Verwalten von Abonnements und Ressourcen in einem Azure-Plan

Geeignete Rollen: Administrator-Agent

In diesem Artikel wird erläutert, wie Cloud Solution Provider (CSP)-Partner verschiedene rollenbasierte Zugriffssteuerungsoptionen (RBAC) verwenden können, um die betriebliche Kontrolle und Verwaltung der Azure-Ressourcen eines Kunden zu erhalten.

Wenn Sie einen Kunden in den Azure-Plan umstellen, werden Ihnen standardmäßig privilegierte Administratorrechte in Azure zugewiesen– Abonnementbesitzerrechte über Administrator im Auftrag von (AOBO)

Hinweis

Administratorrechte für das Azure-Abonnement können vom Kunden auf Abonnementebene, Ressourcengruppenebene oder Workloadebene entfernt werden.

Partner können die kontinuierliche betriebliche Kontrolle und Verwaltung der Azure-Ressourcen eines Kunden in CSP erhalten, indem verschiedene Optionen verwendet werden, die über das rollenbasierte Zugriffssteuerungsfeature (RBAC) verfügbar sind.

  • Administrator im Auftrag von – Mit AOBO verfügt jeder Benutzer mit der Administrator-Agent-Rolle im Partnermandanten über RBAC-Besitzerzugriff auf Azure-Abonnements, die Sie über das CSP-Programm erstellen.

  • Azure Lighthouse: AOBO verfügt nicht über die Flexibilität, unterschiedliche Gruppen zu erstellen, die mit unterschiedlichen Kunden arbeiten, oder um unterschiedliche Rollen für Gruppen oder Benutzer zu aktivieren. Mithilfe von Azure Lighthouse können Sie jedoch verschiedenen Kunden oder Rollen unterschiedliche Gruppen zuweisen. Da Benutzer über die entsprechende Zugriffsebene über die delegierte Azure-Ressourcenverwaltung verfügen, können Sie die Anzahl der Benutzer verringern, die über die Administrator-Agent-Rolle verfügen (und somit über vollständigen AOBO-Zugriff verfügen). Dies trägt zur Verbesserung der Sicherheit bei, indem der unnötige Zugriff auf die Ressourcen Ihrer Kunden eingeschränkt wird. Außerdem erhalten Sie mehr Flexibilität beim Verwalten mehrerer Kunden in großem Maßstab. Weitere Informationen finden Sie unter Azure Lighthouse und das Cloud Solution Provider-Programm.

  • Verzeichnis- oder Gastbenutzer oder Dienstprinzipale: Sie können den differenzierten Zugriff auf CSP-Abonnements delegieren, indem Sie Benutzer im Kundenverzeichnis hinzufügen oder Gastbenutzer hinzufügen und bestimmte RBAC-Rollen zuweisen.

Als Sicherheitspraxis empfiehlt Microsoft, Benutzern die Mindestberechtigungen zuzuweisen, die sie für ihre Arbeit benötigen. Weitere Informationen finden Sie unter Microsoft Entra Privileged Identity Management-Ressourcen.

In der folgenden Tabelle sind die Methoden aufgeführt, die verwendet werden, um Ihre PartnerID (ehemals MPN-ID) verschiedenen RBAC-Zugriffsoptionen zuzuordnen.

Kategorie Szenario PartnerID-Zuordnung
AOBO Der direkte CSP-Partner oder der indirekte Anbieter erstellt das Abonnement für den Kunden, wodurch der CSP-direkte Partner oder indirekter Anbieter der Standardbesitzer des Abonnements mit AOBO wird. Der direkte CSP-Partner oder indirekter Anbieter gewährt indirekten Wiederverkäufern Zugriff auf das Abonnement mithilfe von AOBO. Automatisch (keine Aktion vom Partner erforderlich)
Azure Lighthouse Partner erstellt ein neues Managed Service-Angebot in Marketplace. Das Angebot wird im CSP-Abonnement akzeptiert, und der Partner erhält Zugriff auf das CSP-Abonnement. Automatisch (keine Aktion vom Partner erforderlich)
Azure Lighthouse Partner stellt eine Azure Resource Manager (ARM)-Vorlage im Azure-Abonnement bereit. Partner muss die PartnerID dem Benutzer- oder Dienstprinzipal im Partnermandanten zuordnen. Weitere Informationen finden Sie unter "Verknüpfen Ihrer PartnerID", um ihre Auswirkungen auf delegierte Ressourcen nachzuverfolgen.
Verzeichnis- oder Gastbenutzer Der Partner erstellt im Kundenverzeichnis einen neuen Benutzer oder Dienstprinzipal und erteilt dem Benutzer Zugriff auf das CSP-Abonnement. Der Partner erstellt im Kundenverzeichnis einen neuen Benutzer oder Dienstprinzipal. Der Partner fügt den Benutzer einer Gruppe hinzu, und erteilt der Gruppe Zugriff auf das CSP-Abonnement. Partner muss die PartnerID dem Benutzer- oder Dienstprinzipal im Kundenmandanten zuordnen. Weitere Informationen finden Sie unter Verknüpfen einer PartnerID mit Ihrem Konto, das zum Verwalten von Kunden verwendet wird.

Überprüfen Sie, ob Sie über Administratorzugriff verfügen

Sie müssen über Administratorzugriff verfügen, um die Dienste Ihres Kunden zu verwalten und verdiente Gutschriften zu erhalten. Weitere Informationen zu verdienten Gutschriften finden Sie unter "Partner verdiente Gutschriften".

Führen Sie die folgenden Schritte aus, um zu ermitteln, ob Sie über Administratorzugriff verfügen:

  • Überprüfen Sie die tägliche Nutzungsdatei: Überprüfen Sie den Einzelpreis und den effektiven Einzelpreis in der täglichen Nutzungsdatei, und bestätigen Sie, ob ein Rabatt angewendet wird. Wenn Sie den Rabatt erhalten, sind Sie der Administrator.

Erstellen einer Azure Monitor-Warnmeldung

Sie können ein Aktivitätsprotokoll erstellen, mit dem Azure Monitor Alert benachrichtigt wird, wenn Ihr RBAC-Zugriff aus einem CSP-Abonnement entfernt wird.

Führen Sie die folgenden Schritte aus, um eine Azure-Monitorbenachrichtigung zu erstellen:

  1. Erstellen Sie eine Benachrichtigung.

    Screenshot einer Azure-Portal Warnung.

  2. Wählen Sie den Aktionstyp aus, den die Warnung ausführen soll.

    Wenn Sie beispielsweise angeben, dass Sie eine E-Mail wünschen, erhalten Sie eine E-Mail, die Sie benachrichtigt, wenn eine Rollenzuweisung gelöscht wird.

    Screenshot im Azure-Portal zum Konfigurieren einer Warnung.

AOBO-Entfernung

Kunden können den Zugriff auf ihre Abonnements verwalten, indem Sie auf der Azure-Portal zur Zugriffssteuerung wechseln. Auf der Registerkarte "Rollenzuweisungen" können sie "Zugriff entfernen" auswählen.

Wenn ein Kunde Ihren Zugriff entfernt, können Sie Folgendes tun:

  • Setzen Sie sich mit Ihrem Kunden in Verbindung, um herauszufinden, ob der Administratorzugriff wiederhergestellt werden kann.

  • Verwenden Sie den Zugriff, der durch die rollenbasierte Zugriffssteuerung (RBAC) zur Verfügung steht.

  • Verwenden Sie den Zugriff, der durch Azure Lighthouse zur Verfügung steht.

Der rollenbasierte Zugriff unterscheidet sich vom Administratorzugriff. Rollen grenzen präzise ein, was Sie ausführen können und was nicht. Der Administratorzugriff ist breiter.

Anhalten und Reaktivieren eines Azure-Plans

Partner können den Azure-Plan direkt im Partner Center von der Azure-Plandetailseite aus anhalten oder reaktivieren.

  1. Wählen Sie im Partner Center unter "Kunden" das Kundenkonto aus.
  2. Navigieren sie zu den Azure-Abonnements des Kunden
  3. Auswählen des Azure-Plans
  4. Wählen Sie den Status aus: Suspended and then Submit to suspend the Azure plan.
  5. Wählen Sie den Status aus: Aktiv und dann übermitteln , um den Azure-Plan erneut zu aktivieren.

Sie können einen vorhandenen Azure-Plan nur aussetzen, wenn ihr keine aktiven Nutzungsressourcen mehr zugeordnet sind, einschließlich Azure-Nutzungsabonnements und Azure-Reservierungen.

Partner können nur einen Azure-Plan pro bestimmter Wiederverkäufer und Kundenkombinationen kaufen. Wenn der Kunde eines Händlers über einen ausgesetzten Plan verfügt, kann dieser Kunde keinen neuen Plan erwerben. Die Kündigung steht für Azure-Plan nicht zur Verfügung.

Informationen zum Anhalten des Azure-Plans nach API finden Sie unter "Anhalten eines Abonnements – Partner-App-Entwickler".

Informationen zum Reaktivieren von Azure-Plan nach API finden Sie unter Reaktivieren eines angehaltenen Abonnements – Partner-App-Entwickler.

Kündigen eines Azure-Abonnements

Falls die Azure-Planabonnements des Kunden kompromittiert wurden, können Partner Azure-Abonnements aus dem Partner Center kündigen. Diese Funktion ist nur für Administrator-Agent-Rollen verfügbar. Gehen Sie hierzu folgendermaßen vor:

  1. Wählen Sie den Kunden aus der Kundenliste aus.
  2. Navigieren sie zu den Azure-Abonnements des Kunden
  3. Wählen Sie den Azure-Plan aus, unter dem das Abonnement enthalten ist.
  4. Wählen Sie auf der Seite mit den Azure-Plandetails die Azure-Abonnements aus, die Sie kündigen möchten.
  5. Übermitteln der Änderungen durch Auswählen von " Abonnement kündigen"

Dadurch werden nur die ausgewählten Azure-Abonnements storniert. Kunden mit Zugriff auf das Azure-Abonnement können das Abonnement reaktivieren, wenn der Azure-Plan noch aktiv ist. Um dies zu verhindern, sollten Partner alle Azure-Abonnements und dann den Azure-Plan selbst kündigen.

Partner können die Abonnements mehrfach auswählen, aber nicht mehr als 10 Abonnements gleichzeitig kündigen. Partner können den Azure-Plan kündigen, wenn keine aktiven Azure-Abonnements vorhanden sind. Dadurch können Partner Azure-Pläne und -Abonnements herunterfahren, die möglicherweise kompromittiert wurden, auch wenn ein ungültiger Akteur seine RBAC-Berechtigungen entfernt hat.

Partner können Azure-Abonnements über das Partner Center-Portal oder über die API kündigen. Api-Details finden Sie unter Kündigen eines Azure-Abonnements und zum Ausprobieren finden Sie unter Azure-Ausgaben – Kündigen einer Azure-Berechtigung – REST-API.

Weitere Informationen zum Kündigen von Azure-Abonnements finden Sie unter Was geschieht nach der Abonnementabkündigung?

Reaktivieren eines Azure-Abonnements

Partner können Azure-Abonnements reaktivieren, die aufgrund von Kundenkompromittierung von ihrer Azure-Plandetailseite mithilfe der Registerkarte "Inaktive Azure-Abonnements" abgebrochen wurden. Diese Funktion ist nur für Administrator-Agent-Rollen verfügbar. Gehen Sie hierzu folgendermaßen vor:

  1. Wählen Sie den Kunden aus der Kundenliste aus.
  2. Navigieren sie zu den Azure-Abonnements des Kunden
  3. Wählen Sie den Azure-Plan aus, unter dem das Abonnement enthalten ist.
  4. Wählen Sie auf der Seite "Azure-Plandetails" im Abschnitt "Azure-Abonnement " die Registerkarte "Inaktiv" aus.
  5. Wählen Sie das Azure-Abonnement aus, um es erneut zu aktivieren.
  6. Übermitteln der Änderungen durch Auswählen von " Abonnement reaktivieren"

Dadurch werden nur die ausgewählten Azure-Abonnements reaktiviert. Partner können die Abonnements mehrfach auswählen, aber nicht mehr als 10 Abonnements gleichzeitig reaktivieren. Der zugeordnete Azure-Plan muss aktiv sein, um Azure-Abonnements zu reaktivieren. Partner können Azure-Pläne direkt im Partner Center reaktivieren, indem Sie zur Azure-Plandetailseite wechseln und den Status des Azure-Plans wieder auf Active aktualisieren.

Wenn das Azure-Abonnement vom Kunden oder Abrechnungsbesitzer im Azure-Portal storniert wurde, muss der Kunde oder der Abrechnungsbesitzer kontaktiert werden, um das Abonnement aus dem Azure-Portal erneut zu aktivieren.

Informationen zum Reaktivieren nach API finden Sie unter Reaktivieren eines Azure-Abonnements – Partner-App-Entwickler. Informationen zum Ausprobieren finden Sie unter Azure-Ausgaben – Reaktivieren einer Azure-Berechtigung.

Weitere Informationen zum Reaktivieren von Azure-Abonnements finden Sie in der Azure-Dokumentation.