Správa předplatných a prostředků v rámci plánu Azure
Příslušné role: Agent pro správu
Tento článek vysvětluje, jak můžou partneři CSP (Cloud Solution Provider) používat různé možnosti řízení přístupu na základě role (RBAC) k získání provozní kontroly a správy prostředků Azure zákazníka.
Při přechodu zákazníka na plán Azure máte ve výchozím nastavení přiřazená oprávnění privilegovaného správce v Azure – práva vlastníka předplatného prostřednictvím účtu Admin on Behalf of (AOBO).
Poznámka:
Práva správce předplatného Azure může zákazník odebrat na úrovni předplatného, na úrovni skupiny prostředků nebo na úrovni úloh.
Partneři můžou získat nepřetržitou provozní kontrolu a správu prostředků Azure zákazníka v CSP pomocí různých možností dostupných prostřednictvím funkce řízení přístupu na základě role (RBAC).
Správa jménem – S AOBO má každý uživatel s rolí agenta správce v prostředí partnera přístup na úrovni vlastníka RBAC (role-based access control) k předplatným Azure, která vytvoříte prostřednictvím programu CSP (Cloud Solution Provider).
Azure Lighthouse: AOBO nemá flexibilitu při vytváření různých skupin, které pracují s různými zákazníky, nebo povolení různých rolí pro skupiny nebo uživatele. Pomocí Služby Azure Lighthouse ale můžete různým zákazníkům nebo rolím přiřadit různé skupiny. Vzhledem k tomu, že uživatelé mají odpovídající úroveň přístupu přes delegovanou správu prostředků Azure, můžete snížit počet uživatelů, kteří mají roli agenta správce (a mají tak úplný přístup AOBO). To pomáhá zlepšit zabezpečení omezením zbytečného přístupu k prostředkům vašich zákazníků. Získáte tak také větší flexibilitu při správě více zákazníků ve velkém. Další informace najdete v části Azure Lighthouse a programu Cloud Solution Provider.
Adresář nebo uživatelé typu host nebo instanční objekty: Podrobný přístup k předplatným CSP můžete delegovat přidáním uživatelů do adresáře zákazníka nebo přidáním uživatelů typu host a přiřazením konkrétních rolí RBAC.
Microsoft doporučuje uživatelům přiřazovat minimální oprávnění, která potřebují k práci. Další informace naleznete v tématu Microsoft Entra Privileged Identity Management zdroje.
Propojte vaše ID partnera s vašimi přihlašovacími údaji pro správu prostředků Azure zákazníka
Následující tabulka ukazuje metody používané k přidružení ID partnera (dříve MPN ID) k různým možnostem přístupu RBAC.
Kategorie | Scénář | Přidružení PartnerID |
---|---|---|
AOBO | Přímý partner CSP nebo nepřímý poskytovatel vytvoří předplatné pro zákazníka, což z přímého partnera CSP nebo nepřímého poskytovatele činí výchozího vlastníka předplatného pomocí AOBO. Přímý partner CSP nebo nepřímý poskytovatel poskytuje nepřímému prodejci přístup k předplatnému pomocí AOBO. | Automaticky (nevyžaduje se žádná práce partnera) |
Azure Lighthouse | Partner vytvoří novou nabídku spravované služby na Marketplace. Nabídka se přijme v předplatném CSP a partner získá přístup k předplatnému CSP. | Automaticky (nevyžaduje se žádná práce partnera) |
Azure Lighthouse | Partner nasadí šablonu pro Azure Resource Manager (ARM) v předplatném Azure. | Partner musí přidružit ID partnera k uživateli nebo objektu služby v partnerském tenantovi. Další informace najdete v tématu Propojení ID partnera a sledování dopadu na delegované prostředky. |
Adresář nebo uživatel typu host | Partner vytvoří nového uživatele nebo služební hlavní účet v adresáři zákazníka a udělí mu přístup k předplatnému CSP. Partner vytvoří nového uživatele nebo instanční objekt v adresáři zákazníka. Partner přidá uživatele do skupiny a udělí přístup k předplatnému CSP ke skupině. | Partner musí přidružit ID partnera k uživateli nebo službě v tenantovi zákazníka. Další informace viz Propojte ID partnera s vaším účtem sloužícím ke správě zákazníků. |
Potvrďte, že máte přístup správce.
Abyste mohli získat získané kredity, musíte mít přístup správce ke správě služeb zákazníka. Další informace o získaných kreditech najdete v části Kredity získané partnery.
Pokud chcete zjistit, jestli máte přístup správce, postupujte následovně:
- Zkontrolujte soubor denního využití: Prověřte jednotkovou cenu a platnou jednotkovou cenu a ověřte, zda se uplatňuje sleva. Pokud dostáváte slevu, jste administrátor.
Vytvoření upozornění služby Azure Monitor
Můžete vytvořit upozornění Azure Monitor Alert na protokol aktivit, abyste byli informováni, pokud bude váš přístup RBAC z předplatného CSP odebrán.
Pokud chcete vytvořit upozornění služby Azure Monitor, postupujte následovně:
Vytvořte upozornění.
Vyberte typ akce, kterou má výstraha provést.
Pokud například zadáte, že chcete e-mail, dostanete e-mail s upozorněním, pokud dojde k odstranění přiřazení role.
Snímek obrazovky na webu Azure Portal s konfigurací výstrahy
Odebrání AOBO
Zákazníci mohou spravovat přístup k jejich předplatným v Access Control na portálu Azure. Na kartě Přiřazení rolí můžou vybrat možnost Odebrat přístup.
Pokud zákazník odebere váš přístup, můžete:
Obraťte se na zákazníka a zjistěte, jestli je možné obnovit přístup správce.
Použijte přístup prostřednictvím řízení přístupu na základě role (RBAC).
Použijte přístup poskytnutý prostřednictvím Azure Lighthouse.
Přístup na základě role se liší od přístupu správce. Role oddělují přesně to, co můžete a nemůžete dělat. Přístup správce je širší.
Pozastavení a opětovná aktivace plánu Azure
Partneři můžou plán Azure pozastavit nebo znovu aktivovat přímo v Partnerském centru na stránce podrobností plánu Azure.
- V Partnerském centru, v Zákazníci, vyberte účet zákazníka.
- Přejděte na zákazníkova předplatná Azure.
- Výběr plánu Azure
- Vyberte stav: Pozastaveno a pak odešlete pro pozastavení plánu Azure.
- Vyberte stav Aktivní a pak Odeslat abyste znovu aktivovali plán Azure.
Existující plán Azure můžete pozastavit jenom v případě, že už k němu nejsou přidružené žádné aktivní prostředky využití, včetně předplatných využití Azure a rezervací Azure.
Partneři si můžou koupit jenom jeden plán Azure na konkrétní prodejce a kombinaci zákazníků. Pokud má zákazník prodejce pozastavený plán, nemůže si tento zákazník koupit nový plán. Zrušení není pro plán Azure k dispozici.
Pro pozastavení plánu Azure pomocí API viz Pozastavení předplatného – Vývojáři partnerské aplikace.
Chcete-li znovu aktivovat plán Azure pomocí rozhraní API, podívejte se na Opětovná aktivace pozastaveného předplatného – vývojář partnerské aplikace.
Zrušení předplatného Azure
V případě ohrožení předplatných plánu Azure zákazníka můžou partneři zrušit předplatná Azure z Partnerského centra. Tato funkce je dostupná jenom pro role agenta pro správu. K tomu:
- Ze seznamu zákazníků vyberte zákazníka.
- Přejděte k předplatným zákazníka Azure.
- Vyberte plán Azure, pod který spadá předplatné.
- Na stránce podrobností plánu Azure vyberte předplatná Azure, která chcete zrušit.
- Odešlete změny výběrem možnosti Zrušit předplatné.
Tím se zruší jenom vybraná předplatná Azure. Zákazníci s přístupem k předplatnému Azure můžou předplatné znovu aktivovat, pokud je plán Azure stále aktivní. Aby se to nestalo, partneři by měli zrušit všechna předplatná Azure a pak samotný plán Azure.
Partneři můžou vybrat více předplatných, ale současně nemůžou zrušit více než 10 předplatných najednou. Partneři můžou plán Azure zrušit, pokud v něm nejsou žádná aktivní předplatná Azure. To umožňuje partnerům vypnout plány a předplatná Azure, která mohla být ohrožena, i když útočník odebral jejich oprávnění RBAC.
Partneři můžou zrušit předplatná Azure prostřednictvím portálu Partnerského centra nebo rozhraní API. Podrobnosti o rozhraní API najdete v tématu Zrušení předplatného Azure, a pokud si ji chcete vyzkoušet, viz Útrata Azure – Zrušení nároku Azure – REST API.
Další informace o zrušení předplatného Azure najdete v tématu Co se stane po zrušení předplatného?
Opětovná aktivace předplatného Azure
Partneři můžou znovu aktivovat předplatná Azure, která byla zrušena z důvodu ohrožení zabezpečení zákazníka na stránce podrobností plánu Azure, pomocí karty Neaktivní předplatná Azure. Tato funkce je dostupná jenom pro role agenta pro správu. K tomu:
- Ze seznamu zákazníků vyberte zákazníka.
- Přejděte k předplatným Azure zákazníka .
- Vyberte plán Azure, ve které je předplatné.
- Na stránce podrobností plánu Azure v části Předplatné Azure, vyberte kartu Neaktivní.
- Vyberte předplatné Azure, které chcete znovu aktivovat.
- Odešlete změny výběrem Znovu aktivovat předplatné
Tím se znovu aktivují jenom vybraná předplatná Azure. Partneři můžou vícenásobný výběr předplatných, ale nemůžou znovu aktivovat více než 10 předplatných najednou. Přidružený plán Azure musí být aktivní, aby bylo možné znovu aktivovat předplatná Azure. Partneři můžou plány Azure znovu aktivovat přímo v Partnerském centru tak, že přejdou na stránku podrobností plánu Azure a aktualizují stav plánu Azure zpět na Aktivní.
Pokud předplatné Azure zrušil zákazník nebo vlastník fakturace na webu Azure Portal, bude se muset zákazník nebo vlastník fakturace obrátit, aby předplatné znovu aktivoval z webu Azure Portal.
Chcete-li znovu aktivovat pomocí API, podívejte se na Opětovná aktivace předplatného Azure – vývojář partnerských aplikací. Pokud si to chcete vyzkoušet, podívejte se na výdaje za Azure – Opětovná aktivace nároku na Azure.
Další informace o opětovné aktivaci předplatných Azure najdete v dokumentaci Azure.