Gestire sottoscrizioni e risorse nel piano di Azure
Ruoli appropriati: agente di amministrazione
Questo articolo illustra in che modo i partner Cloud Solution Provider (CSP) possono usare varie opzioni di controllo degli accessi in base al ruolo per ottenere il controllo operativo e la gestione delle risorse di Azure di un cliente.
Quando si passa un cliente al piano di Azure, per impostazione predefinita vengono assegnati diritti di amministratore con privilegi in Azure, ovvero i diritti di proprietario della sottoscrizione tramite l'amministratore per conto di (AOBO).
Nota
I diritti di amministratore per la sottoscrizione di Azure possono essere rimossi dal cliente a livello di sottoscrizione, a livello di gruppo di risorse o a livello di carico di lavoro.
I partner possono ottenere il controllo operativo e la gestione continui delle risorse di Azure di un cliente in CSP usando varie opzioni disponibili tramite la funzionalità di controllo degli accessi in base al ruolo.
Amministratore per conto di : con AOBO, qualsiasi utente con il ruolo agente amministratore nel tenant del partner ha accesso proprietario del controllo degli accessi in base al ruolo alle sottoscrizioni di Azure create tramite il programma CSP.
Azure Lighthouse: AOBO non offre la flessibilità necessaria per creare gruppi distinti che funzionano con clienti diversi o per abilitare ruoli diversi per gruppi o utenti. Tuttavia, usando Azure Lighthouse, è possibile assegnare gruppi diversi a clienti o ruoli diversi. Poiché gli utenti hanno il livello di accesso appropriato tramite la gestione risorse delegate di Azure, è possibile ridurre il numero di utenti che hanno il ruolo agente di amministrazione (e quindi hanno accesso AOBO completo). Ciò consente di migliorare la sicurezza limitando l'accesso non necessario alle risorse dei clienti. e inoltre offre maggiore flessibilità per la gestione di più clienti su larga scala. Per maggiori informazioni, vedere Azure Lighthouse e il programma Cloud Solution Provider.
Utenti directory o utenti guest o entità servizio: è possibile delegare l'accesso granulare alle sottoscrizioni CSP aggiungendo utenti nella directory del cliente o aggiungendo utenti guest e assegnando ruoli di controllo degli accessi in base al ruolo specifici.
Come procedura di sicurezza, Microsoft consiglia di assegnare agli utenti le autorizzazioni minime necessarie per svolgere il proprio lavoro. Per altre informazioni, vedere Risorse di Microsoft Entra Privileged Identity Management.
Collegare l'ID partner alle credenziali per gestire le risorse di Azure di un cliente
Nella tabella seguente vengono illustrati i metodi usati per associare partnerID (in precedenza ID MPN) a varie opzioni di accesso con controllo degli accessi in base al ruolo.
Categoria | Scenario | Associazione PartnerID |
---|---|---|
Amministratore per conto terzi | Il partner diretto O il provider indiretto CSP crea la sottoscrizione per il cliente, rendendo il partner diretto CSP o il provider indiretto il proprietario predefinito della sottoscrizione usando AOBO. Il partner diretto O il provider indiretto CSP concede al rivenditore indiretto l'accesso alla sottoscrizione tramite AOBO. | Automatica (nessun intervento necessario da parte del partner) |
Azure Lighthouse | Il partner crea una nuova offerta di servizio gestito nel Marketplace. L'offerta viene accettata nella sottoscrizione CSP e il partner ottiene l'accesso alla sottoscrizione CSP. | Automatica (nessun intervento necessario da parte del partner) |
Azure Lighthouse | Il partner distribuisce un modello di Azure Resource Manager (ARM) nella sottoscrizione di Azure | Il partner deve associare il PartnerID all'utente o all'entità servizio nel tenant partner. Per altre informazioni, vedere Collegare il partnerID per tenere traccia dell'impatto sulle risorse delegate. |
Utente directory o guest | Il partner crea un nuovo utente o un'entità servizio nella directory del cliente e concede all'utente l'accesso alla sottoscrizione CSP. Il partner crea un nuovo utente o una nuova entità servizio nella directory del cliente. Partner aggiunge l'utente a un gruppo e concede al gruppo l'accesso alla sottoscrizione CSP. | Il partner deve associare il PartnerID all'utente o all'entità servizio nel tenant del cliente. Per altre informazioni, vedere Collegare un ID partner all'account usato per gestire i clienti. |
Verificare di disporre dell'accesso come amministratore
È necessario disporre dell'accesso amministratore per gestire i servizi del cliente e ricevere crediti ottenuti. Per altre informazioni sui crediti ottenuti, vedere Crediti ottenuti dai partner.
Per determinare se si dispone dell'accesso amministratore, seguire questa procedura:
- Esaminare il file di utilizzo giornaliero: esaminare il prezzo unitario e il prezzo unitario effettivo nel file di utilizzo giornaliero e verificare se viene applicato uno sconto. Se si riceve lo sconto, si è l'amministratore.
Creare un avviso di Monitoraggio di Azure
È possibile creare un avviso di Monitoraggio di Azure del log attività per ricevere una notifica se l'accesso con controllo degli accessi in base al ruolo viene rimosso da una sottoscrizione CSP.
Per creare un avviso di Monitoraggio di Azure, seguire questa procedura:
Selezionare il tipo di azione che si vuole eseguire l'avviso.
Ad esempio, se si specifica che si desidera un messaggio di posta elettronica, si riceverà un messaggio di posta elettronica che informa se si verifica un'eliminazione dell'assegnazione di ruolo.
Rimozione dell'accesso come Amministratore per conto terzi
I clienti possono gestire l'accesso alle sottoscrizioni Controllo di accesso all'portale di Azure. Nella scheda Assegnazioni di ruolo è possibile selezionare Rimuovi accesso.
Se un cliente rimuove l'accesso, è possibile:
Parlare con il cliente per verificare se l'accesso amministratore può essere ripristinato.
Usare l'accesso fornito tramite il controllo degli accessi in base al ruolo.
Usare l'accesso fornito tramite Azure Lighthouse.
L'accesso in base al ruolo è diverso dall'accesso amministratore. I ruoli delimitano in modo preciso le operazioni consentite e non. L'accesso amministratore è più ampio.
Sospendere e riattivare un piano di Azure
I partner possono sospendere o riattivare il piano di Azure direttamente nel Centro per i partner dalla pagina dei dettagli del piano di Azure.
- Nel Centro per i partner, in Clienti, selezionare l'account del cliente
- Passare alle sottoscrizioni di Azure del cliente
- Selezionare il piano di Azure
- Selezionare Stato: Sospeso e quindi Invia per sospendere il piano di Azure.
- Selezionare Stato: Attivo e quindi Invia per riattivare il piano di Azure.
È possibile sospendere un piano di Azure esistente solo se non dispone più di asset di utilizzo attivi associati, incluse le sottoscrizioni di utilizzo di Azure e le prenotazioni di Azure.
I partner possono acquistare un solo piano di Azure per ogni rivenditore e combinazione di clienti specifici. Se il cliente di un rivenditore ha un piano sospeso, il cliente non può acquistare un nuovo piano. L'annullamento non è disponibile per il piano di Azure.
Per la sospensione del piano di Azure in base all'API, vedere Sospendere una sottoscrizione - Sviluppatore di app partner.
Per la riattivazione del piano di Azure per API, vedere Riattivare una sottoscrizione sospesa - Sviluppatore di app partner.
Annullare una sottoscrizione di Azure
Nel caso in cui le sottoscrizioni del piano di Azure del cliente siano state compromesse, i partner possono annullare le sottoscrizioni di Azure dal Centro per i partner. Questa funzionalità è disponibile solo per i ruoli dell'agente di amministrazione. A questo scopo, è necessario:
- Selezionare il cliente dall'elenco dei clienti
- Passare alle sottoscrizioni di Azure del cliente
- Selezionare il piano di Azure in cui si trova la sottoscrizione
- Nella pagina dei dettagli del piano di Azure selezionare le sottoscrizioni di Azure da annullare
- Inviare le modifiche selezionando Annulla sottoscrizione
In questo modo vengono annullate solo le sottoscrizioni di Azure selezionate. I clienti con accesso alla sottoscrizione di Azure possono riattivare la sottoscrizione se il piano di Azure è ancora attivo. Per impedire questo problema, i partner devono annullare tutte le sottoscrizioni di Azure e quindi il piano di Azure stesso.
I partner possono selezionare più sottoscrizioni, ma non possono annullare più di 10 sottoscrizioni alla volta. I partner possono annullare il piano di Azure quando non sono presenti sottoscrizioni di Azure attive. Ciò consente ai partner di arrestare i piani e le sottoscrizioni di Azure che potrebbero essere stati compromessi, anche se un attore non valido ha rimosso le autorizzazioni di controllo degli accessi in base al ruolo.
I partner possono annullare le sottoscrizioni di Azure tramite il portale del Centro per i partner o l'API. Per informazioni dettagliate sull'API, vedere Annullare una sottoscrizione di Azure e provarla, vedere Spesa di Azure - Annullare un diritto di Azure - API REST.
Per altre informazioni sull'annullamento delle sottoscrizioni di Azure, vedere Cosa accade dopo l'annullamento della sottoscrizione?
Riattivare una sottoscrizione di Azure
I partner possono riattivare le sottoscrizioni di Azure annullate a causa della compromissione dei clienti dalla pagina dei dettagli del piano di Azure usando la scheda Sottoscrizioni di Azure inattive. Questa funzionalità è disponibile solo per i ruoli dell'agente di amministrazione. A questo scopo, è necessario:
- Selezionare il cliente dall'elenco dei clienti
- Passare alle sottoscrizioni di Azure del cliente
- Selezionare il piano di Azure in cui si trova la sottoscrizione
- Nella pagina dei dettagli del piano di Azure, nella sezione Sottoscrizione di Azure, selezionare la scheda Inattiva
- Selezionare la sottoscrizione di Azure da riattivare
- Inviare le modifiche selezionando Riattiva sottoscrizione
In questo modo vengono riattivate solo le sottoscrizioni di Azure selezionate. I partner possono selezionare più sottoscrizioni, ma non possono riattivare più di 10 sottoscrizioni alla volta. Il piano di Azure associato deve essere attivo per riattivare le sottoscrizioni di Azure. I partner possono riattivare i piani di Azure direttamente nel Centro per i partner passando alla pagina dei dettagli del piano di Azure e aggiornando lo stato del piano di Azure in Attivo.
Se la sottoscrizione di Azure è stata annullata dal cliente o dal proprietario della fatturazione nel portale di Azure, il cliente o il proprietario della fatturazione dovrà essere contattato per riattivare la sottoscrizione dal portale di Azure.
Per la riattivazione tramite API, vedere Riattivare una sottoscrizione di Azure - Sviluppatore di app partner. Per provare, vedere Spesa di Azure - Riattivare un diritto di Azure.
Altre informazioni sulla riattivazione delle sottoscrizioni di Azure sono disponibili nella documentazione di Azure.