azure
Партнеры могут приостановить или повторно активировать план Azure непосредственно в Центре партнеров на странице сведений о плане Azure.
- В Центре партнеров, в Клиенты, выберите учетную запись клиента.
- Перейдите к подпискам Azure клиента
- Выберите план Azure
- Выберите состояние: приостановлено и отправьте , чтобы приостановить план Azure.
- Выберите состояние: "Активный " и " Отправить ", чтобы повторно активировать план Azure.
Вы можете приостановить существующий план Azure, если он больше не имеет активных ресурсов использования, связанных с ним, включая подписки на использование Azure и резервирования Azure.
Партнеры могут приобрести только один план Azure для конкретного торгового посредника и сочетания клиентов. Если у клиента торгового посредника есть приостановленный план, он не может приобрести новый план. Отмена недоступна для плана Azure.
Сведения о приостановке плана Azure с помощью API см. в статье "Приостановка подписки — разработчик приложений для партнеров".
Сведения о том, как повторно активировать план Azure с помощью API, см. в статье "Повторное активирование приостановленной подписки — для разработчиков приложений-партнеров".
Отмените подписку Azure
В случае компрометации подписок плана Azure клиента партнеры могут отменить подписки Azure из Центра партнеров. Для отмены подписок Azure партнеры должны иметь права глобального администратора и роли агента администрирования. Чтобы отменить:
- Выберите Клиента из списка клиентов
- Перейдите к подпискам Azure клиента
- Выберите план Azure, под который попадает подписка
- На странице сведений о плане Azure выберите подписки Azure, чтобы отменить
- Отправка изменений путем нажатия кнопки "Отмена подписки"
Этот процесс отменяет только выбранные подписки Azure. Клиенты с доступом к подписке Azure могут повторно активировать подписку, если план Azure по-прежнему активен. Чтобы остановить повторную активацию, партнеры должны отменить все подписки Azure, а затем сам план Azure.
Партнеры могут выполнять многоразовую выборку подписок, но не могут одновременно отменять более 10 подписок. Партнеры могут отменить план Azure, если в нем нет активных подписок Azure. Этот процесс позволяет партнерам завершить работу планов и подписок Azure, которые могут быть скомпрометированы, даже если злоумышленник удалил разрешения RBAC.
Партнеры могут отменить подписки Azure с помощью портала Центра партнеров или API. Для получения дополнительных сведений об API см. "Отмена подписки Azure" и для испытания см. "Расходы Azure - Отмена права Azure - REST API".
Чтобы узнать больше об отмене подписок Azure, см. статью "Что происходит после отмены подписки?".
Повторная активация подписки Azure
Партнеры могут повторно активировать подписки Azure, которые были отменены из-за компрометации клиентов на странице сведений о плане Azure с помощью вкладки "Неактивные подписки Azure". Партнеры должны иметь права глобального администратора и роли агента администратора для повторной активации подписок Azure. Для повторной активации:
- Выберите Клиента из списка клиентов
- Перейдите к подпискам Azure клиента
- Выберите план Azure, под который попадает подписка
- На странице сведений о плане Azure в разделе подписки Azure выберите вкладку "Неактивный"
- Выберите подписку Azure для повторной активации
- Отправьте изменения, выбрав Активировать подписку заново
Она повторно активирует только выбранные подписки Azure. Партнеры могут выполнять многоразовую выборку подписок, но не могут повторно активировать более 10 подписок за раз. Связанный план Azure должен быть активным для повторной активации подписок Azure. Чтобы повторно активировать план Azure, сначала перейдите на страницу сведений о плане Azure в Центре партнеров. Затем измените состояние плана обратно на активный.
Чтобы повторно активировать подписку, свяжитесь с клиентом или владельцем платежей, который отменил подписку на портале Azure. Они должны войти и завершить процесс повторной активации.
Для повторной активации с помощью API см. "Повторная активация подписки Azure — разработчики приложений для партнеров". Чтобы попробовать это, ознакомьтесь с разделом Расходы на Azure — повторная активация права Azure.
Детали о повторной активации подписок Azure можно найти в документации Azure.