Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Funções apropriadas: Agente administrativo
Este artigo explica como os parceiros do CSP (Provedor de Soluções na Nuvem) podem usar várias opções de RBAC (controle de acesso baseado em função) para obter controle operacional e gerenciamento dos recursos do Azure de um cliente.
Quando você faz a transição de um cliente para o plano do Azure, recebe direitos privilegiados de administrador no Azure - direitos de proprietário de assinatura pelo Administrador em Nome de (AOBO) por padrão.
Observação
Os clientes podem remover direitos de administrador em qualquer um desses níveis: assinatura, grupo de recursos e carga de trabalho.
Para gerenciar os recursos do Azure de um cliente no CSP, os parceiros podem usar o RBAC (controle de acesso baseado em função). Esse recurso permite que você mantenha o controle operacional e supervisione continuamente as tarefas de gerenciamento.
Administrador em nome de - Com o AOBO, qualquer usuário com a função Agente administrador no locatário do parceiro tem acesso de proprietário do RBAC nas assinaturas do Azure que você cria pelo programa CSP.
Azure Lighthouse: o AOBO não tem a flexibilidade de criar grupos distintos que funcionam com clientes diferentes ou habilitar funções diferentes para grupos ou usuários. No entanto, usando o Azure Lighthouse, você pode atribuir grupos diferentes a clientes ou funções diferentes. Como os usuários têm o nível apropriado de acesso por meio do gerenciamento de recursos delegados do Azure, você pode reduzir o número de usuários que têm a função de agente administrador (e, portanto, têm acesso AOBO completo). Isso ajuda a melhorar a segurança, limitando o acesso desnecessário aos recursos de seus clientes. Isso também proporciona mais flexibilidade para gerenciar vários clientes em escala. Para obter mais informações, consulte Azure Lighthouse e o programa Provedor de Soluções na Nuvem.
Diretório, Usuários Convidados ou Principais de Serviços: você pode delegar acesso granular às assinaturas do Provedor de Soluções na Nuvem (CSP) ao adicionar usuários no diretório do cliente ou usuários convidados, atribuindo funções específicas de RBAC.
Como prática de segurança, a Microsoft recomenda atribuir aos usuários as permissões mínimas necessárias para realizar seu trabalho. Para obter mais informações, consulte Recursos do Microsoft Entra Privileged Identity Management.
Vincule seu PartnerID às suas credenciais para gerenciar os recursos do Azure de um cliente
A tabela a seguir mostra os métodos usados para associar seu PartnerID (anteriormente ID do MPN) a várias opções de acesso RBAC.
| Categoria | Cenário | Associação da PartnerID |
|---|---|---|
| AOBO | O parceiro direto ou o provedor indireto do CSP cria a assinatura para o cliente, tornando o parceiro direto ou o provedor indireto do CSP o proprietário padrão da assinatura usando o AOBO. O parceiro direto do CSP ou o provedor indireto fornece acesso ao revendedor indireto na assinatura por meio do AOBO. | Automático (não requer esforço do parceiro) |
| Azure Lighthouse | O Parceiro cria uma nova oferta de Serviço Gerenciado no Microsoft Marketplace. A oferta é aceita na assinatura do CSP e o parceiro obtém acesso à assinatura do CSP. | Automático (não requer esforço do parceiro) |
| Azure Lighthouse | O parceiro implanta um modelo do Azure Resource Manager (ARM) na assinatura do Azure | O parceiro precisa associar a PartnerID ao usuário ou à entidade de serviço no locatário do parceiro. Para obter mais informações, consulte Vincular seu PartnerID para acompanhar seu efeito nos recursos delegados. |
| Usuário de diretório ou convidado | O parceiro cria um novo usuário ou entidade de serviço no diretório do cliente e fornece acesso à assinatura do CSP para o usuário. O parceiro cria um novo usuário ou entidade de serviço no diretório do cliente. O parceiro adiciona o usuário a um grupo e dá acesso à assinatura do CSP para o grupo. | O parceiro precisa associar a PartnerID ao usuário ou à entidade de serviço no locatário do cliente. Para obter mais informações, veja Vincular uma PartnerID à sua conta usada para gerenciar clientes. |
Confirme se você tem acesso de administrador
Você deve ter acesso de administrador para gerenciar os serviços do seu cliente e receber créditos ganhos. Para obter mais informações sobre os créditos obtidos, veja Créditos obtidos por parceiro.
Para determinar se você tem acesso de administrador, use as seguintes etapas:
- Analisar o arquivo de uso diário: analise o preço unitário e o preço unitário efetivo no arquivo de uso diário e confirme se um desconto está sendo aplicado. Se você estiver recebendo o desconto, você é o administrador.
Criar um alerta no Azure Monitor
Você pode criar um Alerta do Azure Monitor do log de atividades para receber uma notificação se o acesso do RBAC for removido de uma assinatura do CSP.
Para criar um alerta do Azure Monitor, use as seguintes etapas:
-
Selecione o tipo de ação que você deseja que o alerta execute.
Por exemplo, se você especificar que deseja um email, receberá um email notificando você se ocorrer qualquer exclusão de atribuição de função.
Captura de tela no portal do Azure de configuração de um alerta.
Captura de tela no portal do Azure de configuração de um alerta.Remover o acesso ao AOBO
Os clientes podem gerenciar o acesso às suas assinaturas indo para Controle de Acesso no portal do Azure. Na guia Atribuições de função, eles podem selecionar Remover acesso.
Se um cliente remover seu acesso, você poderá:
Conversar com seu cliente para ver se o acesso de administrador pode ser restabelecido.
Use o acesso fornecido pelo controle de acesso baseado em função (RBAC).
Use o acesso fornecido pelo Azure Lighthouse.
O acesso baseado em função difere do acesso de administrador. As funções delimitam com precisão o que você pode ou não pode fazer. O acesso de administrador é mais amplo.
Suspender e reativar um plano do Azure
Os parceiros podem suspender ou reativar um plano do Azure diretamente no Partner Center na página de detalhes do plano do Azure.
- No Partner Center, em "Clientes", selecione a conta do cliente
- Navegue até as assinaturas do Azure do cliente
- Selecione o plano do Azure
- Selecione o status Suspenso e Enviar para suspender o plano do Azure.
- Selecione o Status: Ativo e, em seguida, Enviar para reativar o plano do Azure.
Você só poderá suspender um plano existente do Azure se ele não tiver mais ativos de uso ativos associados a ele, incluindo assinaturas de uso do Azure e reservas do Azure.
Os parceiros só podem comprar um plano do Azure por combinação específica de revendedor e cliente. Se o cliente de um revendedor tiver um plano suspenso, esse cliente não poderá comprar um novo plano. O cancelamento não está disponível para o plano do Azure.
Para a suspensão do plano do Azure pela API, veja Suspender uma assinatura – Desenvolvedor de aplicativos para parceiros.
Para reativar o plano do Azure pela API, consulte Reativar uma assinatura suspensa - Desenvolvedor de aplicativos para parceiros.
Cancelar uma assinatura do Azure
Caso as assinaturas do plano do Azure do cliente sejam comprometidas, os parceiros poderão cancelar assinaturas do Azure do Partner Center. Os parceiros devem ter privilégios de administrador global e funções de agente administrador para cancelar assinaturas do Azure. Para cancelar:
- Selecione o Cliente na lista de clientes
- Navegue até as assinaturas do Azure do cliente
- Selecione o plano do Azure ao qual a assinatura pertence.
- Na página de detalhes do plano do Azure, selecione as assinaturas do Azure a serem canceladas
- Envie as alterações selecionando Cancelar assinatura
Esse processo cancela apenas as assinaturas selecionadas do Azure. Os clientes com acesso à assinatura do Azure podem reativar a assinatura se o plano do Azure ainda estiver ativo. Para interromper a reativação, os parceiros devem cancelar todas as assinaturas do Azure e, em seguida, o próprio plano do Azure.
Os parceiros podem selecionar várias assinaturas, mas não podem cancelar mais de 10 assinaturas por vez. Os parceiros podem cancelar o plano do Azure quando não houver assinaturas ativas do Azure nele. Esse processo permite que os parceiros encerrem planos e assinaturas do Azure que possam estar comprometidos, mesmo que um agente mal-intencionado tenha removido suas permissões de RBAC.
Os parceiros podem cancelar assinaturas do Azure por meio do portal do Partner Center ou por API. Para conferir detalhes da API, consulte Cancelar uma assinatura do Azure, e para experimentá-la, consulte Gastos do Azure - Cancelar um direito do Azure - API REST.
Para saber mais sobre como cancelar assinaturas do Azure, veja O que acontece após o cancelamento da assinatura?
Reativar uma assinatura do Azure
Os parceiros podem reativar assinaturas do Azure que foram canceladas devido ao comprometimento de segurança do cliente, usando a guia Assinaturas Inativas do Azure na página de detalhes do plano do Azure. Os parceiros devem ter privilégios de administrador global e função de agente administrador para reativar assinaturas do Azure. Para reativar:
- Selecione o Cliente na lista de clientes
- Navegue até as assinaturas do Azure do cliente
- Selecione o plano do Azure ao qual a assinatura pertence.
- Na página de detalhes do plano do Azure, na seção Assinatura do Azure, selecione a guia Inativo
- Selecione a assinatura do Azure para reativar
- Envie as alterações selecionando Reativar assinatura
Ele reativa apenas as assinaturas selecionadas do Azure. Os parceiros podem selecionar várias assinaturas, mas não podem reativar mais de 10 assinaturas por vez. O plano do Azure associado deve estar ativo para reativar as assinaturas do Azure. Para reativar um plano do Azure, primeiro vá para a página de detalhes do plano do Azure no Partner Center. Em seguida, altere o status do plano novamente para ativo.
Para reativar a assinatura, contate o cliente ou o proprietário da cobrança que a cancelou no portal do Azure. Eles precisam entrar e concluir o processo de reativação.
Para fazer a reativação pela API, consulte Reativar uma assinatura do Azure - Desenvolvedor de aplicativos para parceiros. Para experimentá-la, consulte Gastos do Azure - Reativar um direito do Azure.
Para mais informações sobre a reativação de assinaturas do Azure, consulte a documentação de Azure.