Gérer les abonnements et les ressources dans le cadre du plan Azure
Rôles appropriés : Agent d’administration
Cet article explique comment les partenaires fournisseur de solutions Cloud (CSP) peuvent utiliser différentes options de contrôle d’accès en fonction du rôle (RBAC) pour obtenir le contrôle opérationnel et la gestion des ressources Azure d’un client.
Lorsque vous transférez un client vers le plan Azure, vous disposez par défaut des droits d’administrateur privilégiés dans Azure. Les droits de propriétaire d’abonnement par le biais de l’administrateur au nom de l’administrateur (AOBO) sont attribués par défaut.
Remarque
Les droits d’administrateur de l’abonnement Azure peuvent être supprimés par le client au niveau de l’abonnement, au niveau du groupe de ressources ou de la charge de travail.
Les partenaires peuvent obtenir un contrôle opérationnel et une gestion continus des ressources Azure d’un client dans csp à l’aide de différentes options disponibles via la fonctionnalité de contrôle d’accès en fonction du rôle (RBAC).
Administrateur au nom de : avec AOBO, tout utilisateur disposant du rôle d’agent d’administration dans le locataire partenaire dispose d’un accès au propriétaire RBAC aux abonnements Azure que vous créez via le programme CSP.
Azure Lighthouse : AOBO n’a pas la possibilité de créer des groupes distincts qui fonctionnent avec différents clients, ou d’activer différents rôles pour les groupes ou les utilisateurs. Toutefois, à l’aide d’Azure Lighthouse, vous pouvez affecter différents groupes à différents clients ou rôles. Étant donné que les utilisateurs disposent du niveau d’accès approprié via la gestion des ressources déléguées Azure, vous pouvez réduire le nombre d’utilisateurs disposant du rôle d’agent d’administration (et ainsi disposer d’un accès AOBO complet). Cela permet d’améliorer la sécurité en limitant l’accès inutile aux ressources de vos clients. Cela permet aussi de gérer plusieurs clients selon les besoins avec une plus grande souplesse. Pour plus d’informations, consultez Azure Lighthouse et le programme des fournisseurs de solutions cloud.
Utilisateurs invités ou principaux de service : vous pouvez déléguer l’accès granulaire aux abonnements CSP en ajoutant des utilisateurs dans l’annuaire client ou en ajoutant des utilisateurs invités et en attribuant des rôles RBAC spécifiques.
En tant que pratique de sécurité, Microsoft recommande d’attribuer aux utilisateurs les autorisations minimales dont ils ont besoin pour effectuer leur travail. Pour plus d’informations, consultez les ressources Microsoft Entra Privileged Identity Management.
Lier votre PartnerID à vos informations d’identification pour gérer les ressources Azure d’un client
Le tableau suivant présente les méthodes utilisées pour associer votre PARTNERID (anciennement ID MPN) à différentes options d’accès RBAC.
Catégorie | Scénario | Association PartnerID |
---|---|---|
AOBO | Le partenaire direct csp ou le fournisseur indirect crée l’abonnement pour le client, ce qui rend le partenaire direct CSP ou le fournisseur indirect le propriétaire par défaut de l’abonnement à l’aide d’AOBO. Un partenaire direct csp ou un fournisseur indirect donne à un revendeur indirect l’accès à l’abonnement à l’aide d’AOBO. | Automatique (aucun travail nécessaire de la part du partenaire) |
Azure Lighthouse | Le partenaire crée une offre de service managé sur la Place de marché. L’offre est acceptée sur l’abonnement CSP et le partenaire accède à l’abonnement CSP. | Automatique (aucun travail nécessaire de la part du partenaire) |
Azure Lighthouse | Le partenaire déploie un modèle Azure Resource Manager (ARM) dans un abonnement Azure | Le partenaire doit associer partnerID à l’utilisateur ou au principal du service dans le locataire partenaire. Pour plus d’informations, consultez Lier votre PartnerID pour suivre votre impact sur les ressources déléguées. |
Annuaire ou utilisateur invité | Le partenaire crée un utilisateur ou un principal du service dans l’annuaire du client et accorde à l’utilisateur un accès à l’abonnement CSP. Le partenaire crée un utilisateur ou un principal du service dans l’annuaire du client. Le partenaire ajoute l’utilisateur à un groupe et accorde au groupe un accès à l’abonnement CSP. | Le partenaire doit associer PartnerID à l’utilisateur ou au principal du service dans le locataire client. Pour plus d’informations, consultez Lier un PartnerID à votre compte utilisé pour gérer les clients. |
Vérifier que vous disposez d’un accès administrateur
Vous devez disposer d’un accès administrateur pour gérer les services de votre client et recevoir des crédits gagnés. Pour plus d’informations sur les crédits gagnés, consultez crédits partenaires.
Pour déterminer si vous disposez d’un accès administrateur, procédez comme suit :
- Passez en revue le fichier d’utilisation quotidienne : passez en revue le prix unitaire et le prix unitaire effectif dans le fichier d’utilisation quotidienne et vérifiez si une remise est appliquée. Si vous recevez la remise, vous êtes l’administrateur.
Créer une alerte Azure Monitor
Vous pouvez créer une alerte Azure Monitor du journal d’activité pour être averti si votre accès RBAC est supprimé d’un abonnement CSP.
Pour créer une alerte Azure Monitor, procédez comme suit :
Sélectionnez le type d’action que vous souhaitez que l’alerte prenne.
Par exemple, si vous spécifiez que vous souhaitez un e-mail, vous recevrez un e-mail vous informant si une suppression d’attribution de rôle se produit.
Suppression des privilèges AOBO
Les clients peuvent gérer l’accès à leurs abonnements en accédant au contrôle d’accès au Portail Azure. Sous l’onglet Attributions de rôles, ils peuvent sélectionner Supprimer l’accès.
Si un client supprime votre accès, vous pouvez :
Demander à votre client si l’accès administrateur peut être rétabli.
Utiliser l’accès accordé via le contrôle d’accès basé sur les rôles (RBAC).
Utiliser l’accès accordé via Azure Lighthouse.
L’accès basé sur les rôles se distingue de l’accès administrateur. Les rôles délimitent précisément ce que vous pouvez faire et ne pas faire. L’accès administrateur est plus étendu.
Suspendre et réactiver un plan Azure
Les partenaires peuvent suspendre ou réactiver un plan Azure directement dans l’Espace partenaires à partir de la page de détails du plan Azure.
- Dans l’Espace partenaires, dans Clients, sélectionnez le compte client
- Accédez aux abonnements Azure du client
- Sélectionner le plan Azure
- Sélectionnez l’état : suspendu , puis envoyez-le pour suspendre le plan Azure.
- Sélectionnez l’état : actif , puis envoyez pour réactiver le plan Azure.
Vous ne pouvez suspendre qu’un plan Azure existant s’il n’a plus de ressources d’utilisation actives associées, y compris les abonnements d’utilisation Azure et les réservations Azure.
Les partenaires ne peuvent acheter qu’un seul plan Azure par revendeur et combinaison client spécifique. Si le client d’un revendeur a un plan suspendu, ce client ne peut pas acheter de nouveau plan. L’annulation n’est pas disponible pour le plan Azure.
Pour la suspension du plan Azure par API, consultez Suspendre un abonnement - Développeur d’applications partenaires.
Pour la réactivation de plan Azure par API, consultez Réactiver un abonnement suspendu - Développeur d’applications partenaires.
Annuler un abonnement Azure
Si les abonnements de plan Azure du client ont été compromis, les partenaires peuvent annuler les abonnements Azure à partir de l’Espace partenaires. Cette fonctionnalité est disponible uniquement pour les rôles Agent d’administration. Pour ce faire :
- Sélectionnez le client dans la liste des clients
- Accédez aux abonnements Azure du client
- Sélectionnez le plan Azure sous lequel se trouve l’abonnement
- Dans la page détails du plan Azure, sélectionnez les abonnements Azure à annuler
- Soumettre les modifications en sélectionnant Annuler l’abonnement
Cela annule uniquement les abonnements Azure sélectionnés. Les clients ayant accès à l’abonnement Azure peuvent réactiver l’abonnement si le plan Azure est toujours actif. Pour empêcher ce problème, les partenaires doivent annuler tous les abonnements Azure, puis le plan Azure lui-même.
Les partenaires peuvent sélectionner plusieurs abonnements, mais ne peuvent pas annuler plus de 10 abonnements à la fois. Les partenaires peuvent annuler le plan Azure en l’absence d’abonnements Azure actifs. Cela permet aux partenaires d’arrêter les plans et abonnements Azure qui ont pu être compromis, même si un acteur incorrect a supprimé leurs autorisations RBAC.
Les partenaires peuvent annuler des abonnements Azure via le portail de l’Espace partenaires ou par API. Pour plus d’informations sur l’API, consultez Annuler un abonnement Azure et pour l’essayer, consultez dépenses Azure - Annuler un droit Azure - API REST.
Pour en savoir plus sur l’annulation d’abonnements Azure, consultez Que se passe-t-il après l’annulation de l’abonnement ?
Réactiver un abonnement Azure
Les partenaires peuvent réactiver les abonnements Azure qui ont été annulés en raison de la compromission du client à partir de leur page de détails du plan Azure, à l’aide de l’onglet Abonnements Azure inactifs. Cette fonctionnalité est disponible uniquement pour les rôles Agent d’administration. Pour ce faire :
- Sélectionnez le client dans la liste des clients
- Accédez aux abonnements Azure du client
- Sélectionnez le plan Azure sous lequel se trouve l’abonnement
- Dans la page détails du plan Azure, sous la section Abonnement Azure, sélectionnez l’onglet Inactif
- Sélectionnez l’abonnement Azure à réactiver
- Soumettre les modifications en sélectionnant Réactiver l’abonnement
Cette opération réactive uniquement les abonnements Azure sélectionnés. Les partenaires peuvent sélectionner plusieurs abonnements, mais ne peuvent pas réactiver plus de 10 abonnements à la fois. Le plan Azure associé doit être actif pour réactiver les abonnements Azure. Les partenaires peuvent réactiver les plans Azure directement dans l’Espace partenaires en accédant à la page des détails du plan Azure et en mettant à jour l’état du plan Azure vers Active.
Si l’abonnement Azure a été annulé par le client ou le propriétaire de facturation dans le Portail Azure, le client ou le propriétaire de facturation doivent être contactés pour réactiver l’abonnement à partir du Portail Azure.
Pour réactiver par API, consultez Réactiver un abonnement Azure - Développeur d’applications partenaires. Pour l’essayer, consultez les dépenses Azure : réactiver un droit Azure.
Pour plus d’informations sur la réactivation des abonnements Azure, consultez la documentation Azure.