将合作伙伴 ID 链接到用于管理客户的帐户
Microsoft 合作伙伴提供的服务可帮助客户使用 Azure 产品实现业务和任务目标。 当合作伙伴代表客户管理、配置和支持 Azure 服务时,合作伙伴用户将需要访问客户的环境。 当合作伙伴使用合作伙伴管理链接 (PAL) 时,他们可以将其合作伙伴网络 ID 与用于服务交付的凭据相关联。
PAL 使 Azure 能够识别哪些合作伙伴促成了 Azure 客户的成功。 Azure 可以根据帐户的权限(Azure 角色)和范围(订阅、资源组、资源),将影响力和 Azure 消费收入归结于组织。 如果某个组具有 Azure RBAC 访问权限,则该组中的所有用户都可以识别 PAL。
从客户获取访问权限
在你链接合作伙伴 ID 之前,客户必须使用以下选项之一,授权你访问其 Azure 资源:
来宾用户:客户可将你添加为来宾用户并分配任何 Azure 角色。 有关详细信息,请参阅添加另一个目录中的来宾用户。
目录帐户:客户可以为你在其自己的目录中创建用户帐户,并分配任何 Azure 角色。
服务主体:客户可在其目录中为你的组织添加一个应用或脚本,并分配任何 Azure 角色。 该应用或脚本的标识称为服务主体。
Azure Lighthouse:你的客户可以委托一个订阅(或资源组),这样你的用户就可以通过你的租户在其上工作。 有关详细信息,请参阅 Azure Lighthouse。
链接到合作伙伴 ID
获取客户资源的访问权限后,请使用 Azure 门户、PowerShell 或 Azure CLI 将合作伙伴 ID 链接到用户 ID 或服务主体。 链接每个客户租户中的合作伙伴 ID。
使用 Azure 门户链接新合作伙伴 ID
可以在 Azure 门户中链接到合作伙伴 ID。
登录到 Azure 门户。
输入 Microsoft 合作伙伴 ID。 请务必使用合作伙伴简介中显示的“关联合作伙伴 ID”。
若要链接另一个客户的合作伙伴 ID,请切换目录。 在“切换目录”下,选择你的目录。
使用 PowerShell 链接到新合作伙伴 ID
安装 Az.ManagementPartner PowerShell 模块。
使用用户帐户或服务主体登录到客户的租户。 有关详细信息,请参阅使用 PowerShell 登录。
C:\> Connect-AzAccount -TenantId XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
链接到新合作伙伴 ID。 请务必使用合作伙伴简介中显示的“关联合作伙伴 ID”。
C:\> New-AzManagementPartner -PartnerId 12345
获取链接的合作伙伴 ID
C:\> Get-AzManagementPartner
更新链接的合作伙伴 ID
C:\> Update-AzManagementPartner -PartnerId 12345
删除链接的合作伙伴 ID
C:\> Remove-AzManagementPartner -PartnerId 12345
使用 Azure CLI 链接到新合作伙伴 ID
安装 Azure CLI 扩展。
C:\ az extension add --name managementpartner
使用用户帐户或服务主体登录到客户的租户。 有关详细信息,请参阅使用 Azure CLI 登录。
C:\ az login --tenant <tenant>
链接到新合作伙伴 ID。
C:\ az managementpartner create --partner-id 12345
获取链接的合作伙伴 ID
C:\ az managementpartner show
更新链接的合作伙伴 ID
C:\ az managementpartner update --partner-id 12345
删除链接的合作伙伴 ID
C:\ az managementpartner delete --partner-id 12345
常见问题
需要哪些 PAL 标识权限才能显示收入?
PAL 可以像资源实例一样精细。 例如,单个虚拟机。 但是,PAL 是在用户帐户上设置的。 Azure 已使用收入 (ACR) 度量的范围是用户帐户在环境中拥有的任何管理权限。 管理范围可以是使用标准 Azure RBAC 角色的订阅、资源组或资源实例。
例如,如果你是合作伙伴,你的客户可能会雇用你执行项目。 客户可以为你提供一个管理帐户来部署、配置和支持应用程序。 客户可以限定你对资源组的访问权限。 如果使用 PAL 并将 MPN ID 与管理帐户相关联,Azure 会度量资源组内服务使用的收入。
如果删除或禁用了用于 PAL 的 Microsoft Entra 标识,则关联资源上的合作伙伴的 ACR 属性会停用。
不同的合作伙伴计划对 RBAC 角色有不同的规则。 请联系合作伙伴开发管理员,获取有关 PAL 时所需的特定 Azure RBAC 角色的规则,以实现 ACR 属性。
谁可以链接合作伙伴 ID?
合作伙伴组织中管理客户的 Azure 资源的任何用户都可将合作伙伴 ID 链接到帐户。
链接合作伙伴 ID 后,是否可以更改?
是的。 可以更改、添加或删除已链接的合作伙伴 ID。
其他合作伙伴或客户是否可以编辑或删除合作伙伴 ID 的链接?
该链接在用户帐户级别关联。 只有你可以编辑或删除合作伙伴 ID 的链接。 客户和其他合作伙伴无法更改合作伙伴 ID 的链接。
如果我的公司有多个合作伙伴 ID,我应该使用哪个?
请务必使用合作伙伴简介中显示的“关联合作伙伴 ID”。
为什么我在报告中看不到我的客户?
由于以下原因,无法在报告中看到客户
链接的用户帐户对任何客户 Azure 订阅或资源都没有 Azure 基于角色的访问权限 (Azure RBAC)。
用户对其具有 Azure 基于角色的访问权限 (Azure RBAC) 的 Azure 订阅没有任何使用。
如果某个用户在多个客户租户中具有帐户怎么办?
合作伙伴 ID 与帐户之间的链接是针对每个客户租户执行的。 链接每个客户租户中的合作伙伴 ID。
但是,如果通过 Azure Lighthouse 管理客户资源,则你应使用有权访问客户资源的帐户在服务提供商租户中创建链接。
如果我的公司使用 Azure Lighthouse 访问客户资源,则如何关联我的合作伙伴 ID?
要识别 Azure Lighthouse 活动,需要将合作伙伴 ID 与至少一个可访问每个已加入客户订阅的用户帐户相关联。 在服务提供商租户中需要该关联(而不是在每个客户租户中)。
为简单起见,建议在租户中创建服务主体帐户,将其与合作伙伴 ID 关联,然后通过授予可使用合作伙伴赚取额度的 Azure 内置角色,向其授予对你加入的每个客户的访问权限。
如果已加入一个客户,则可以将合作伙伴 ID 链接到已拥有在该客户租户中工作的权限的用户帐户,这样你就不必执行另一个部署。
有关详细信息,请参阅加入客户到 Azure Lighthouse。
链接合作伙伴 ID 是否适用于 Azure Stack?
是的,可以为 Azure Stack 链接合作伙伴 ID。
如何向客户说明合作伙伴管理链接 (PAL)?
通过合作伙伴管理链接 (PAL),Azure 可以确定并识别在帮助客户实现业务目标并实现云中价值的合作伙伴。 客户必须先向合作伙伴提供对其 Azure 资源的访问权限。 授予访问权限后,合作伙伴的 Microsoft Cloud 合作伙伴计划 ID 会进行关联。 此关联可帮助 Azure 了解 IT 服务提供商的生态系统,并优化为共同客户提供最佳支持所需的工具和程序。
PAL 收集哪些数据?
与现有凭据的 PAL 关联不向 Azure 提供任何新的客户数据。 它只是向 Azure 提供信息,合作伙伴可在其中积极参与客户的 Azure 环境。 Azure 可以根据客户向合作伙伴提供的帐户权限(Azure 角色)和范围(管理组、订阅、资源组、资源),将来自客户环境的影响力和 Azure 消费收入归结于合作伙伴组织。
这是否会影响客户的 Azure 环境的安全性?
PAL 关联只会将合作伙伴的 ID 添加到已预配的凭据,而不会更改任何权限(Azure 角色),也不会向合作伙伴或 Azure 提供额外的 Azure 服务数据。
删除 PAL 标识后会发生什么?
如果删除合作伙伴网络 ID(也称为 MPN ID),所有识别机制,包括 Azure 所用收入 (ACR) 属性,都会停止运作。