知識庫 Knowledge Base
· In this series: Palo Alto Networks 1 of 1
防火牆技術 · Palo Alto Networks

PA 授權方式變更:Precision AI Bundle 啟用完整指南

從代理商驅動到客戶驅動,說明設備需轉移至客戶 CSP 帳號的原因,以及 Bundle 授權啟用與設備轉移的完整 SOP。

2026-05-14 · 6 min read · Palo Alto 授權管理 CSP Precision AI Bundle 設備轉移
TL;DR

Precision AI Bundle(2024 起)需要客戶自己的 CSP 帳號與 HUB 帳號才能完成授權。設備序號若在代理商帳號下,需先執行「設備轉移」,才能在 HUB 中完成 Device Security 關聯。

  • 啟用:CSP Activate Products → 選 Tenant/Region → HUB Add Device → Associate Products
  • 轉移:Sender 在 Assets 點 Transfer Asset → Receiver 在 Incoming Transfers 接受
  • 注意:台灣不支援 Data Security Region TW,請改選 Singapore

背景:授權模式的世代交替

Core Bundle 時代(2020–2023)

  • 代理商在出貨前把防火牆序號預先註冊到自己的 Partner Portal
  • 客戶直接在防火牆本機輸入授權碼即可完成啟用
  • 簡單快速,但客戶無法在 Palo Alto 官方系統看到自己的設備

Precision AI Bundle 時代(2024 年起)

  • 防火牆序號必須轉移到客戶帳號
  • 客戶需在 CSP(Customer Support Portal)和 HUB(雲端管理平台)兩個地方操作
  • 複雜度提升,但客戶完全控制自己的設備和授權

為什麼要改變?

根本原因:Precision AI Bundle 包含「雲端交付服務」(Device Security),這些功能無法在防火牆本機執行,必須由客戶在 Palo Alto 雲端系統中管理。Device Security 的雲端 Tenant 只能由客戶帳號的 Superuser 管理,代理商無法代替客戶執行「Device Association」。

需求Core Bundle 時代Precision AI 時代
Device Security(新功能) 不存在 雲端交付,需客戶帳號控制
AI 深度學習防護 無法執行 需要雲端 GPU 實時分析
客戶掌控力 代理商管理 客戶完全掌控
多區域部署 無選擇 可選 Region(台灣 / 新加坡等)

這不是代理商的錯,也不是 bug——而是授權模式從「代理商驅動」轉為「客戶驅動」的必然結果。新功能的技術架構是「雲端優先」,無法像舊時代那樣在本機輸入授權碼。

啟用前決策:設備在哪裡?

啟用 Precision AI Bundle 之前,必須先確認設備序號是否已在客戶的 CSP 帳號下。

1
能登入客戶的 CSP 帳號嗎?
  • → 先讓客戶至 support.paloaltonetworks.com 註冊自己的 CSP 帳號
  • → 繼續下一步
2
在 CSP → Products → Devices 能看到要授權的防火牆序號嗎?
  • 能看到全部 → 直接進行授權啟用(跳至下方「啟用步驟」)
  • 看不到或只看到部分 → 需先執行設備轉移(參見下方「設備轉移 SOP」),完成後再回來啟用

前置需求

  • 客戶的 Customer Support Portal(CSP)帳號,且擁有 Super User 角色
  • 設備序號已在客戶的 CSP 帳號下(否則啟用流程中會選不到設備)
  • 客戶的 HUB(apps.paloaltonetworks.com)帳號,且擁有 Superuser 角色

啟用步驟(Bundle 授權)

  • 1
    在 CSP 啟用授權

    客戶會收到一封啟用信,點選信中連結;或直接登入 CSP 操作:

    1. 前往 CSP → Activate Products
    2. 找到待啟用的 Precision AI Network Security Bundle Renewal,確認 Order Number 與 Authorization Code PDF 文件中一致
    3. 點擊 Activate Now
  • 2
    選擇 Device Security Tenant 與 Region

    系統會引導你選擇 Device Security 要啟用在哪個帳號與 HUB Tenant 下:

    1. 選擇 Customer Support Account(選客戶自己的帳號)
    2. 選擇 Select Tenant(Device Security 要放進哪個 HUB Tenant)
    3. 選擇 Region

    注意:台灣目前不支援 Data Security,TW 選項無法選取。建議選鄰近的 Region,例如 Singapore

    1. 勾選 Agree to the Terms and Conditions,點擊 Activate
  • 3
    在 HUB 中關聯設備

    前往 apps.paloaltonetworks.com(HUB):

    1. 點選右上角 Common ServicesDevice Associations
    2. 點擊 Add Device 按鈕,將防火牆序號加入此 Tenant

    設備序號必須已在客戶的 CSP 帳號下,才能在此步驟搜尋到。若搜尋不到,請先執行設備轉移。

  • 4
    將設備與 Device Security 關聯

    設備加入 Tenant 後,接著將授權與設備綁定:

    1. 點擊 Associate Products 按鈕
    2. 在「Associate products with devices」視窗中:
      • 選擇產品:Device Security
      • 選擇 License(選擇對應機型與年限)
      • 在設備列表中勾選要關聯的防火牆
    3. 點擊 Apply Licenses 完成關聯
  • 5
    驗證授權狀態

    回到 CSP 確認授權已正確套用:

    方式 A:Products → Devices
    • 找到對應設備,確認 Precision AI Network Security Bundle Renewal 的 Expiration Date 已更新
    方式 B:Products → Assets
    • 展開設備的 Cloud Delivered Security Services 區塊
    • 確認以下授權的 Start Date 與 Expiration Date 正確:
      • Precision AI Network Security Bundle Renewal
      • Advanced Threat Prevention / Advanced URL Filtering / Advanced WildFire License
      • Advanced DNS Security / Advanced SD WAN / Device Security / Premium Support

設備轉移 SOP(需要時才執行)

如果決策流程確認設備不在客戶帳號下,需要先執行設備轉移。CSP 設備轉移是一個雙方協作流程

  • 轉移方(Sender):設備目前的擁有者(代理商或原設備擁有者)
  • 接收方(Receiver):客戶或新設備擁有者
階段角色操作預計時間
發起轉移轉移方在 CSP 選擇設備並提交轉移5 分鐘
等待通知系統CSP 發送 Email 通知至接收方即時~數分鐘
接受 / 拒絕接收方登入 CSP 接受或拒絕轉移5 分鐘
生效系統設備移轉至新帳戶(或保留原帳戶)即時

重要說明:CSP 設備轉移僅轉移 Customer Support Account 的設備所有權,不代表法律上的公司間所有權轉移。若需法律轉移,請參考 Secondary Market Policy。

Sender 第一部分:轉移方操作

前置準備清單:

#項目說明
1CSP 帳號擁有 Customer Support Portal 的有效帳號
2正確帳戶登入後確認 Current Account 為擁有該設備的帳戶
3權限單一設備轉移不需要 Super User;批次轉移(Bulk Transfer)需要
4接收方 Email準備好接收方的 CSP 帳號 Email 地址
5設備序號確認要轉移的設備序號(Serial Number)
6特殊授權檢查確認設備未附帶不可轉移的雲端授權(如 DLP、SaaS Inline、AIops for NGFW 等)
步驟 1:登入 CSP 並進入 Assets 頁面
  1. 前往 support.paloaltonetworks.com
  2. 使用帳號密碼登入
  3. 確認右上角 Current Account 為擁有設備的帳戶
  4. 點擊頂部導航 Products → Assets
步驟 2:找到設備並點擊 Transfer Asset
  1. 在 Assets 列表中找到要轉移的設備(可用序號搜尋)
  2. 點擊該設備列右側的 Transfer Asset 圖示按鈕
步驟 3:輸入接收方資訊
  1. 在彈出的轉移視窗中,輸入接收方的 Email 地址
  2. 若帳戶為 ASC(Authorized Support Center)帳戶,系統會額外提供選擇目標 Support Account 的選項
  3. 若設備附帶 Cortex Data Lake(logging storage),系統會彈出確認視窗要求確認移除

Cortex Data Lake 注意:若設備附帶 Cortex Data Lake 訂閱,轉移時系統要求確認移除 logging storage。確認後,該序號關聯的 authorization code 將從資料庫中移除,轉移才會完成。

步驟 4:提交轉移
  1. 確認資訊無誤後,點擊 Submit Transfer 按鈕
  2. 建議勾選 "Notify User",確保接收方收到轉移通知 Email
步驟 5:確認轉移已發出
  • 提交後,系統發送通知 Email 至接收方
  • 設備在接收方接受前,仍保留在你的帳戶中
  • 可在 Account Actions → Outgoing Transfers 查看已發出的轉移請求
Receiver 第二部分:接收方操作

前置準備清單:

#項目說明
1Email 通知已收到 Palo Alto Networks 寄出的設備轉移通知信(主旨含 "Device Transfer")
2CSP 帳號擁有 Customer Support Portal 的有效帳號
3正確帳戶登入後確認 Current Account 為接收設備的目標帳戶
4權限單一設備轉移不需要 Super User;批次轉移則需要
步驟 1:導航至 Incoming Transfers
  1. 前往 support.paloaltonetworks.com 登入
  2. 點擊頂部導航 Products → Assets
  3. 點擊 Account Actions → Incoming Transfers
步驟 2:接受或拒絕
  1. 在 Incoming Transfers 列表中找到目標設備
  2. 將滑鼠游標移至該設備列右側區域
  3. 系統顯示 Accept(✓)Reject(✗) 按鈕
  4. 點擊對應按鈕完成操作
接受後(Accept)
  • 設備立即加入你的帳戶,並顯示在列表最上方
  • 可在 Products → Assets 或 Devices 列表中看到該設備
拒絕後(Reject)
  • 設備保留在原帳戶,不會移動
  • 列表中顯示 Transfer Rejected 訊息
  • 發送方會收到拒絕通知

注意事項與常見限制

#注意事項說明
1Cortex Data Lake附帶 CDL 的設備轉移時,會彈出確認移除 logging storage 的視窗
2雲端租戶授權含 DLP、SaaS Inline、AIops for NGFW 等授權的設備,CSP 不會顯示轉移選項
3IoT License需先 offboard IoT 才能轉移
4ASC 帳戶ASC 帳戶間的轉移會自動完成,不需接收方手動接受
5批次轉移Bulk Transfer 需要 Super User 角色權限
6法律轉移CSP 轉移不等於法律所有權轉移,需另行參考 Secondary Market Policy