Megosztás a következőn keresztül:

Az Azure-csomagban foglalt előfizetések és erőforrások kezelése

  • Cikk

Megfelelő szerepkörök: Rendszergazdai ügynök

Ez a cikk azt ismerteti, hogy Felhőszolgáltató (CSP) partnerek hogyan használhatják a különböző szerepköralapú hozzáférés-vezérlési (RBAC) lehetőségeket az ügyfél Azure-erőforrásainak működési vezérléséhez és felügyeletéhez.

Amikor egy ügyfelet áttérít az Azure-csomagra, az Azure-ban kiemelt rendszergazdai jogosultságokat kap – alapértelmezés szerint az előfizetés tulajdonosi jogosultságait az AOBO (Admin on Behalf of) szolgáltatáson keresztül.

Feljegyzés

Az Ügyfél eltávolíthatja az Azure-előfizetés rendszergazdai jogosultságát az előfizetés, az erőforráscsoport vagy a számítási feladat szintjén.

A partnerek a szerepköralapú hozzáférés-vezérlési funkcióval (RBAC) elérhető különböző lehetőségek használatával folyamatos üzemeltetési ellenőrzést és felügyeletet kaphatnak az ügyfél Azure-erőforrásainak CSP-ben való kezeléséről.

  • Rendszergazda a nevében – Az AOBO-val minden olyan felhasználó, aki rendszergazdai ügynöki szerepkörrel rendelkezik a partnerbérlében, RBAC-tulajdonosi hozzáféréssel rendelkezik a CSP programon keresztül létrehozott Azure-előfizetésekhez.

  • Azure Lighthouse: Az AOBO nem rendelkezik rugalmasan különböző csoportokkal, amelyek különböző ügyfelekkel dolgoznak, vagy különböző szerepköröket engedélyeznek csoportok vagy felhasználók számára. Az Azure Lighthouse használatával azonban különböző csoportokat rendelhet különböző ügyfelekhez vagy szerepkörökhöz. Mivel a felhasználók megfelelő szintű hozzáféréssel rendelkeznek az Azure delegált erőforrás-kezelésével, csökkentheti a rendszergazdai ügynöki szerepkörrel rendelkező felhasználók számát (és így teljes AOBO-hozzáféréssel rendelkezik). Ez segít a biztonság javításában azáltal, hogy korlátozza az ügyfelek erőforrásaihoz való szükségtelen hozzáférést. Emellett rugalmasabban kezelhet nagy számú ügyfelet is. További információ: Azure Lighthouse és a Felhőalapú Megoldásszolgáltató program.

  • Címtár- vagy vendégfelhasználók vagy szolgáltatási főazonosítók: Részletes hozzáférést delegálhat a CSP-előfizetésekhez úgy, hogy felhasználókat ad hozzá az ügyfélkönyvtárban, vagy vendégfelhasználókat ad hozzá, és meghatározott RBAC-szerepköröket rendel hozzá.

Biztonsági gyakorlatként a Microsoft azt javasolja a felhasználóknak, hogy rendeljék hozzá a munkájukhoz szükséges minimális engedélyeket. További információkért lásd: Microsoft Entra Privileged Identity Management erőforrások.

Az alábbi táblázat a PartnerID (korábbi nevén MPN-azonosító) különböző RBAC-hozzáférési lehetőségekhez való társításához használt módszereket mutatja be.

Kategória Forgatókönyv PartnerID társítás
AOBO A közvetlen CSP-partner vagy közvetett szolgáltató létrehozza az előfizetést az ügyfél számára, így a közvetlen CSP-partner vagy a közvetett szolgáltató lesz az előfizetés alapértelmezett tulajdonosa az AOBO használatával. A közvetlen CSP-partner vagy közvetett szolgáltató közvetett viszonteladói hozzáférést biztosít az előfizetéshez az AOBO használatával. Automatikus (nincs szükség partnermunkára)
Azure Lighthouse (Azure Világítótorony) A partner létrehoz egy új felügyelt szolgáltatás ajánlatot a Marketplace-en. Az ajánlatot a CSP-előfizetés fogadja el, és a partner hozzáfér a CSP-előfizetéshez. Automatikus (nincs szükség partnermunkára)
Azure Lighthouse A partner üzembe helyez egy Azure Resource Manager (ARM) sablont egy Azure előfizetésben. A partnernek társítania kell a partnerazonosítót a partner bérlőben lévő felhasználóval vagy szolgáltatási jogosulttal. További információért lásd: A PartnerID összekapcsolása a delegált erőforrásokra gyakorolt hatás nyomon követéséhez.
Címtár vagy vendégfelhasználó A partner létrehoz egy új felhasználót vagy szolgáltatásnevet az ügyfélkönyvtárban, és hozzáférést biztosít a felhasználónak a CSP-előfizetéshez. A partner létrehoz egy új felhasználót vagy szolgáltatásnevet az ügyfélkönyvtárban. A partner hozzáadja a felhasználót egy csoporthoz, és hozzáférést biztosít a csoporthoz tartozó CSP-előfizetéshez. A partnernek társítania kell a PartnerID-t az ügyféltárhelyen lévő felhasználóval vagy szolgáltatási szerepkörrel. További információért lásd: a PartnerID hozzárendelése az ügyfelek kezeléséhez használt fiókhoz.

Ellenőrizze, hogy rendelkezik-e rendszergazdai hozzáféréssel

Rendszergazdai hozzáféréssel kell rendelkeznie az ügyfél szolgáltatásainak kezeléséhez és a megszerzett kreditek fogadásához. További információt a partner által megtermelt kreditekről a Partner által megtermelt kreditek témakörben talál.

Annak megállapításához, hogy rendelkezik-e rendszergazdai hozzáféréssel, kövesse az alábbi lépéseket:

  • Tekintse át a napi használati fájlt: Tekintse át az egységárat és a tényleges egységárat a napi használati fájlban, és ellenőrizze, hogy alkalmaz-e kedvezményt. Ha kedvezményt kap, ön a rendszergazda.

Azure Monitor-riasztás létrehozása

Létrehozhat egy tevékenységnaplót Azure Monitor Alert, amely értesítést küld, ha az RBAC-hozzáférése el lett távolítva egy CSP-előfizetésből.

Azure Monitor-riasztás létrehozásához kövesse az alábbi lépéseket:

  1. Hozzon létre egy riasztást.

    Képernyőkép egy Azure Portal-riasztásról.Képernyőkép egy Azure Portal-riasztásról.

  2. Válassza ki a riasztás által végrehajtandó művelet típusát.

    Ha például megadja, hogy e-mailt szeretne küldeni, e-mailt kap, amely értesíti, ha a szerepkör-hozzárendelés törlése történik.

    Képernyőkép egy riasztás konfigurálásáról az Azure Portalon.

AOBO eltávolítása

Az ügyfelek az Azure Portal hozzáférés-vezérlésére kattintva kezelhetik az előfizetéseikhez való hozzáférést. A Szerepkör-hozzárendelések lapról kiválaszthatják a Hozzáférés eltávolítása lehetőséget.

Ha egy ügyfél eltávolítja a hozzáférést, az alábbiakat teheti:

  • Beszéljen az ügyféllel, és ellenőrizze, hogy visszaállítható-e a rendszergazdai hozzáférés.

  • Használja a szerepköralapú hozzáférés-vezérléssel (RBAC) biztosított hozzáférést.

  • Használja az Azure Lighthouse által biztosított hozzáférést.

A szerepköralapú hozzáférés eltér a rendszergazdai hozzáféréstől. A szerepkörök pontosan elhatárolják, hogy mit tehet és mit nem. A rendszergazdai hozzáférés szélesebb körű.

Azure-csomag felfüggesztése és újraaktiválása

A partnerek közvetlenül a Partnerközpontban felfüggeszthetik vagy újraaktiválhatják az Azure-csomagot az Azure-csomag részleteinek oldaláról.

  1. A Partnerközpontban, az Ügyfelek területen válassza ki az ügyfélfiókot
  2. Navigálás az ügyfél Azure-előfizetéseihez
  3. Az Azure-csomag kiválasztása
  4. Válassza ki az állapotot: Felfüggesztve, majd nyomja meg a Küldés gombot az Azure-csomag felfüggesztéséhez.
  5. Válassza ki az Állapot: Aktív, majd Beküldés lehetőséget az Azure-csomag újraaktiválásához.

Egy meglévő Azure-csomagot csak akkor függeszthet fel, ha már nincs hozzá társítva aktív használati eszköz, beleértve az Azure-használati előfizetéseket és az Azure-foglalásokat.

A partnerek csak egy Azure-csomagot vásárolhatnak adott viszonteladónként és ügyfélkombinációnként. Ha egy viszonteladó ügyfele felfüggesztett csomaggal rendelkezik, az ügyfél nem vásárolhat új csomagot. A lemondás nem érhető el az Azure-csomaghoz.

Az Azure-csomagok API-kkal való felfüggesztésével kapcsolatban lásd : Előfizetés felfüggesztése – Partneralkalmazás-fejlesztő.

API-val történő Azure-csomag újraaktiválásához lásd: Felfüggesztett előfizetés újraaktiválása – Partneralkalmazás-fejlesztő.

Azure-előfizetés megszüntetése

Abban az esetben, ha az ügyfél Azure-csomag-előfizetései sérültek, a partnerek lemondhatják az Azure-előfizetéseket a Partnerközpontból. Ez a funkció csak a rendszergazdai ügynök szerepkörei számára érhető el. Megvalósítás:

  1. Válassza ki az ügyfelet az ügyféllistából
  2. Navigálás az ügyfél Azure-előfizetéseihez
  3. Válassza ki azt az Azure-csomagot , amely alatt az előfizetés található
  4. Az Azure-csomag részletei lapon válassza ki a lemondani kívánt Azure-előfizetéseket
  5. Az előfizetés lemondása lehetőség kiválasztásával küldje el a módosításokat.

Ez csak a kiválasztott Azure-előfizetéseket szünteti meg. Az Azure-előfizetéshez hozzáféréssel rendelkező ügyfelek újraaktiválhatják az előfizetést, ha az Azure-csomag még aktív. A probléma elhárításához a partnereknek le kell mondaniuk az összes Azure-előfizetést, majd magát az Azure-csomagot.

A partnerek több előfizetést is kijelölhetnek, de egyszerre legfeljebb 10 előfizetést mondhatnak le. A partnerek lemondhatják az Azure-csomagot, ha nincsenek aktív Azure-előfizetések alatta. Ez lehetővé teszi a partnerek számára, hogy leállítsanak olyan Azure-csomagokat és előfizetéseket, amelyek esetleg veszélybe kerülhettek, még akkor is, ha egy rossz szereplő eltávolította az RBAC-engedélyeiket.

A partnerek lemondhatják az Azure-előfizetéseket a Partnerközpont portálján vagy az API-val. Az API-részletekért lásd : Azure-előfizetés lemondása és kipróbálás: Azure-kiadások – Azure-jogosultság lemondása – REST API.

A részletes információkért az Azure-előfizetések lemondásának módjáról tekintse meg: Mi történik az előfizetés lemondása után?

Azure-előfizetés újraaktiválása

A partnerek az Inaktív Azure-előfizetések lapon újraaktiválhatják azokat az Azure-előfizetéseket, amelyeket az ügyfél-feltörés miatt töröltek az Azure terv részleteinek oldalán. Ez a funkció csak a rendszergazdai ügynök szerepkörei számára érhető el. Megvalósítás:

  1. Válassza ki az ügyfelet az ügyféllistából
  2. Navigálás az ügyfél Azure-előfizetéseihez
  3. Válassza ki azt az Azure-csomagot , amely alatt az előfizetés található
  4. Az Azure-csomag részleteinek lapján, az Azure-előfizetés szakaszában válassza az Inaktív lapot
  5. Válassza ki az újraaktiválandó Azure-előfizetést
  6. A módosítások elküldéséhez válassza a Előfizetés újraaktiválása opciót.

Ez csak a kiválasztott Azure-előfizetéseket aktiválja újra. A partnerek több előfizetést is kijelölhetnek, de egyszerre legfeljebb 10 előfizetést aktiválhatnak újra. A társított Azure-csomagnak aktívnak kell lennie az Azure-előfizetések újraaktiválásához. A partnerek újraaktiválhatják az Azure-csomagokat közvetlenül a Partnerközpontban, ha az Azure-csomag részletei oldalra lépnek, és az Azure-csomag állapotát újra aktívra frissítik.

Ha az Azure-előfizetést az ügyfél vagy a számlázási tulajdonos megszakította az Azure Portalon, az ügyféllel vagy a számlázási tulajdonossal kapcsolatba kell lépnie, hogy újraaktiválja az előfizetést az Azure Portalról.

API-val történő újraaktiválás esetén lásd: Azure-előfizetés újraaktiválása – Partneralkalmazás-fejlesztő. A kipróbáláshoz tekintse meg az Azure-kiadások - Egy Azure-jogosultság újraaktiválása című témakört.

Az Azure-előfizetések újraaktiválásáról további információt az Azure dokumentációjában találhat.

Kapcsolódó tartalom