Ripristinare i privilegi di amministratore per le sottoscrizioni di Azure CSP di un cliente

Ruoli appropriati: amministratore globale | Agente amministratore

Da un partner del programma CSP, i clienti si aspettano in genere la gestione dell'utilizzo di Azure e dei sistemi per loro conto. Sono necessari privilegi di amministratore per aiutarli. Se non si hanno già privilegi di amministratore, è possibile collaborare con il cliente per ripristinarli.

Privilegi di amministratore per Azure nel programma CSP

Alcuni privilegi di amministratore vengono concessi automaticamente quando si stabilisce una relazione di rivenditore con un cliente. Altri utenti devono essere concessi all'utente da un cliente.

Esistono due livelli di privilegi di amministratore per Azure in CSP:

• I privilegi di amministratore a livello di tenant, ovvero privilegi di amministratore delegato, consentono di accedere ai tenant dei clienti. Questo accesso delegato consente di eseguire funzioni amministrative, ad esempio l'aggiunta e la gestione degli utenti, la reimpostazione delle password e la gestione delle licenze utente.

  Si ottengono privilegi di amministratore a livello di tenant quando si stabiliscono relazioni tra rivenditori CSP con i clienti.

• I privilegi di amministratore a livello di sottoscrizione offrono l'accesso completo alle sottoscrizioni Azure CSP dei clienti. Questo accesso consente di effettuare il provisioning e gestire le loro risorse di Azure.

  Si ottengono privilegi di amministratore a livello di sottoscrizione durante la creazione di sottoscrizioni di Azure CSP per i clienti.

Reintegrare i privilegi di amministratore CSP: azioni

Ogni utente e il cliente hanno azioni da eseguire per ripristinare i privilegi di amministratore CSP. In questa sezione vengono descritte le azioni da eseguire.

Per ripristinare i privilegi di amministratore CSP, seguire questa procedura:

1. Accedere al Partner Center, poi selezionare Clienti.

2. Nell'elenco clienti selezionare Richiedi una relazione rivenditore.

3. Per la casella di controllo Privilegi di amministratore delegato:

   • Lasciare selezionata la casella di controllo per stabilire la relazione con privilegi di amministratore delegato.
   • Deselezionare la casella di controllo per stabilire la relazione senza privilegi di amministratore delegato.

   

4. Esaminare la bozza di invito tramite posta elettronica.

   • Selezionare Apri nel messaggio di posta elettronica per aprire l'invito bozza nell'applicazione di posta elettronica predefinita.
   • Selezionare Copia negli Appunti per copiare e incollare l'invito in un messaggio di posta elettronica.

   Importante

   È possibile modificare il testo nel messaggio di posta elettronica bozza, ma assicurarsi di includere il collegamento personalizzato perché collega il cliente direttamente al proprio account.

5. Selezionare Fatto.

6. Inviare l'invito tramite posta elettronica al cliente.

   Nota

   Per poter accettare la richiesta, la persona dell'organizzazione del cliente deve essere un amministratore globale del tenant del cliente.

   • Il cliente seleziona il collegamento ricevuto nel messaggio di posta elettronica. Il collegamento li porta all'interfaccia di amministrazione Microsoft in cui possono accettare l'invito.
   • Dopo aver accettato l'invito, il cliente verrà visualizzato nella pagina Clienti in Partner Center e sarà possibile effettuare il provisioning e gestire il servizio per il cliente da questa pagina.

7. Dopo che il cliente approva l'invito alla relazione rivenditore usando il collegamento fornito, connettersi al tenant partner per ottenere il object ID del gruppo AdminAgents.

   Connect-AzAccount -Tenant "Partner tenant"
   # Get Object ID of AdminAgents group
   Get-AzADGroup -DisplayName AdminAgents
   

8. Assicurarsi che il cliente abbia:

   • Ruolo di proprietario o amministratore accesso utenti
   • Autorizzazioni per creare assegnazioni di ruolo a livello di sottoscrizione

Reintegrare i privilegi di amministratore CSP: Azioni del cliente

Questa sezione descrive le azioni del cliente per ripristinare i privilegi di amministratore CSP.

Per completare la reinizializzazione dei privilegi di amministratore CSP, il cliente usa PowerShell o l'interfaccia della riga di comando di Azure per eseguire la procedura seguente:

1. Il cliente usa PowerShell per aggiornare il Az.Resources modulo.

   Update-Module Az.Resources
   

2. Il cliente si connette al tenant in cui esiste la sottoscrizione CSP.

   Connect-AzAccount -TenantID "<Customer tenant>"
   

   az login --tenant <Customer tenant>
   

3. Il cliente si connette alla sottoscrizione.

   Questo passaggio è applicabile solo se l'utente ha autorizzazioni di assegnazione di ruolo su più sottoscrizioni nel tenant.

   Set-AzContext -SubscriptionID "<CSP Subscription ID>"
   

   az account set --subscription <CSP Subscription ID>
   

4. Il cliente crea l'assegnazione di ruolo.

   New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
   

   az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
   

Anziché concedere le autorizzazioni di proprietario a livello di sottoscrizione , è possibile concedergli le autorizzazioni a livello di gruppo di risorse o di risorsa :

• A livello di gruppo di risorse

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
  

• A livello di risorsa

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
  

Risoluzione dei problemi relativi ai passaggi del cliente

Se il cliente non è in grado di completare i passaggi precedenti, suggerire il comando seguente e fornire il file risultante newRoleAssignment.log a Microsoft per ulteriori analisi:

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

Reintegrare i privilegi di amministratore CSP: procedura catchall di PowerShell

Se i passaggi nelle sezioni precedenti non funzionano o se vengono visualizzati errori durante il tentativo, provare la procedura "catchall" seguente per ripristinare i diritti di amministratore per il cliente:

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

Se la procedura "catchall" ha esito negativo in Import-Module, provare i passaggi seguenti:

• Se l'importazione non riesce perché il modulo è in uso, riavviare la sessione di PowerShell chiudendo e riaprendo tutte le finestre.
• Controllare la versione di Az.Resources con Get-Module Az.Resources -ListAvailable.
  • Se la versione 4.1.1 non è presente nell'elenco disponibile, è necessario usare Update-Module Az.Resources -Force.
• Se un errore indica che Az.Accounts deve essere una versione specifica, aggiornare anche il modulo, sostituendo Az.Resources con Az.Accounts. È quindi necessario riavviare la sessione di PowerShell.

Come un rivenditore indiretto può ottenere privilegi di amministratore per conto dei clienti (AOBO) per le sottoscrizioni di Azure

Un rivenditore indiretto può seguire questa procedura per ottenere i privilegi dei clienti AOBO per le sottoscrizioni di Azure:

1. Stabilire una relazione con il cliente finale.
2. Richiedere privilegi di amministratore delegato granulari (GDAP) con il cliente finale per le sottoscrizioni di Azure.
3. Controllare il proprio portale di Azure l'ID oggetto del gruppo AdminAgent per il proprio tenant (per informazioni su come eseguire questa operazione, vedere la guida alla risoluzione dei problemi relativi al credito ottenuto dal partner).
4. Se il provider indiretto ha diritti OBO per i ruoli di proprietario del cliente e controllo degli accessi in base al ruolo, può eseguire lo script fornito in Reinstate i privilegi di amministratore CSP: azioni del cliente per concedere le autorizzazioni AOBO all'ID oggetto agente amministratore del rivenditore indiretto. In alternativa, il cliente finale può eseguire questa operazione se dispone dei diritti di proprietà per la sottoscrizione.

Contenuto correlato

• Gestire sottoscrizioni e risorse nel piano di Azure