Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Соответствующие роли: глобальный администратор | агент по администрированию
Клиенты часто ожидают, что, будучи партнером программы "Поставщик облачных решений" (CSP), вы будете управлять использованием их ресурсов Azure и их системами. У вас должны быть привилегии администратора, чтобы оказать им содействие. Если у вас нет привилегий администратора, вы можете обратиться к клиенту, чтобы возобновить их использование.
Привилегии администратора для Azure в программе CSP
Некоторые права администратора предоставляются автоматически при установке отношения торгового посредника с клиентом. Другие должны быть предоставлены вам клиентом.
Существует два уровня привилегий администратора для Azure в CSP:
Права администратора уровня арендатора (т . е. делегированные права администратора) предоставляют доступ к арендаторам ваших клиентов. Этот делегированный доступ позволяет выполнять административные функции, такие как добавление пользователей и управление ими, сброс паролей и управление лицензиями пользователей.
При установлении отношений реселлера CSP с клиентами вы получаете права администратора уровня арендатора.
Привилегии администратора уровня подписки предоставляют полный доступ к подпискам Azure CSP для ваших клиентов. Этот доступ позволяет предоставлять их ресурсы Azure и управлять ими.
Вы получаете права администратора уровня подписки при создании подписок Azure CSP для клиентов.
Восстановление привилегий администратора CSP: ваши действия
Вы и ваш клиент должны выполнять действия для восстановления привилегий администратора CSP. В этом разделе описываются действия, которые необходимо предпринять.
Чтобы восстановить права администратора CSP, выполните следующие действия.
Войдите в Центр партнеров и выберите пункт Клиенты.
На списке клиентов выберите Запросить связь с реселлером.
Установите флажок " Делегированные права администратора" :
- Оставьте флажок, чтобы установить связь с делегированными правами администратора.
- Снимите флажок, чтобы установить связь без делегированных прав администратора.
Просмотрите черновик приглашения по электронной почте.
- Выберите "Открыть в электронной почте", чтобы открыть черновик приглашения в приложении электронной почты по умолчанию.
- Выберите "Копировать в буфер обмена ", чтобы скопировать и вставить приглашение в сообщение электронной почты.
Внимание
Вы можете изменить текст в черновике сообщения электронной почты, но не забудьте включить персонализированную ссылку , так как она связывает клиента непосредственно с вашей учетной записью.
Нажмите кнопку Готово.
Отправьте приглашение по электронной почте клиенту.
Примечание.
Чтобы принять запрос, пользователь в организации клиента должен быть глобальным администратором клиента.
- Клиент выбирает ссылку, полученную в сообщении электронной почты. Ссылка берет их в Центр администрирования Майкрософт, где они могут принять приглашение.
- После того как клиент примет ваше приглашение, он будет отображаться на вашей странице Клиенты в Центре партнеров, и отсюда вы сможете подготовить к работе службу и управлять ею для клиента.
После того как клиент одобрит приглашение стать торговым посредником, перейдите по предоставленной ссылке и подключитесь к партнерскому клиенту, чтобы получить
object IDгруппу AdminAgents.Connect-AzAccount -Tenant "Partner tenant" # Get Object ID of AdminAgents group Get-AzADGroup -DisplayName AdminAgentsУбедитесь, что у клиента есть:
- Роль владельца или администратора доступа пользователей.
- Разрешения на создание назначений ролей на уровне подписки.
Восстановление привилегий администратора CSP: действия клиента
В этом разделе описываются действия клиента для восстановления привилегий администратора CSP.
Чтобы завершить восстановление прав администратора CSP, клиент использует PowerShell или Azure CLI для выполнения следующих действий:
Клиент использует PowerShell для обновления
Az.Resourcesмодуля.Update-Module Az.ResourcesВаш клиент подключается к арендатору, в котором существует подписка CSP.
Connect-AzAccount -TenantID "<Customer tenant>"az login --tenant <Customer tenant>Клиент подключается к подписке.
Этот шаг применим только в том случае, если у пользователя есть разрешения на назначение ролей в нескольких подписках в тенанте.
Set-AzContext -SubscriptionID "<CSP Subscription ID>"az account set --subscription <CSP Subscription ID>Ваш клиент создает назначение ролей.
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
Вместо предоставления разрешений владельца на уровне подписки их можно предоставить на уровне ресурсов или на уровне ресурсов :
На уровне группы ресурсов
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"На уровне ресурсов
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
Устранение неполадок с действиями клиента
Если клиенту не удается выполнить описанные выше действия, предложите следующую команду и укажите полученный newRoleAssignment.log файл корпорации Майкрософт для дальнейшего анализа:
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log
Восстановление административных привилегий CSP: общая процедура PowerShell
Если действия, описанные в предыдущих разделах, не помогают или при их выполнении возникают ошибки, попробуйте следующую универсальную процедуру, чтобы восстановить права администратора для вашего клиента.
Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"
Если процедура catchall завершается ошибкой Import-Module, выполните следующие действия:
- Если импорт завершается сбоем из-за того, что модуль используется, перезапустите сеанс PowerShell, закрыв и повторно открыв все окна.
- Проверьте версию
Az.Resourcesс помощьюGet-Module Az.Resources -ListAvailable.- Если версия 4.1.1 отсутствует в доступном списке, необходимо использовать
Update-Module Az.Resources -Force.
- Если версия 4.1.1 отсутствует в доступном списке, необходимо использовать
- Если в сообщении об ошибке указано, что
Az.Accountsдолжна быть определенной версией, обновите этот модуль, заменивAz.ResourcesнаAz.Accounts. После этого необходимо перезапустить сеанс PowerShell.
Как косвенный торговый посредник может получить права администратора от имени клиента (AOBO) для подписок Azure
Косвенный торговый посредник может выполнить следующие действия, чтобы получить привилегии клиента AOBO для подписок Azure:
- Установите связь с конечным клиентом.
- Запросите у конечного клиента детализированные делегированные права администратора (GDAP) для подписок Azure.
- Проверьте в собственном портале Azure идентификатор объекта группы AdminAgent для вашего клиента (чтобы узнать, как это сделать, см. руководство по устранению неполадок с кредитами, заработанными партнёром).
- Если у непрямого поставщика есть права OBO для ролей владельца клиента и RBAC, он может запустить сценарий, предоставленный в восстановлении прав администратора CSP: действия клиента для предоставления разрешений AOBO идентификатору объекта агента администрирования косвенного торгового посредника. Кроме того, конечный клиент может сделать это, если у них есть права собственности на подписку.