Rétablir les privilèges d’administrateur pour les abonnements Azure CSP d’un client

Rôles appropriés : Administrateur général | Agent d’administration

En tant que partenaire du programme CSP (Cloud Solution Provider, fournisseur de solutions Cloud), vos clients comptent souvent sur vous pour gérer leur utilisation d’Azure et leurs systèmes. Pour les aider, vous devez disposer de privilèges d’administrateur. Si vous n’en disposez pas déjà, vous pouvez les rétablir en collaboration avec le client.

Privilèges Administrateur pour Azure dans le programme CSP

Certains privilèges d’administrateur sont accordés automatiquement lorsque vous établissez une relation de revendeur avec un client. D’autres doivent vous être accordés par un client.

Il existe deux niveaux de privilèges d’administrateur pour Azure dans CSP :

• Les privilèges d’administrateur au niveau du locataire (c’est-à-dire les privilèges d’administrateur délégué) vous permettent d’accéder aux locataires de vos clients. Cet accès délégué vous permet d’effectuer des fonctions administratives, telles que l’ajout et la gestion des utilisateurs, la réinitialisation des mots de passe et la gestion des licences utilisateur.

  Vous obtenez des privilèges d’administrateur au niveau du locataire lorsque vous établissez des relations de revendeur CSP avec les clients.

• Les privilèges Administrateur au niveau de l’abonnement vous offrent un accès complet aux abonnements Azure CSP de vos clients. Cet accès vous permet de provisionner et de gérer leurs ressources Azure.

  Vous obtenez des privilèges d’administrateur au niveau de l’abonnement lors de la création d’abonnements Azure CSP pour vos clients.

Rétablir vos privilèges d’administrateur CSP : Vos actions

Vous et votre client avez chacun des actions à effectuer pour rétablir vos privilèges d’administrateur CSP. Cette section décrit les actions à entreprendre.

Pour rétablir vos privilèges d’administrateur CSP, procédez comme suit :

1. Connectez-vous à l’Espace partenaires, puis sélectionnez Clients.

2. Dans la liste des clients, sélectionnez Demander une relation de revendeur.

3. Pour la case à cocher Privilèges d’administrateur délégués :

   • Laissez la case à cocher activée pour établir la relation avec des privilèges d’administrateur délégués.
   • Désactivez la case à cocher pour établir la relation sans privilèges d’administrateur délégués.

   

4. Passez en revue le brouillon d’invitation par e-mail.

   • Sélectionnez Ouvrir dans l’e-mail pour ouvrir le brouillon d’invitation dans votre application de messagerie par défaut.
   • Sélectionnez Copier dans le Presse-papiers pour copier et coller l’invitation dans un message électronique.

   Important

   Vous pouvez modifier le texte dans le brouillon de message électronique, mais veillez à inclure le lien personnalisé, car il lie le client directement à votre compte.

5. Cliquez sur Terminé.

6. Envoyez l’invitation par e-mail à votre client.

   Remarque

   Pour pouvoir accepter la demande, la personne de votre organisation client doit être un administrateur général du locataire de votre client.

   • Votre client sélectionne le lien qu’il a reçu dans l’e-mail. Le lien les amène au Centre d’administration Microsoft où ils peuvent accepter votre invitation.
   • Une fois qu’il a accepté votre invitation, le client s’affiche dans votre page Clients dans l’Espace partenaires. Vous pouvez alors provisionner et gérer son service à partir de là.

7. Une fois que votre client approuve l’invitation de relation de revendeur à l’aide du lien fourni, connectez-vous au locataire partenaire pour obtenir le object ID groupe AdminAgents.

   Connect-AzAccount -Tenant "Partner tenant"
   # Get Object ID of AdminAgents group
   Get-AzADGroup -DisplayName AdminAgents
   

8. Vérifiez que votre client respecte les prérequis suivants :

   • Rôle de propriétaire ou d’administrateur de l’accès utilisateur
   • Autorisations pour créer des attributions de rôle au niveau de l’abonnement

Rétablir vos privilèges d’administrateur CSP : actions du client

Cette section décrit les actions du client pour rétablir vos privilèges d’administrateur CSP.

Pour rétablir vos privilèges d’administrateur CSP, votre client utilise PowerShell ou Azure CLI pour effectuer les étapes suivantes :

1. Votre client utilise PowerShell pour mettre à jour le Az.Resources module.

   Update-Module Az.Resources
   

2. Votre client se connecte au locataire dans lequel l’abonnement CSP existe.

   Connect-AzAccount -TenantID "<Customer tenant>"
   

   az login --tenant <Customer tenant>
   

3. Votre client se connecte à l’abonnement.

   Cette étape s’applique uniquement si l’utilisateur dispose d’autorisations d’attribution de rôle sur plusieurs abonnements dans le locataire.

   Set-AzContext -SubscriptionID "<CSP Subscription ID>"
   

   az account set --subscription <CSP Subscription ID>
   

4. Votre client crée l’attribution de rôle.

   New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
   

   az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
   

Au lieu d’accorder des autorisations de propriétaire au niveau de l’abonnement, elles peuvent être accordées au niveau du groupe de ressources ou de la ressource :

• Au niveau du groupe de ressources

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
  

• Au niveau de la ressource

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
  

Résolution des problèmes liés aux étapes du client

Si votre client ne parvient pas à effectuer les étapes précédentes, suggèrez la commande suivante et fournissez le fichier obtenu newRoleAssignment.log à Microsoft pour une analyse plus approfondie :

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

Rétablir vos privilèges d’administrateur CSP : procédure catchall PowerShell

Si les étapes décrites dans les sections précédentes ne fonctionnent pas ou si vous recevez des erreurs lors de leur tentative, essayez la procédure « catchall » suivante pour rétablir les droits d’administrateur pour votre client :

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

Si la procédure « catchall » échoue, Import-Moduleessayez les étapes suivantes :

• Si l’importation échoue parce que le module est en cours d’utilisation, redémarrez la session PowerShell en fermant et en ouvrant à nouveau toutes les fenêtres.
• Vérifiez la version de Az.Resources avec Get-Module Az.Resources -ListAvailable.
  • Si la version 4.1.1 n’est pas dans la liste disponible, vous devez utiliser Update-Module Az.Resources -Force.
• Si une erreur indique qu’il Az.Accounts doit s’agir d’une version spécifique, mettez également à jour ce module, en remplaçant Az.Resources par Az.Accounts. Vous devez ensuite redémarrer la session PowerShell.

Comment un revendeur indirect peut obtenir un administrateur au nom des privilèges clients (AOBO) pour les abonnements Azure

Un revendeur indirect peut suivre ces étapes pour obtenir des privilèges client AOBO pour les abonnements Azure :

1. Établissez une relation avec le client final.
2. Demandez des privilèges d’administrateur délégué granulaires (GDAP) avec le client final pour les abonnements Azure.
3. Consultez leur propre Portail Azure l’ID d’objet du groupe AdminAgent pour votre propre locataire (pour savoir comment procéder, consultez le guide de résolution des problèmes de crédit partenaires).
4. Si le fournisseur indirect dispose de droits OBO pour les rôles de propriétaire du client et RBAC, il peut exécuter le script fourni dans Rétablir vos privilèges d’administrateur CSP : actions client pour accorder des autorisations AOBO à l’ID d’objet de l’agent d’administration du revendeur indirect. Le client final peut également le faire s’il dispose de droits de propriété sur l’abonnement.

Contenu connexe

• Gérer les abonnements et les ressources dans le cadre du plan Azure