Ripristinare i privilegi di amministratore per le sottoscrizioni di Azure CSP di un cliente
Ruoli appropriati: amministratore globale | Agente amministratore
Da un partner del programma CSP, i clienti si aspettano in genere la gestione dell'utilizzo di Azure e dei sistemi per loro conto. Sono necessari privilegi di amministratore per aiutarli. Se non si hanno già privilegi di amministratore, è possibile collaborare con il cliente per ripristinarli.
Privilegi di amministratore per Azure nel programma CSP
Alcuni privilegi di amministratore vengono concessi automaticamente quando si stabilisce una relazione di rivenditore con un cliente. Altri utenti devono essere concessi all'utente da un cliente.
Esistono due livelli di privilegi di amministratore per Azure in CSP:
I privilegi di amministratore a livello di tenant, ovvero privilegi di amministratore delegato, consentono di accedere ai tenant dei clienti. Questo accesso delegato consente di eseguire funzioni amministrative, ad esempio l'aggiunta e la gestione degli utenti, la reimpostazione delle password e la gestione delle licenze utente.
Si ottengono privilegi di amministratore a livello di tenant quando si stabiliscono relazioni tra rivenditori CSP con i clienti.
I privilegi di amministratore a livello di sottoscrizione offrono l'accesso completo alle sottoscrizioni Azure CSP dei clienti. Questo accesso consente di effettuare il provisioning e gestire le loro risorse di Azure.
Si ottengono privilegi di amministratore a livello di sottoscrizione durante la creazione di sottoscrizioni di Azure CSP per i clienti.
Ripristinare i privilegi di amministratore CSP: le azioni
Ogni utente e il cliente hanno azioni da eseguire per ripristinare i privilegi di amministratore CSP. In questa sezione vengono descritte le azioni da eseguire.
Per ripristinare i privilegi di amministratore CSP, seguire questa procedura:
Accedere al Partner Center, poi selezionare Clienti.
Nell'elenco clienti selezionare Richiedi una relazione rivenditore.
Per la casella di controllo Privilegi di amministratore delegato:
- Lasciare selezionata la casella di controllo per stabilire la relazione con privilegi di amministratore delegato.
- Deselezionare la casella di controllo per stabilire la relazione senza privilegi di amministratore delegato.
Esaminare la bozza di invito tramite posta elettronica.
- Selezionare Apri nel messaggio di posta elettronica per aprire l'invito bozza nell'applicazione di posta elettronica predefinita.
- Selezionare Copia negli Appunti per copiare e incollare l'invito in un messaggio di posta elettronica.
Importante
È possibile modificare il testo nel messaggio di posta elettronica bozza, ma assicurarsi di includere il collegamento personalizzato perché collega il cliente direttamente al proprio account.
Selezionare Fatto.
Inviare l'invito tramite posta elettronica al cliente.
Nota
Per poter accettare la richiesta, la persona dell'organizzazione del cliente deve essere un amministratore globale del tenant del cliente.
Il cliente seleziona il collegamento ricevuto nel messaggio di posta elettronica. Il collegamento li porta all'interfaccia di amministrazione Microsoft in cui possono accettare l'invito.
Dopo aver accettato l'invito, il cliente verrà visualizzato nella pagina Clienti in Partner Center e sarà possibile effettuare il provisioning e gestire il servizio per il cliente da questa pagina.
Dopo che il cliente approva l'invito alla relazione rivenditore usando il collegamento fornito, connettersi al tenant partner per ottenere il
object IDdel gruppo AdminAgents.Connect-AzAccount -Tenant "Partner tenant" # Get Object ID of AdminAgents group Get-AzADGroup -DisplayName AdminAgentsAssicurarsi che il cliente abbia:
- Ruolo di proprietario o amministratore accesso utenti
- Autorizzazioni per creare assegnazioni di ruolo a livello di sottoscrizione
Reintegrare i privilegi di amministratore CSP: azioni dei clienti
Questa sezione descrive le azioni del cliente per ripristinare i privilegi di amministratore CSP.
Per completare la reinizializzazione dei privilegi di amministratore CSP, il cliente usa PowerShell o l'interfaccia della riga di comando di Azure per eseguire la procedura seguente:
Il cliente usa PowerShell per aggiornare il
Az.Resourcesmodulo.Update-Module Az.ResourcesIl cliente si connette al tenant in cui esiste la sottoscrizione CSP.
Connect-AzAccount -TenantID "<Customer tenant>"az login --tenant <Customer tenant>Il cliente si connette alla sottoscrizione.
Questo passaggio è applicabile solo se l'utente ha autorizzazioni di assegnazione di ruolo su più sottoscrizioni nel tenant.
Set-AzContext -SubscriptionID "<CSP Subscription ID>"az account set --subscription <CSP Subscription ID>Il cliente crea l'assegnazione di ruolo.
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
Anziché concedere le autorizzazioni di proprietario a livello di sottoscrizione , è possibile concedergli le autorizzazioni a livello di gruppo di risorse o di risorsa :
A livello di gruppo di risorse
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"A livello di risorsa
New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
Risoluzione dei problemi relativi ai passaggi del cliente
Se il cliente non è in grado di completare i passaggi precedenti, suggerire il comando seguente e fornire il file risultante newRoleAssignment.log a Microsoft per ulteriori analisi:
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log
Reintegrare i privilegi di amministratore CSP: procedura catchall di PowerShell
Se i passaggi nelle sezioni precedenti non funzionano o se vengono visualizzati errori durante il tentativo, provare la procedura "catchall" seguente per ripristinare i diritti di amministratore per il cliente:
Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"
Se la procedura "catchall" ha esito negativo in Import-Module, provare i passaggi seguenti:
- Se l'importazione non riesce perché il modulo è in uso, riavviare la sessione di PowerShell chiudendo e riaprendo tutte le finestre.
- Controllare la versione di
Az.ResourcesconGet-Module Az.Resources -ListAvailable.- Se la versione 4.1.1 non è presente nell'elenco disponibile, è necessario usare
Update-Module Az.Resources -Force.
- Se la versione 4.1.1 non è presente nell'elenco disponibile, è necessario usare
- Se un errore indica che
Az.Accountsdeve essere una versione specifica, aggiornare anche il modulo, sostituendoAz.ResourcesconAz.Accounts. È quindi necessario riavviare la sessione di PowerShell.