Müşterinin Azure CSP abonelikleri için yönetici ayrıcalıklarını yeniden devreye sokma
Uygun roller: Genel yönetici | Yönetici aracısı
Bulut Çözümü Sağlayıcısı (CSP) program iş ortağı olarak müşterileriniz genellikle Azure kullanımlarının ve sistemlerinin yönetimi için size güvenir. Yardımcı olabilmek için yönetici ayrıcalıklarına sahip olmanız gerekir. Henüz yönetici ayrıcalıklarınız yoksa müşterinizle birlikte çalışarak bu ayrıcalıkları yeniden devre sokabilirsiniz.
CSP programında Azure için yönetici ayrıcalıkları
Bir müşteriyle kurumsal bayi ilişkisi kurduğunuzda bazı yönetici ayrıcalıkları otomatik olarak verilir. Diğerleri, bir müşteri tarafından size verilmelidir.
CSP'de Azure için iki yönetici ayrıcalık düzeyi vardır:
Kiracı düzeyinde yönetici ayrıcalıkları (temsilci yönetici ayrıcalıkları) müşterilerinizin kiracılarına erişmenizi sağlar. Bu temsilci erişimi, kullanıcı ekleme ve yönetme, parolaları sıfırlama ve kullanıcı lisanslarını yönetme gibi yönetim işlevlerini gerçekleştirmenizi sağlar.
Müşterilerle CSP kurumsal bayi ilişkileri kurduğunuzda kiracı düzeyinde yönetici ayrıcalıklarına sahip olursunuz.
Abonelik düzeyinde yönetici ayrıcalıkları size müşterilerinizin Azure CSP abonelikleri üzerinde tam erişim verir. Bu erişim müşterilerinizin Azure kaynaklarını sağlamanıza ve yönetmenize olanak tanır.
Müşterileriniz için Azure CSP abonelikleri oluştururken abonelik düzeyinde yönetici ayrıcalıkları elde edersiniz.
CSP yönetici ayrıcalıklarınızı yeniden devreye getirme: Eylemleriniz
Siz ve müşterinizin csp yönetici ayrıcalıklarınızı yeniden devreye almak için gerçekleştirebileceğiniz eylemleriniz vardır. Bu bölümde gerçekleştirmeniz gereken eylemler açıklanmaktadır.
CSP yönetici ayrıcalıklarınızı yeniden uygulamak için aşağıdaki adımları kullanın:
İş Ortağı Merkezi'nde oturum açın ve Müşteriler'i seçin.
Müşteri Listesi'nde, bayilik ilişkisi isteğinde bulunun seçeneğini seçin.
Temsilci Yönetici Ayrıcalıkları onay kutusu için:
- Temsilci yönetici ayrıcalıklarıyla ilişki kurmak için onay kutusunu seçili bırakın.
- Yönetici temsilcisi ayrıcalıkları olmadan ilişkiyi kurmak için onay kutusunu temizleyin.
Taslak e-posta davetini gözden geçirin.
- Taslak daveti varsayılan e-posta uygulamanızda açmak için E-postada aç'ı seçin.
- Daveti kopyalayıp bir e-posta iletisine yapıştırmak için Panoya kopyala'yı seçin.
Önemli
Taslak e-posta iletisindeki metni düzenleyebilirsiniz, ancak müşteriyi doğrudan hesabınıza bağladığından kişiselleştirilmiş bağlantıyı eklediğinizden emin olun.
Bitti'yi seçin.
E-posta davetini müşterinize gönderin.
Not
İsteği kabul edebilmek için, müşterinizin kuruluşundaki kişinin müşterinizin kiracısının Genel yöneticisi olması gerekir.
- Müşteriniz e-postada aldığı bağlantıyı seçer. Bağlantı, davetinizi kabul edebildiği Microsoft Yönetim Merkezi'ne götürür.
- Müşteri davetinizi kabul ettikten sonra İş Ortağı Merkezi’ndeki Müşteriler sayfanızda görüntülenir ve oradan müşteri için hizmeti sağlayabilir ve yönetebilirsiniz.
Müşteriniz sağlanan bağlantıyı kullanarak bayi ilişkisi davetini onayladıktan sonra, AdminAgents grubunun kimliğini almak için iş ortağı kiracısına bağlanın.
Connect-AzAccount -Tenant "Partner tenant" # Get Object ID of AdminAgents group Get-AzADGroup -DisplayName AdminAgentsMüşterinizin şunlara sahip olduğundan emin olun:
- Sahip veya kullanıcı erişimi yöneticisi rolü
- Abonelik düzeyinde rol atamaları oluşturma izinleri
CSP yönetici ayrıcalıklarınızı yeniden devreye getirme: Müşteri eylemleri
Bu bölümde müşterinin CSP yönetici ayrıcalıklarınızı yeniden uygulamaya yönelik eylemleri açıklanmaktadır.
CSP yönetici ayrıcalıklarınızı yeniden etkinleştirme işlemini tamamlamak için müşteriniz Aşağıdaki adımları gerçekleştirmek için PowerShell veya Azure CLI kullanır:
Müşteriniz modülü güncelleştirmek
Az.Resourcesiçin PowerShell kullanıyor.Update-Module Az.ResourcesMüşteriniz CSP aboneliğinin bulunduğu kiracıya bağlanır.
Connect-AzAccount -TenantID "<Customer tenant>"az login --tenant <Customer tenant>Müşteriniz aboneliğe bağlanır.
Bu adım yalnızca kullanıcının kiracıdaki birden çok abonelik üzerinde rol atama izinleri varsa geçerlidir.
Set-AzContext -SubscriptionID "<CSP Subscription ID>"az account set --subscription <CSP Subscription ID>Müşteriniz rol atamasını oluşturur.
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
Abonelik düzeyinde sahip izinleri vermek yerine, bunlar kaynak grubunda veya kaynak düzeyinde verilebilir:
Kaynak grubu düzeyinde
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"Kaynak düzeyinde
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
Müşteri adımlarında sorun giderme
Müşteriniz önceki adımları tamamlayamıyorsa aşağıdaki komutu önerin ve daha fazla analiz için sonuçta elde edilen newRoleAssignment.log dosyayı Microsoft'a sağlayın:
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log
CSP yönetici ayrıcalıklarınızı yeniden devreye ekleme: PowerShell catchall yordamı
Önceki bölümlerdeki adımlar işe yaramazsa veya bunları denerken hata alırsanız, müşterinizin yönetici haklarını yeniden uygulamak için aşağıdaki "catchall" yordamını deneyin:
Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"
"catchall" işlemi Import-Module konumunda başarısız olursa aşağıdaki adımları deneyin:
- Modül kullanımda olduğu için içeri aktarma işlemi başarısız olursa, tüm pencereleri kapatıp yeniden açarak PowerShell oturumunu yeniden başlatın.
-
Az.ResourcessürümünüGet-Module Az.Resources -ListAvailableile denetleyin.- Eğer sürüm 4.1.1 mevcut listede değilse,
Update-Module Az.Resources -Forcekullanmak zorundasınız.
- Eğer sürüm 4.1.1 mevcut listede değilse,
- Bir hata
Az.Accounts'nin belirli bir sürüm olması gerektiğini belirtirse,Az.Resources'iAz.Accountsile değiştirerek bu modülü de güncelleyin. Ardından PowerShell oturumunu yeniden başlatmanız gerekir.
Dolaylı Satıcı, Azure abonelikleri için müşterilerin adına yönetici ayrıcalıkları edinme
Dolaylı Kurumsal Bayi, Azure abonelikleri için AOBO müşteri ayrıcalıkları kazanmak için şu adımları izleyebilir:
- Son müşteriyle ilişki kurma.
- Azure abonelikleri için son müşteriyle detaylandırılmış devredilmiş yönetici ayrıcalıkları (GDAP) talep edin.
- Kendi Azure portalınızda, kendi kiracınız için AdminAgent grubunun nesne ID'sini denetleyin (bunun nasıl yapılacağını öğrenmek için İş ortağı tarafından kazanılan kredi sorun giderme kılavuzuna bakın).
- Dolaylı Sağlayıcı, müşteri ve RBAC sahibi rolleri için OBO haklarına sahipse, CSP yönetici ayrıcalıklarınızı yeniden devreye alma: Müşteri eylemleri başlıklı bölümde belirtilen betiği çalıştırarak Dolaylı Satıcının Yönetici temsilcisi nesne kimliğine AOBO izinleri verebilir. Alternatif olarak, abonelikte sahiplik hakları varsa son müşteri bunu yapabilir.