Hantera prenumerationer och resurser under Azure-planen
Lämpliga roller: Administratörsagent
Den här artikeln beskriver hur Molnlösningsleverantör partner (CSP) kan använda olika rollbaserade åtkomstkontrollalternativ (RBAC) för att få driftkontroll och hantering av en kunds Azure-resurser.
När du överför en kund till Azure-planen får du privilegierade administratörsrättigheter i Azure – ägarrättigheter för prenumerationen via Administratör å andras vägnar (AOBO) som standard.
Kommentar
Administratörsrättigheter till Azure-prenumerationen kan tas bort av kunden på prenumerationsnivå, resursgruppsnivå eller arbetsbelastningsnivå.
Partner kan få kontinuerlig driftkontroll och hantering av en kunds Azure-resurser i CSP med hjälp av olika alternativ som är tillgängliga via den rollbaserade åtkomstkontrollfunktionen (RBAC).
Administratör för – Med AOBO har alla användare med Administratörsagentroll i partnerhyresgästen RBAC-ägarrättigheter till Azure-prenumerationer som du skapar via CSP-programmet.
Azure Lighthouse: AOBO har inte flexibiliteten att skapa distinkta grupper som arbetar med olika kunder eller att aktivera olika roller för grupper eller användare. Med hjälp av Azure Lighthouse kan du dock tilldela olika grupper till olika kunder eller roller. Eftersom användarna har rätt åtkomstnivå via Azure-delegerad resurshantering kan du minska antalet användare som har rollen Administratörsagent (och därmed ha fullständig AOBO-åtkomst). Det hjälper till att förbättra säkerheten genom att begränsa onödig åtkomst till dina kunders resurser. Det ger dig också mer flexibilitet för att hantera flera kunder i stor skala. Mer information finns i Azure Lighthouse och Molnlösningsleverantör-programmet.
Katalog- eller gästanvändare eller tjänsthuvudnamn: Du kan delegera detaljerad åtkomst till CSP-prenumerationer genom att lägga till användare i kundkatalogen eller genom att lägga till gästanvändare och tilldela specifika RBAC-roller.
Som en säkerhetspraxis rekommenderar Microsoft att användarna tilldelas de minsta behörigheter som de behöver för att utföra sitt arbete. För mer information, se Microsoft Entra Privileged Identity Management-resurser.
Länka ditt PartnerID till dina autentiseringsuppgifter för att hantera en kunds Azure-resurser
I följande tabell visas de metoder som används för att associera ditt PartnerID (tidigare MPN-ID) med olika RBAC-åtkomstalternativ.
| Kategori | Scenario | PartnerID-association |
|---|---|---|
| AOBO | CSP-direktpartner eller indirekt leverantör skapar prenumerationen för kunden, vilket gör CSP-direktpartnern eller den indirekta providern till standardägare för prenumerationen med hjälp av AOBO. CSP-direktpartner eller indirekt leverantör ger indirekt återförsäljare åtkomst till prenumerationen med hjälp av AOBO. | Automatiskt (inget partnerarbete krävs) |
| Azure Lighthouse | Partner skapar ett nytt erbjudande om hanterad tjänst i Marketplace. Erbjudandet godkänns i CSP-prenumerationen och partnern får åtkomst till CSP-prenumerationen. | Automatiskt (inget partnerarbete krävs) |
| Azure Lighthouse | Partner installerar en ARM-mall (Azure Resource Manager) i en Azure-prenumeration | Partnern måste associera PartnerID med användaren eller tjänstens huvudnamn i partnerklientorganisationen. För mer information, se Länka ditt PartnerID för att spåra din påverkan på delegerade resurser. |
| Katalog- eller gästanvändare | Partner skapar en ny användare eller tjänsthuvudnamn i kundkatalogen och ger åtkomst till CSP-prenumerationen till användaren. Partner skapar en ny användare eller tjänstens huvudnamn i kundkatalogen. Partner lägger till användaren i en grupp och ger åtkomst till CSP-prenumerationen till gruppen. | Partnern måste associera PartnerID med användaren eller tjänstkontakten i kundklienten. För mer information, se hur du länkar ett PartnerID till ditt konto som används för att hantera kunder. |
Bekräfta att du har administratörsåtkomst
Du måste ha administratörsåtkomst för att hantera kundens tjänster och för att få intjänade krediter. För mer information om intjänade krediter, se Partnerintjänade krediter.
Använd följande steg för att avgöra om du har administratörsåtkomst:
- Granska den dagliga användningsfilen: Gå igenom enhetspriset och det effektiva enhetspriset i den dagliga användningsfilen och bekräfta om en rabatt tillämpas. Om du får rabatten är du administratör.
Skapa en Azure Monitor-avisering
Du kan skapa en aktivitet logg Azure Monitor-avisering för att meddelas om din RBAC-åtkomst tas bort från en CSP-prenumeration.
Använd följande steg för att skapa en Azure Monitor-avisering:
Skapa en avisering.
Skärmbild av en Azure portal varning.
Välj den typ av åtgärd som du vill att aviseringen ska utföra.
Om du till exempel anger att du vill ha ett e-postmeddelande får du ett e-postmeddelande som meddelar dig om någon borttagning av rolltilldelning sker.
Skärmbild i Azure-portalen för att konfigurera en varning.AOBO-borttagning
Kunder kan hantera åtkomst till sina prenumerationer genom att gå till Åtkomstkontroll på Azure Portal. På fliken Rolltilldelningar kan de välja Ta bort åtkomst.
Om en kund tar bort din åtkomst kan du:
Prata med kunden för att se om administratörsåtkomst kan återställas.
Använd åtkomsten som tillhandahålls genom rollbaserad åtkomstkontroll (RBAC).
Använd åtkomst som tillhandahålls via Azure Lighthouse.
Rollbaserad åtkomst skiljer sig från administratörsåtkomst. Roller avgränsar exakt vad du kan och inte kan göra. Administratörsåtkomsten är bredare.
Pausa och återaktivera en Azure-plan
Partner kan pausa eller återaktivera Azure-plan direkt i Partnercenter från informationssidan för Azure-planen.
- I Partnercenter går du till Kunder och väljer kundkontot
- Gå till kundens Azure-prenumerationer
- Välj Azure-planen
- Välj Status: Pausad och sedan Skicka för att pausa Azure-planen.
- Välj Status: Aktiv och sedan Skicka för att återaktivera Azure-planen.
Du kan bara pausa en befintlig Azure-plan om den inte längre har några aktiva användningstillgångar associerade med den, inklusive Azure-användningsprenumerationer och Azure-reservationer.
Partner kan bara köpa en Azure-plan per specifik återförsäljare och kundkombination. Om en återförsäljares kund har en pausad plan kan kunden inte köpa en ny plan. Annullering är inte tillgängligt för Azure-plan.
För avstängning av Azure-plan via API, se Pausa en prenumeration – Partnerapputvecklare.
För återaktivering av Azure-plan via API, se Återaktivera en pausad prenumeration – Partnerapputvecklare.
Avbryta en Azure-prenumeration
Om kundens Azure-prenumerationer har komprometterats kan partner avbryta Azure-prenumerationer från Partnercenter. Den här funktionen är endast tillgänglig för administratörsagentroller. Så här gör du:
- Välj kunden från kundlistan
- Gå till kundens Azure-prenumerationer
- Välj den Azure-plan som prenumerationen tillhör
- På sidan Information om Azure-plan väljer du de Azure-prenumerationer som ska avbrytas
- Skicka ändringarna genom att välja Avbryt prenumeration
Detta avbryter endast de valda Azure-prenumerationerna. Kunder med åtkomst till Azure-prenumerationen kan återaktivera prenumerationen om Azure-planen fortfarande är aktiv. För att förhindra detta bör partner avbryta alla Azure-prenumerationer och sedan själva Azure-planen.
Partner kan välja flera prenumerationer men kan inte avbryta fler än 10 prenumerationer åt gången. Partner kan avbryta Azure-planen när det inte finns några aktiva Azure-prenumerationer under den. Detta gör det möjligt för partner att stänga av Azure-planer och prenumerationer som kan ha komprometterats, även om en dålig aktör har tagit bort sina RBAC-behörigheter.
Partner kan avbryta Azure-prenumerationer via Partnercenter-portalen eller via API. API-information finns i Avbryta en Azure-prenumeration och för att prova det, se Azure-utgifter – Avbryt en Azure-berättigande – REST API.
För mer information om hur du avslutar Azure-prenumerationer, se Vad händer efter att prenumerationen har avslutats?
Återaktivera en Azure-prenumeration
Partner kan återaktivera Azure-prenumerationer som avbröts på grund av kundkompromisser från informationssidan för Azure-abonnemang med hjälp av fliken Inaktiva Azure-prenumerationer. Den här funktionen är endast tillgänglig för administratörsagentroller. Så här gör du:
- Välj kunden från kundlistan
- Gå till kundens Azure-prenumerationer
- Välj den Azure-plan som prenumerationen hör till
- På sidan för Azure-planinformation, under avsnittet Azure-prenumeration, väljer du fliken Inaktiv
- Välj den Azure-prenumeration som ska återaktiveras
- Skicka ändringarna genom att välja Återaktivera prenumeration
Detta reaktivaterar endast de valda Azure-prenumerationerna. Partner kan välja flera prenumerationer men kan inte återaktivera fler än 10 prenumerationer åt gången. Den associerade Azure-planen måste vara aktiv för att återaktivera Azure-prenumerationer. Partner kan återaktivera Azure-planer direkt i Partnercenter genom att gå till informationssidan för Azure-planen och uppdatera statusen för Azure-planen tillbaka till Active.
Om Azure-prenumerationen avbröts av kunden eller faktureringsägaren i Azure Portal måste kunden eller faktureringsägaren kontaktas för att återaktivera prenumerationen från Azure Portal.
För att återaktivera med API, se Återaktivera en Azure-prenumeration – Partnerapputvecklare. För att testa, se Azure-utgifter – återaktivera en Azure-rättighet.
Mer information om hur du återaktiverar Azure-prenumerationer finns i Azure-dokumentationen.
Relaterat innehåll
- Återställa administratörsbehörigheter för Azure CSP-prenumerationer
- Partnertjänad kredit – översikt
- Partnerns intjänad kredit för hanterade tjänster