透過 Lighthouse 設定讓CSP 代理商可以取得 Incentive
問題代號:CAS-47796-R9J5J7
問題描述:透過 Lighthouse 設定讓CSP 代理商可以取得 Incentive
1. 目前 CSP 客戶已經刪除 CSP 代理商存取權限者,如何透過 Lighthouse 設定讓CSP 代理商可以取得 Incentive 。
2. 若客戶希望了解 Lighthouse 設定釋出了多少權限,以及如何稽核,又該如何說明?
解決方法:
l 目前 PEC 的規則對 CSP Indirect Reseller 尚未有影響,僅對 CSP Indirect Provider / CSP Direct Partner 有影響。
l 目前亦尚未公告 Azure Plan 對 CSP Indirect Reseller 取得 incentive 的方式有那些改變。
1. 目前 CSP 客戶已經刪除 CSP 代理商存取權限者,如何透過 Lighthouse 設定讓CSP 代理商可以取得 Incentive 。
(1) 將 Customer on borad 到您的 Azure Lighthouse 環境
l 撰寫修改 Deploy ARM Template 中的 Parameter 檔案
根據您的需求使用代理 subscription / resource groups 的 template :
Ø Subscription delegatedResourceManagement.json / delegatedResourceManagement.parameters.json
Ø Resource Groups rgDelegatedResourceManagement.json / rgDelegatedResourceManagement.parameters.json
Sample :
您須將黃框處改為適合您情境的參數,而在委派腳色的部分,建議您參照此文件了解那些腳色委派才能有資格得到 PEC。(特別注意此方式無法指派 Owner)
https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE3QuW2
|
{
"$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mspOfferName": {
"value": "Fabrikam Managed Services – Interstellar" -> 顯示在客戶端的委派名稱
},
"mspOfferDescription": {
"value": "Fabrikam Managed Services – Interstellar" -> 顯示在客戶端的委派敘述
},
"managedByTenantId": {
"value": "<insert the managing tenant id>" -> Partner 的 tenant id
},
"authorizations": {
"value": [
{
"principalId": "0019bcfb-6d35-48c1-a491-a701cf73b419", -> 要被授予權限的 Partner 端 user/ groups/ application 的 Object Id
"principalIdDisplayName": "Tier 1 Support", -> 客戶端顯示的管理單位名稱
"roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c" -> 受到委派的腳色 GUID
},
{
"principalId": "0019bcfb-6d35-48c1-a491-a701cf73b419",
"principalIdDisplayName": "Tier 1 Support",
"roleDefinitionId": "36243c78-bf99-498c-9df9-86d9f8d28608"
},
{
"principalId": "0afd8497-7bff-4873-a7ff-b19a6b7b332c",
"principalIdDisplayName": "Tier 2 Support",
"roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7"
},
{
"principalId": "9fe47fff-5655-4779-b726-2cf02b07c7c7",
"principalIdDisplayName": "Service Automation Account",
"roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
},
{
"principalId": "3kl47fff-5655-4779-b726-2cf02b05c7c4",
"principalIdDisplayName": "Policy Automation Account",
"roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"delegatedRoleDefinitionIds": [
"b24988ac-6180-42a0-ab88-20f7382dd24c",
"92aaf0da-9dab-42b6-94a3-d43ce8d16293"
]
}
]
}
}
}
l 請客戶執行 PowerShell或是請客戶提供權限讓您執行
Deploy template 準備完畢後,需要在客戶環境執行下列指令
# Deploy Azure Resource Manager template using template and parameter file locally New-AzDeployment -Name <deploymentName> ` -Location <AzureRegion> ` -TemplateFile <pathToTemplateFile> ` -TemplateParameterFile <pathToParameterFile> –Verbose |
# Deploy Azure Resource Manager template using template and parameter file locally
New-AzDeployment
-Name <deploymentName> `
-Location <AzureRegion> `
-TemplateFile <pathToTemplateFile> `
-TemplateParameterFile <pathToParameterFile> -Verbose
參考資訊 :
Onboard a customer to Azure delegated resource management
https://docs.microsoft.com/en-us/azure/lighthouse/how-to/onboard-customer
(2) 以管理帳戶設定 Partner Admin Link
您可以點入此連結 https://portal.azure.com/#blade/Microsoft_Azure_Billing/managementpartnerblade
並登入管理帳戶來設置 MPNID 。
參考資訊 :
將合作夥伴識別碼連結到您的 Azure 帳戶
https://docs.microsoft.com/ZH-TW/azure/cost-management-billing/manage/link-partner-id
2. 若客戶希望了解 Lighthouse 設定釋出了多少權限,以及如何稽核,又該如何說明?
客戶可以透過Azure -> Service Providers 頁面來查看並管理透過 Azure Lighthouse 所給予的權限。
(1) 點入offer 可以了解該offer 目前授予權限給哪個 Provider 以及是授予那些人那些權限腳色
(2) 同時客戶也能夠自行為offer添加受管理資源或是移除offer
(3) 客戶可以透過 Activity Log 紀錄來了解訂閱變化以及操作人員、時間紀錄
(4) 您也可以透過對特定訂閱設定警示,它們會包含客戶自己的租使用者以及任何管理的租使用者中的使用者所執行的動作。
參考資料 :
檢視和管理服務提供者
https://docs.microsoft.com/zh-tw/azure/lighthouse/how-to/view-manage-service-providers
檢視服務提供者活動
https://docs.microsoft.com/zh-tw/azure/lighthouse/how-to/view-service-provider-activity
Azure 安全性紀錄及審核
https://docs.microsoft.com/zh-tw/azure/security/fundamentals/log-audit
問題狀況:
敬請執行上述步驟,如有任何問題,請您再與我們連絡。
近期留言