Manage subscriptions and resources under the Azure plan (Gerir subscrições e recursos ao abrigo do plano do Azure)

Funções apropriadas: Agente de administração

Este artigo explica como os parceiros do Provedor de Soluções na Nuvem (CSP) podem usar várias opções de controle de acesso baseado em função (RBAC) para obter controle operacional e gerenciamento dos recursos do Azure de um cliente.

Quando faz a transição de um cliente para o plano do Azure, é-lhe atribuído direitos de administrador privilegiados no Azure — direitos de proprietário da subscrição através de Admin em Nome de (AOBO) por predefinição.

Nota

Os direitos de administrador para a assinatura do Azure podem ser removidos pelo cliente no nível da assinatura, no nível do grupo de recursos ou no nível da carga de trabalho.

Os parceiros podem obter controle operacional contínuo e gerenciamento dos recursos do Azure de um cliente no CSP usando várias opções disponíveis por meio do recurso de controle de acesso baseado em função (RBAC).

  • Admin em nome de - Com o AOBO, qualquer usuário com a função de agente Admin no locatário parceiro tem acesso de proprietário RBAC às assinaturas do Azure que você cria por meio do programa CSP.

  • Azure Lighthouse: AOBO não tem a flexibilidade para criar grupos distintos que trabalham com clientes diferentes ou para habilitar funções diferentes para grupos ou usuários. No entanto, usando o Azure Lighthouse, você pode atribuir grupos diferentes a clientes ou funções diferentes. Como os usuários têm o nível apropriado de acesso por meio do gerenciamento de recursos delegados do Azure, você pode reduzir o número de usuários que têm a função de agente Admin (e, portanto, têm acesso AOBO completo). Isso ajuda a melhorar a segurança, limitando o acesso desnecessário aos recursos dos seus clientes. Também lhe oferece mais flexibilidade para gerir vários clientes em escala. Para obter mais informações, consulte Azure Lighthouse e o programa Cloud Solution Provider.

  • Diretório ou Usuários Convidados ou Entidades de Serviço: Você pode delegar acesso granular a assinaturas CSP adicionando usuários no diretório de clientes ou adicionando usuários convidados e atribuindo funções RBAC específicas.

Como prática de segurança, a Microsoft recomenda atribuir aos usuários as permissões mínimas de que precisam para fazer seu trabalho. Para obter mais informações, consulte Recursos do Microsoft Entra Privileged Identity Management.

A tabela a seguir mostra os métodos usados para associar seu PartnerID (anteriormente MPN ID) a várias opções de acesso RBAC.

Categoria Cenário Associação PartnerID
AOBO O parceiro direto ou provedor indireto do CSP cria a assinatura para o cliente, tornando o parceiro direto ou o provedor indireto do CSP o proprietário padrão da assinatura usando o AOBO. O parceiro direto ou provedor indireto da CSP dá ao revendedor indireto acesso à assinatura usando AOBO. Automático (não é necessário trabalho de parceiro)
Azure Lighthouse O parceiro cria uma nova oferta de Serviço Gerenciado no Marketplace. A oferta é aceita na assinatura CSP e o parceiro tem acesso à assinatura CSP. Automático (não é necessário trabalho de parceiro)
Azure Lighthouse O parceiro implanta um modelo do Azure Resource Manager (ARM) na assinatura do Azure O parceiro deve associar o PartnerID ao usuário ou entidade de serviço no locatário parceiro. Para obter mais informações, consulte Vincular seu PartnerID para acompanhar seu impacto nos recursos delegados.
Diretório ou usuário convidado O parceiro cria um novo usuário ou entidade de serviço no diretório de clientes e dá acesso à assinatura CSP ao usuário. O parceiro cria um novo usuário ou entidade de serviço no diretório de clientes. O parceiro adiciona o usuário a um grupo e dá acesso à assinatura CSP do grupo. O parceiro deve associar o PartnerID ao usuário ou entidade de serviço no locatário do cliente. Para obter mais informações, consulte Vincular um PartnerID à sua conta usada para gerenciar clientes.

Confirme que tem acesso de administrador

Tem de ter acesso de administrador para gerir os serviços do seu cliente e para receber os créditos ganhos. Para obter mais informações sobre créditos ganhos, consulte Créditos ganhos por parceiros.

Para determinar se você tem acesso de administrador, use as seguintes etapas:

  • Revise o arquivo de uso diário: revise o preço unitário e o preço unitário efetivo no arquivo de uso diário e confirme se um desconto está sendo aplicado. Se você estiver recebendo o desconto, você será o administrador.

Criar um alerta de monitor do Azure

Você pode criar um log de atividades do Azure Monitor Alert para ser notificado se seu acesso RBAC for removido de uma assinatura CSP.

Para criar um alerta de monitor do Azure, use as seguintes etapas:

  1. Crie um alerta.

    Captura de ecrã de um alerta do portal do Azure.

  2. Selecione o tipo de ação que você deseja que o alerta realize.

    Por exemplo, se você especificar que deseja um e-mail, receberá um e-mail notificando se ocorrer alguma exclusão de atribuição de função.

    Captura de ecrã no portal do Azure de configuração de um alerta.

Remoção de AOBO

Os clientes podem gerir o acesso às suas subscrições acedendo ao Controlo de Acesso no portal do Azure. Na guia Atribuições de função, eles podem selecionar Remover acesso.

Se um cliente remover seu acesso, você poderá:

O acesso baseado em função difere do acesso de administrador. Os papéis delimitam precisamente o que você pode e o que não pode fazer. O acesso de administrador é mais amplo.

Suspender e reativar um plano do Azure

Os parceiros podem suspender ou reativar o plano do Azure diretamente no Partner Center na página de detalhes do plano do Azure.

  1. No Partner Center, em Clientes, selecione a conta do cliente
  2. Navegue até as assinaturas do Azure do cliente
  3. Selecione o plano do Azure
  4. Selecione o Status: Suspenso e, em seguida, Enviar para suspender o plano do Azure.
  5. Selecione Status: Ativo e, em seguida, Enviar para reativar o plano do Azure.

Você só pode suspender um plano existente do Azure se ele não tiver mais ativos de uso ativos associados a ele, incluindo assinaturas de uso do Azure e reservas do Azure.

Os parceiros só podem comprar um plano do Azure por combinação específica de revendedor e cliente. Se o cliente de um revendedor tiver um plano suspenso, esse cliente não poderá comprar um novo plano. O cancelamento não está disponível para o plano do Azure.

Para a suspensão do plano do Azure por API, consulte Suspender uma assinatura - Desenvolvedor de aplicativo parceiro.

Para reativar o plano do Azure por API, consulte Reativar uma assinatura suspensa - Desenvolvedor de aplicativo parceiro.

Cancelar uma subscrição do Azure

Caso as subscrições do plano Azure do cliente tenham sido comprometidas, os Parceiros podem cancelar subscrições do Azure a partir do Partner Center. Esse recurso está disponível apenas para funções de Agente de Administração. Para tal:

  1. Selecione o Cliente na lista de clientes
  2. Navegue até as assinaturas do Azure do cliente
  3. Selecione o plano do Azure em que a assinatura está
  4. Na página Detalhes do plano do Azure, selecione as assinaturas do Azure a serem canceladas
  5. Envie as alterações selecionando Cancelar assinatura

Isso cancela apenas as assinaturas selecionadas do Azure. Os clientes com acesso à assinatura do Azure podem reativar a assinatura se o plano do Azure ainda estiver ativo. Para impedir que isso aconteça, os Parceiros devem cancelar todas as assinaturas do Azure e, em seguida, o próprio plano do Azure.

Os parceiros podem selecionar várias subscrições, mas não podem cancelar mais de 10 subscrições de cada vez. Os parceiros podem cancelar o plano do Azure quando não houver assinaturas ativas do Azure sob ele. Isso permite que os parceiros encerrem planos e assinaturas do Azure que possam ter sido comprometidos, mesmo que um agente mal-intencionado tenha removido suas permissões RBAC.

Os parceiros podem cancelar subscrições do Azure através do portal do Partner Center ou por API. Para obter detalhes da API, consulte Cancelar uma assinatura do Azure e, para experimentá-la, consulte Gastos do Azure - Cancelar um direito do Azure - API REST.

Para saber mais sobre como cancelar assinaturas do Azure, consulte O que acontece após o cancelamento da assinatura?

Reativar uma subscrição do Azure

Os parceiros podem reativar assinaturas do Azure que foram canceladas devido ao comprometimento do cliente na página de detalhes do plano do Azure, usando a guia Assinaturas inativas do Azure. Esse recurso está disponível apenas para funções de Agente de Administração. Para tal:

  1. Selecione o Cliente na lista de clientes
  2. Navegue até as assinaturas do Azure do cliente
  3. Selecione o plano do Azure em que a assinatura está
  4. Na página Detalhes do plano do Azure, na seção Assinatura do Azure, selecione a guia Inativo
  5. Selecione a assinatura do Azure para reativar
  6. Envie as alterações selecionando Reativar assinatura

Isso reativa apenas as assinaturas selecionadas do Azure. Os parceiros podem selecionar várias subscrições, mas não podem reativar mais de 10 subscrições de cada vez. O plano do Azure associado deve estar ativo para reativar as assinaturas do Azure. Os parceiros podem reativar os planos do Azure diretamente no Partner Center acedendo à página de detalhes do plano do Azure e atualizando o estado do plano do Azure de volta para Ativo.

Se a subscrição do Azure tiver sido cancelada pelo cliente ou proprietário de faturação no portal do Azure, o cliente ou proprietário de faturação terá de ser contactado para reativar a subscrição a partir do portal do Azure.

Para reativar por API, consulte Reativar uma assinatura do Azure - Desenvolvedor de aplicativo parceiro. Para experimentá-lo, consulte Gastos do Azure - Reativar um direito do Azure.

Mais informações sobre como reativar assinaturas do Azure podem ser encontradas na documentação do Azure.