고객의 Azure CSP 구독에 대한 관리자 권한 복구

적절한 역할: 전역 관리자 | 관리자 에이전트

CSP(클라우드 솔루션 공급자) 파트너인 고객은 Azure 사용량과 해당 시스템을 관리하기 위해 관리자 또는 담당자에게 의존하는 경우가 많습니다. 도움을 주려면 관리자 권한이 있어야 합니다. 관리자 권한이 없는 경우 고객과 협력하여 해당 권한을 복구할 수 있습니다.

CSP 프로그램의 Azure에 대한 관리자 권한

일부 관리자 권한은 고객과 재판매인 관계를 설정할 때 자동으로 부여됩니다. 다른 사용자는 고객이 귀하에게 부여해야 합니다.

CSP에는 Azure에 대한 두 가지 수준의 관리자 권한이 있습니다.

• 테넌트 수준 관리자 권한 (즉, 위임된 관리자 권한)을 통해 고객의 테넌트에 액세스할 수 있습니다. 이 위임된 액세스를 사용하면 사용자 추가 및 관리, 암호 재설정 및 사용자 라이선스 관리와 같은 관리 기능을 수행할 수 있습니다.

  고객과 CSP 재판매인 관계를 설정할 때 테넌트 수준 관리자 권한을 얻습니다.

• 구독 수준 관리자 권한은 고객의 Azure CSP 구독에 대한 전체 액세스 권한을 부여합니다. 이 액세스 권한을 통해 Azure 리소스를 프로비전하고 관리할 수 있습니다.

  고객에 대한 Azure CSP 구독을 만들 때 구독 수준 관리자 권한을 얻습니다.

CSP 관리자 권한 복원: 작업

사용자와 고객은 각각 CSP 관리자 권한을 복구하기 위해 수행할 작업이 있습니다. 이 섹션에서는 수행할 작업에 대해 설명합니다.

CSP 관리자 권한을 복원하려면 다음 단계를 사용합니다.

1. 파트너 센터에 로그인하고 고객을 선택합니다.

2. 고객 목록에서 재판매인 관계 요청을 선택합니다.

3. 위임된 관리자 권한 확인란의 경우:

   • 위임된 관리자 권한과의 관계를 설정하려면 확인란을 선택한 상태로 둡니다.
   • 위임된 관리자 권한 없이 관계를 설정하려면 확인란의 선택을 취소합니다.

   

4. 초안 전자 메일 초대를 검토합니다.

   • 전자 메일에서 열기를 선택하여 기본 전자 메일 애플리케이션에서 초안 초대를 엽니다.
   • 클립보드에 복사를 선택하여 초대를 복사하여 전자 메일 메시지에 붙여넣습니다.

   Important

   초안 전자 메일 메시지의 텍스트를 편집할 수 있지만 고객을 계정에 직접 연결하기 때문에 개인 설정된 링크를 포함해야 합니다.

5. 완료를 선택합니다.

6. 고객에게 전자 메일 초대를 보냅니다.

   참고 항목

   요청을 수락하려면 고객 조직의 담당자가 고객 테넌트의 전역 관리자여야 합니다.

   • 고객이 전자 메일에서 받은 링크를 선택합니다. 링크는 초대를 수락할 수 있는 Microsoft 관리 센터로 이동합니다.
   • 고객이 초대를 수용하면 파트너 센터의 고객 페이지에 표시되며 여기에서 고객을 위한 서비스를 프로비저닝하고 관리할 수 있습니다.

7. 고객이 제공된 링크를 사용하여 재판매인 관계 초대를 승인한 후 파트너 테넌트에 연결하여 AdminAgents 그룹을 가져옵니다 object ID .

   Connect-AzAccount -Tenant "Partner tenant"
   # Get Object ID of AdminAgents group
   Get-AzADGroup -DisplayName AdminAgents
   

8. 고객에게 다음이 있는지 확인합니다.

   • 소유자 또는 사용자 액세스 관리자의 역할
   • 구독 수준에서 역할 할당을 만들 수 있는 권한

CSP 관리자 권한 복원: 고객 작업

이 섹션에서는 CSP 관리자 권한을 복구하기 위한 고객의 작업에 대해 설명합니다.

CSP 관리자 권한 복원을 완료하기 위해 고객은 PowerShell 또는 Azure CLI를 사용하여 다음 단계를 수행합니다.

1. 고객은 PowerShell을 사용하여 모듈을 업데이트합니다 Az.Resources .

   Update-Module Az.Resources
   

2. 고객은 CSP 구독이 있는 테넌트에 연결합니다.

   Connect-AzAccount -TenantID "<Customer tenant>"
   

   az login --tenant <Customer tenant>
   

3. 고객이 구독에 연결합니다.

   이 단계는 사용자가 테넌트에서 여러 구독에 대한 역할 할당 권한이 있는 경우에만 적용됩니다.

   Set-AzContext -SubscriptionID "<CSP Subscription ID>"
   

   az account set --subscription <CSP Subscription ID>
   

4. 고객이 역할 할당을 만듭니다.

   New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 7 of your actions section>" -RoleDefinitionName "Owner" -Scope "/subscriptions/<CSP subscription ID>" -ObjectType "ForeignGroup"
   

   az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>" --assignee-principal-type "ForeignGroup"
   

구독 수준에서 소유자 권한을 부여하는 대신 리소스 그룹 또는 리소스 수준에서 부여할 수 있습니다.

• 리소스 그룹 수준에서

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/<SubscriptionID of CSP subscription>/resourceGroups/<Resource group name>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>/resourceGroups/<Resource group name>" --assignee-principal-type "ForeignGroup"
  

• 리소스 수준에서

  New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>" -ObjectType "ForeignGroup"
  

  az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>" --assignee-principal-type "ForeignGroup"
  

고객 단계 문제 해결

고객이 이전 단계를 완료할 수 없는 경우 다음 명령을 제안하고 추가 분석을 위해 결과 newRoleAssignment.log 파일을 Microsoft에 제공합니다.

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

CSP 관리자 권한 복원: PowerShell catchall 프로시저

이전 섹션의 단계가 작동하지 않거나 오류를 시도할 때 오류가 발생하는 경우 다음 "catchall" 절차를 수행하여 고객에 대한 관리자 권한을 복원합니다.

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

"catchall" 프로시저가 Import-Module실패하는 경우 다음 단계를 시도합니다.

• 모듈이 사용 중이어서 가져오기가 실패하면 모든 창을 닫았다가 다시 열어 PowerShell 세션을 다시 시작합니다.
• Get-Module Az.Resources -ListAvailable을 사용하여 Az.Resources의 버전을 확인합니다.
  • 버전 4.1.1이 사용 가능한 목록에 없는 경우 .Update-Module Az.Resources -Force
• 특정 버전이어야 하는 Az.Accounts 오류 상태인 경우 해당 모듈도 업데이트하고 Az.Accounts.로 바꿔 Az.Resources 야 합니다. 그런 다음, PowerShell 세션을 다시 시작해야 합니다.

간접 재판매인이 Azure 구독에 대한 AOBO(사용자 권한)를 대신하여 관리자를 얻는 방법

간접 재판매인은 다음 단계에 따라 Azure 구독에 대한 AOBO 고객 권한을 얻을 수 있습니다.

1. 최종 고객과의 관계를 설정합니다.
2. Azure 구독에 대한 최종 고객에게 GDAP(세분화된 위임 관리자 권한)를 요청합니다.
3. 자체 Azure Portal에서 자신의 테넌트에 대한 AdminAgent 그룹의 개체 ID를 확인합니다(이 작업을 수행하는 방법을 알아보려면 파트너 획득 크레딧 문제 해결 가이드 참조).
4. 간접 공급자에 고객 및 RBAC 소유자 역할에 대한 OBO 권한이 있는 경우 CSP 관리자 권한 복원에 제공된 스크립트를 실행할 수 있습니다. 고객 작업은 간접 재판매인의 관리 에이전트 개체 ID에 AOBO 권한을 부여합니다. 또는 최종 고객이 구독에 대한 소유권 권한이 있는 경우 이 작업을 수행할 수 있습니다.

관련 콘텐츠

• Azure 플랜 하에서 구독 및 리소스 관리