مشاركة عبر

أذونات لعرض خطط توفير Azure وإدارتها

  • مقالة

تشرح هذه المقالة كيفية عمل أذونات خطة التوفير وكيف يمكن للمستخدمين عرض خطط توفير Azure وإدارتها في مدخل Microsoft Azure.

يمكن روبوت Who إدارة خطة التوفير بشكل افتراضي

تتحكم طريقتان مختلفتان للتخويل في قدرة المستخدم على عرض الأذونات وإدارتها وتفويضها لخطط التوفير. إنها أدوار مسؤول الفوترة وأدوار التحكم في الوصول المستندة إلى الدور (RBAC) لخطة التوفير.

أدوار مسؤول الفوترة

يمكنك عرض الأذونات وإدارتها وتفويضها لخطط التوفير باستخدام أدوار مسؤول الفوترة المضمنة. لمعرفة المزيد حول أدوار الفوترة اتفاقية عملاء Microsoft اتفاقية Enterprise، راجع فهم الأدوار الإدارية اتفاقية عملاء Microsoft في أدوار Azure اتفاقية Enterprise إدارة Azure، التوالي.

أدوار مسؤول الفوترة المطلوبة لإجراءات خطة التوفير

  • عرض خطط التوفير:
    • اتفاقية عملاء Microsoft: المستخدمون الذين لديهم قارئ ملف تعريف الفوترة أو أعلى
    • اتفاقية Enterprise: المستخدمون الذين لديهم مسؤول المؤسسة (للقراءة فقط) أو أعلى
    • اتفاقية شركاء Microsoft: غير مدعومة
  • إدارة خطط التوفير (التي تم تحقيقها عن طريق تفويض الأذونات لملف تعريف/تسجيل الفوترة الكامل):
    • اتفاقية عملاء Microsoft: المستخدمون الذين لديهم مساهم في ملف تعريف الفوترة أو أعلى
    • اتفاقية Enterprise: المستخدمون الذين لديهم مسؤول اتفاقية Enterprise أو أعلى
    • اتفاقية شركاء Microsoft: غير مدعومة
  • تفويض أذونات خطة التوفير:
    • اتفاقية عملاء Microsoft: المستخدمون الذين لديهم مساهم في ملف تعريف الفوترة أو أعلى
    • اتفاقية Enterprise: المستخدمون الذين لديهم مشتري اتفاقية Enterprise أو أعلى
    • اتفاقية شركاء Microsoft: غير مدعومة

عرض خطط التوفير وإدارتها كمسؤول فوترة

إذا كنت مستخدما لدور الفوترة، فاتبع هذه الخطوات لعرض وإدارة جميع خطط التوفير ومعاملات خطة التوفير في مدخل Microsoft Azure.

  1. سجل الدخول إلى مدخل Microsoft Azure وانتقل إلى Cost Management + Billing.
    • إذا كنت ضمن حساب اتفاقية Enterprise، في القائمة اليمنى، حدد نطاقات الفوترة. ثم في قائمة نطاقات الفوترة، حدد واحدا.
    • إذا كنت ضمن حساب اتفاقية عملاء Microsoft، في القائمة اليمنى، حدد ملفات تعريف الفوترة. في قائمة ملفات الفوترة، حدد واحداً.
  2. في القائمة اليسرى، حدد Products + services>Savings plans. تظهر القائمة الكاملة لخطط التوفير لتسجيل اتفاقية Enterprise أو ملف تعريف الفوترة اتفاقية عملاء Microsoft.
  3. يمكن لمستخدمي دور الفوترة ملكية خطة التوفير باستخدام أمر خطة التوفير - رفع واجهة برمجة تطبيقات REST لمنح أنفسهم أدوار Azure RBAC.

إضافة مسؤولي الفوترة

إضافة مستخدم كمسؤول فوترة إلى اتفاقية Enterprise أو اتفاقية عملاء Microsoft في مدخل Microsoft Azure.

  • اتفاقية Enterprise: إضافة مستخدمين لديهم دور مسؤول المؤسسة لعرض وإدارة جميع أوامر خطة التوفير التي تنطبق على اتفاقية Enterprise. يمكن لمسؤولي المؤسسة عرض خطط التوفير وإدارتها في Cost Management + Billing.
    • يمكن للمستخدمين الذين لديهم دور مسؤول المؤسسة (للقراءة فقط) عرض خطة التوفير فقط من إدارة التكلفة + الفوترة.
    • لا يمكن لمسؤولي القسم ومالكي الحسابات عرض خطط التوفير ما لم تتم إضافتها إليها بشكل صريح باستخدام التحكم في الوصول (IAM). لمزيد من المعلومات، راجع إدارة أدوار Azure Enterprise.
  • اتفاقية عملاء Microsoft: يمكن للمستخدمين الذين لديهم دور مالك ملف تعريف الفوترة أو دور المساهم في ملف تعريف الفوترة إدارة جميع مشتريات خطة التوفير التي تم إجراؤها باستخدام ملف تعريف الفوترة.
    • يمكن لقراء ملف تعريف الفوترة ومديري الفواتير عرض جميع خطط التوفير التي يتم دفع ثمنها باستخدام ملف تعريف الفوترة. ومع ذلك، لا يمكنهم إجراء تغييرات على خطط التوفير. لمزيد من المعلومات، راجع مهام وأدوار ملف تعريف الفوترة.

أدوار التحكم في الوصول استنادا إلى الدور لخطة التوفير

دورة حياة خطة التوفير مستقلة عن اشتراك Azure. لا ترث خطط التوفير الأذونات من الاشتراكات بعد الشراء. خطط التوفير هي مورد على مستوى المستأجر مع أذونات Azure RBAC الخاصة بها.

نظرة عامة

هناك أربعة أدوار RBAC خاصة بخطة التوفير:

  • مسؤول خطة التوفير: يسمح بإدارة خطة توفير واحدة أو أكثر في المستأجر وتفويض أدوار التحكم في الوصول استنادا إلى الدور إلى مستخدمين آخرين.
  • مشتري خطة التوفير: يسمح بشراء خطط التوفير باستخدام اشتراك محدد.
    • يسمح بشراء خطط التوفير أو التجارة في الحجز من قبل المسؤولين غير المسجلين والمالكين غير المشتركين.
    • يجب تمكين شراء خطة التوفير من قبل المسؤولين غير المفهرسين. لمزيد من المعلومات، راجع أذونات شراء خطة توفير Azure.
  • المساهم في خطة التوفير: يسمح بإدارة خطة توفير واحدة أو أكثر في المستأجر ولكن ليس تفويض أدوار التحكم في الوصول استنادا إلى الدور إلى مستخدمين آخرين.
  • قارئ خطة التوفير: يسمح بالوصول للقراءة فقط إلى خطة توفير واحدة أو أكثر في المستأجر.

يمكن تحديد نطاق هذه الأدوار إما إلى كيان مورد معين (على سبيل المثال، خطة الاشتراك أو المدخرات) أو مستأجر Microsoft Entra (دليل). لمعرفة المزيد حول Azure RBAC، راجع ما هو التحكم في الوصول المستند إلى دور Azure (Azure RBAC)؟.

أدوار التحكم في الوصول استنادا إلى الدور لخطة المدخرات المطلوبة لإجراءات خطة التوفير

  • عرض خطط التوفير:
    • نطاق المستأجر: المستخدمون الذين لديهم قارئ خطة التوفير أو أعلى.
    • نطاق خطة التوفير: قارئ مضمن أو أعلى.
  • إدارة خطط التوفير:
    • نطاق المستأجر: المستخدمون الذين لديهم مساهم في خطة التوفير أو أعلى.
    • نطاق خطة التوفير: أدوار المساهم أو المالك المضمنة، أو المساهم في خطة التوفير أو أعلى.
  • تفويض أذونات خطة التوفير:
    • نطاق المستأجر: حقوق مسؤول وصول المستخدم مطلوبة لمنح أدوار التحكم في الوصول استنادا إلى الدور لجميع خطط التوفير في المستأجر. للحصول على هذه الحقوق، اتبع خطوات الوصول إلى Elevate.
    • نطاق خطة الحفظ: مسؤول خطة التوفير أو مسؤول وصول المستخدم.

بالإضافة إلى ذلك، يمكن للمستخدمين الذين قاموا بدور مالك الاشتراك عند استخدام الاشتراك لشراء خطة التوفير أيضا عرض أذونات خطة التوفير التي تم شراؤها وإدارتها وتفويضها.

عرض خطط التوفير مع الوصول إلى RBAC

إذا كان لديك أدوار RBAC الخاصة بخطة التوفير (مسؤول خطة التوفير أو المشتري أو المساهم أو القارئ) أو خطط التوفير التي تم شراؤها أو تمت إضافتها كمالك لخطط التوفير، فاتبع هذه الخطوات لعرض خطط التوفير وإدارتها في مدخل Microsoft Azure.

  1. قم بتسجيل الدخول إلى بوابة Azure.
  2. حدد Home>Savings plans لسرد خطط التوفير التي يمكنك الوصول إليها.

إضافة أدوار RBAC إلى المستخدمين والمجموعات

للتعرف على تفويض أدوار التحكم في الوصول استنادا إلى الدور لخطة التوفير، راجع تفويض أدوار التحكم في الوصول استنادا إلى الدور لخطة التوفير.

يمكن لمسؤولي المؤسسة أن يأخذوا ملكية أمر خطة التوفير. يمكنهم إضافة مستخدمين آخرين إلى خطة توفير باستخدام التحكم في الوصول (IAM).

منح الوصول باستخدام PowerShell

يمكن للمستخدمين الذين لديهم حق وصول المالك لأوامر خطة التوفير، والمستخدمين الذين لديهم وصول مرتفع، ومسؤولي وصول المستخدم تفويض إدارة الوصول لجميع أوامر خطة التوفير التي لديهم حق الوصول إليها.

لا يظهر الوصول الممنوح باستخدام PowerShell في مدخل Microsoft Azure. بدلاً من ذلك، يمكنك استخدام الأمر get-AzRoleAssignment في القسم التالي لعرض الأدوار المعينة.

تعيين دور المالك لكافة خطط التوفير

لمنح مستخدم Azure RBAC حق الوصول إلى جميع أوامر خطة التوفير في مستأجر Microsoft Entra (الدليل)، استخدم البرنامج النصي Azure PowerShell التالي:

Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.BillingBenefits/savingsPlans?api-version=2022-11-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$savingsPlanObjects = $responseJSON.value

foreach ($savingsPlan in $savingsPlanObjects)
{
  $savingsPlanOrderId = $savingsPlan.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$savingsPlanOrderId
  New-AzRoleAssignment -Scope $savingsPlanOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

عند استخدام البرنامج النصي PowerShell لتعيين دور الملكية وتشغيله بنجاح، لا يتم إرجاع رسالة نجاح.

المعلمات

  • ObjectId: معرف عنصر Microsoft Entra للمستخدم أو المجموعة أو كيان الخدمة

    • النوع: سلسلة
    • الأسماء المستعارة: المعرف، المعرف الرئيسي
    • الموضع: مسمى
    • القيمة الافتراضية: بلا
    • قبول إدخال البنية الأساسية لبرنامج ربط العمليات التجارية: صحيح
    • قبول أحرف البدل: خطأ

  • TenantId: المعرف الفريد للمستأجر

    • النوع: سلسلة
    • الموضع: 5
    • القيمة الافتراضية: بلا
    • قبول إدخال البنية الأساسية لبرنامج ربط العمليات التجارية: False
    • قبول أحرف البدل: خطأ

إضافة دور مسؤول خطة التوفير على مستوى المستأجر باستخدام البرنامج النصي Azure PowerShell

لإضافة دور مسؤول خطة التوفير على مستوى المستأجر باستخدام PowerShell، استخدم البرنامج النصي Azure PowerShell التالي:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Administrator"

المعلمات

  • ObjectId: معرف عنصر Microsoft Entra للمستخدم أو المجموعة أو كيان الخدمة

    • النوع: سلسلة
    • الأسماء المستعارة: المعرف، المعرف الرئيسي
    • الموضع: مسمى
    • القيمة الافتراضية: بلا
    • قبول إدخال البنية الأساسية لبرنامج ربط العمليات التجارية: صحيح
    • قبول أحرف البدل: خطأ

  • TenantId: المعرف الفريد للمستأجر

    • النوع: سلسلة
    • الموضع: 5
    • القيمة الافتراضية: بلا
    • قبول إدخال البنية الأساسية لبرنامج ربط العمليات التجارية: False
    • قبول أحرف البدل: خطأ

تعيين دور مساهم في خطة التوفير على مستوى المستأجر باستخدام البرنامج النصي Azure PowerShell

لتعيين دور المساهم في خطة التوفير على مستوى المستأجر باستخدام PowerShell، استخدم البرنامج النصي Azure PowerShell التالي:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Contributor"

المعلمات

  • ObjectId: معرف عنصر Microsoft Entra للمستخدم أو المجموعة أو كيان الخدمة

    • النوع: سلسلة
    • الأسماء المستعارة: المعرف، المعرف الرئيسي
    • الموضع: مسمى
    • القيمة الافتراضية: بلا
    • قبول إدخال البنية الأساسية لبرنامج ربط العمليات التجارية: صحيح
    • قبول أحرف البدل: خطأ

  • TenantId: المعرف الفريد للمستأجر

    • النوع: سلسلة
    • الموضع: 5
    • القيمة الافتراضية: بلا
    • قبول إدخال البنية الأساسية لبرنامج ربط العمليات التجارية: False
    • قبول أحرف البدل: خطأ

تعيين دور قارئ خطة التوفير على مستوى المستأجر باستخدام البرنامج النصي Azure PowerShell

لتعيين دور قارئ خطة التوفير على مستوى المستأجر باستخدام PowerShell، استخدم البرنامج النصي Azure PowerShell التالي:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Reader"

المعلمات

  • ObjectId: معرف عنصر Microsoft Entra للمستخدم أو المجموعة أو كيان الخدمة

    • النوع: سلسلة
    • الأسماء المستعارة: المعرف، المعرف الرئيسي
    • الموضع: مسمى
    • القيمة الافتراضية: بلا
    • قبول إدخال البنية الأساسية لبرنامج ربط العمليات التجارية: صحيح
    • قبول أحرف البدل: خطأ

  • TenantId: المعرف الفريد للمستأجر

    • النوع: سلسلة
    • الموضع: 5
    • القيمة الافتراضية: بلا
    • قبول إدخال البنية الأساسية لبرنامج ربط العمليات التجارية: False
    • قبول أحرف البدل: خطأ

الخطوات التالية