Azure Lighthouse 和云解决方案提供商计划

如果你是 CSP(云解决方案提供商)合作伙伴,则已经可以使用代表客户管理 (AOBO) 功能,通过 CSP 计划访问为客户创建的 Azure 订阅。 通过这一访问权限,可直接支持、配置和管理客户的订阅。

通过 Azure Lighthouse,可以将 Azure 委派资源管理与 AOBO 一起使用。 这通过为用户启用更细粒度的权限,有助于提高安全性并减少不必要的访问。 它还可以提高效率和可伸缩性,因为你的用户可以使用租户中的单个登录名来处理多个客户订阅。

提示

为了帮助保护客户资源,请务必查看并遵循我们的建议安全做法以及合作伙伴安全要求

代表客户管理 (AOBO)

使用 AOBO,租户中具有管理员代理角色的任何用户都可对通过 CSP 计划创建的 Azure 订阅进行 AOBO 访问。 需要访问任意客户订阅的任何用户都必须是此组的成员。 使用 AOBO 不能灵活地创建处理不同客户的不同组,或者为组或用户启用不同的角色。

该图显示了使用 AOBO 进行租户管理。

Azure Lighthouse

使用 Azure Lighthouse,可以将不同的组分配给不同的客户或角色,如下图所示。 通过 Azure 委派资源管理,用户将具有适当级别的访问权限,由此可减少具有管理员代理角色(因此而具有完整的 AOBO 访问权限)的用户的数量。

该图显示了使用 AOBO 和 Azure Lighthouse 进行租户管理。

Azure Lighthouse 有助于通过限制对客户资源的不必要访问来提高安全性。 同时,通过使用最适合每个用户职责的 Azure 内置角色,你还可以更灵活地大规模管理多个客户,而无需授予用户不必要的访问权限。

若要进一步最大程度地减少永久分配的数量,可以创建符合条件的授权,以便实时向用户授予更多权限。

按照将客户加入 Azure Lighthouse 中所述的步骤,加入通过 CSP 计划创建的订阅。 客户的租户中具有管理员代理角色的任何用户都可以执行此加入过程。

提示

通过云解决方案提供商 (CSP) 计划的经销商建立的订阅不支持带有专用计划的托管服务产品。 相反,你可以使用 Azure 资源管理器模板将这些订阅加入 Azure Lighthouse。

注意

Azure 门户中的“我的客户”页现在包含“云解决方案提供程序(预览版)”部分,该部分显示了已签署 Microsoft 客户协议 (MCA) 并且处于 Azure 计划下的 CSP 客户的帐单信息和资源 。 有关详细信息,请参阅 Microsoft 合作伙伴协议计费帐户入门

此部分中将显示 CSP 客户,无论你是否也将其载入到 Azure Lighthouse。 如果已载入,则它们也会显示在“客户”部分中,如查看和管理客户和委托的资源中所述。 同样,CSP 客户不一定会显示在“我的客户”的“云解决方案提供商(预览)”部分中,你也可将其加入 Azure Lighthouse。

Microsoft 云合作伙伴计划的成员可以将合作伙伴 ID 与用来管理委派的客户资源的凭据进行关联。 此关联使 Microsoft 能够识别哪些合作伙伴促成了 Azure 客户的成功。 此关联还使 CSP(云解决方案提供商)合作伙伴能够为已签署 Microsoft 客户协议 (MCA)采用 Azure 计划的客户接收合作伙伴获得的额度 (PEC)

若要获得 Azure Lighthouse 活动的认可,需要与管理租户中的至少一个用户帐户链接合作伙伴 ID,并确保已链接的帐户有权访问你所加入的每一个订阅。 为简单起见,建议在租户中创建服务主体帐户,将其与合作伙伴 ID 关联,然后通过授予可使用合作伙伴赚取额度的 Azure 内置角色,向其授予对你加入的每个客户的访问权限。

有关详细信息,请参阅链接合作伙伴 ID

后续步骤