Zuweisen des Zugriffs auf Daten in Cost Management

Für Benutzer mit Azure Enterprise Agreements wird die Zugriffsebene auf Daten in Cost Management durch eine Kombination aus im Azure-Portal und im Enterprise-Portal (EA-Portal) gewährten Berechtigungen definiert. Für Benutzer mit anderen Typen von Azure-Konten ist das Festlegen der Zugriffsebene auf Cost Management-Daten einfacher, da dort die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC) genutzt werden kann. Dieser Artikel führt Sie durch das Zuweisen des Zugriffs auf Daten in Cost Management. Nachdem die Kombination von Berechtigungen zugewiesen wurde, kann der Benutzer anhand des Zugriffsbereichs und des im Azure-Portal ausgewählten Bereichs auf Daten in Cost Management zugreifen.

Der von einem Benutzer ausgewählte Bereich wird im gesamten Cost Management verwendet, um Daten zu konsolidieren und den Zugriff auf Kosteninformationen zu steuern. Bei Verwendung von Bereichen findet keine Mehrfachauswahl durch Benutzer statt. Stattdessen wählen sie einen größeren Bereich aus, auf den untergeordnete Bereiche erweitert werden, und filtern diese dann nach den gewünschten Elementen für die Anzeige. Diese Datenkonsolidierung sollten Sie verstehen, da einige Personen nicht auf einen übergeordneten Bereich zugreifen sollten, in den die untergeordneten Bereiche zusammengefasst werden.

Sehen Sie sich das Video zum Steuern des Zugriffs mit Cost Management an, um mehr über die Zuweisung des Zugriffs zum Anzeigen von Kosten und Gebühren mit der rollenbasierten Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC) zu erfahren. Weitere Videos finden Sie im YouTube-Kanal zu Cost Management.

Bereiche in Cost Management

Cost Management unterstützt eine Vielzahl von Azure-Kontotypen. Die vollständige Liste der unterstützten Kontotypen finden Sie unter Grundlegendes zu Cost Management-Daten. Der Kontotyp bestimmt die verfügbaren Bereiche.

Azure EA-Abonnementbereiche

Zum Anzeigen von Kostendaten für Azure EA-Abonnements muss ein Benutzer mindestens über Lesezugriff auf einen oder mehrere der folgenden Bereiche verfügen.

Umfang Definiert unter Erforderlicher Zugriff zum Anzeigen von Daten Erforderliche EA-Einstellung Konsolidierung von Daten
Abrechnungskonto1 https://ea.azure.com Unternehmensadministrator Keine Alle Abonnements aus dem Enterprise Agreement
Department https://ea.azure.com Abteilungsadministrator Gebühren anzeigen für Abteilungsadministratoren aktiviert Alle Abonnements, die zu einem Registrierungskonto gehören, das mit der Abteilung verknüpft ist
Registrierungskonto2 https://ea.azure.com Kontobesitzer AO view charges (Gebühren anzeigen für Kontobesitzer) aktiviert Alle Abonnements aus dem Registrierungskonto
Verwaltungsgruppe https://portal.azure.com Cost Management-Leser (oder Mitwirkender) AO view charges (Gebühren anzeigen für Kontobesitzer) aktiviert Alle Abonnements unter der Verwaltungsgruppe
Subscription https://portal.azure.com Cost Management-Leser (oder Mitwirkender) AO view charges (Gebühren anzeigen für Kontobesitzer) aktiviert Alle Ressourcen/Ressourcengruppen im Abonnement
Resource group https://portal.azure.com Cost Management-Leser (oder Mitwirkender) AO view charges (Gebühren anzeigen für Kontobesitzer) aktiviert Alle Ressourcen in der Ressourcengruppe

1 Das Abrechnungskonto wird auch als Enterprise Agreement oder Registrierung bezeichnet.

2 Das Registrierungskonto wird auch als Kontobesitzer bezeichnet.

Direkte Unternehmensadministratoren können das Abrechnungskonto, die Abteilung und den Registrierungskontobereich im Azure-Portal zuweisen. Weitere Informationen finden Sie unter Azure-Portal-Verwaltung für direkte Enterprise Agreements.

Andere Azure-Kontobereiche

Zum Anzeigen von Kostendaten für andere Azure-Abonnements muss ein Benutzer mindestens über Lesezugriff auf einen oder mehrere der folgenden Bereiche verfügen:

  • Verwaltungsgruppe
  • Subscription
  • Resource group

Nachdem Partner Kunden in eine Microsoft-Kundenvereinbarung aufgenommen haben, stehen verschiedene Bereiche zur Verfügung. CSP-Kunden können Features von Cost Management verwenden, wenn sie von ihrem CSP-Partner aktiviert werden. Weitere Informationen finden Sie unter Erste Schritte mit Cost Management für Partner.

Aktivieren des Zugriffs auf Kosten im Azure-Portal

Für den Abteilungsbereich muss die Option Abteilungsadministratoren können Gebühren anzeigen. (Gebühren anzeigen für Abteilungsadministratoren) auf Ein festgelegt werden. Konfigurieren Sie die Option entweder im Azure-Portal oder im EA-Portal. Für alle anderen Bereiche muss die Option Kontobesitzer können Gebühren anzeigen. (Gebühren anzeigen für Kontobesitzer) auf Ein festgelegt werden.

So aktivieren Sie eine Option im Azure-Portal:

  1. Melden Sie sich beim Azure-Portal unter https://portal.azure.com mit einem Enterprise-Administratorkonto an.
  2. Wählen Sie das Menüelement Cost Management + Abrechnung aus.
  3. Wählen Sie Abrechnungsbereiche aus, um eine Liste der verfügbaren Abrechnungsbereiche und Abrechnungskonten anzuzeigen.
  4. Wählen Sie in der Liste der verfügbaren Abrechnungskonten Ihr Abrechnungskonto aus.
  5. Wählen Sie unter Einstellungen das Menüelement Richtlinien aus, und konfigurieren Sie dann die Einstellung.
    Billing scope policies showing view charges options

Nachdem die Optionen zum Anzeigen von Gebühren aktiviert wurden, müssen für die meisten Bereiche auch Berechtigungen für die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC) im Azure-Portal konfiguriert werden.

Aktivieren des Zugriffs auf Kosten im EA-Portal

Für den Abteilungsbereich muss die Option Abteilungsadministratoren können Gebühren anzeigen im EA-Portal Aktiviert sein. Konfigurieren Sie die Option entweder im Azure-Portal oder im EA-Portal. Für alle anderen Bereiche muss die Option AO view charges (Gebühren anzeigen für Kontobesitzer) im EA-Portal aktiviert sein.

So aktivieren Sie eine Option im EA-Portal:

  1. Melden Sie sich beim EA-Portal unter https://ea.azure.com mit einem Enterprise-Administratorkonto an.
  2. Wählen Sie im linken Bereich Verwalten aus.
  3. Aktivieren Sie für die Kostenverwaltungsbereiche, auf die Sie Zugriff gewähren möchten, nach Bedarf die Optionen DA view charges (Gebühren anzeigen für Abteilungsadministrator) oder AO view charges (Gebühren anzeigen für Kontobesitzer).
    Enrollment tab showing DA and AO view charges options

Nachdem die Optionen zum Anzeigen von Gebühren aktiviert wurden, müssen für die meisten Bereiche auch Berechtigungen für die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC) im Azure-Portal konfiguriert werden.

Unternehmensadministratorrolle

Standardmäßig kann ein Unternehmensadministrator auf das Abrechnungskonto (Enterprise Agreement/Registrierung) und alle anderen untergeordneten Bereiche zugreifen. Der Unternehmensadministrator weist anderen Benutzern den Zugriff auf Bereiche zu. Als bewährte Methode für Geschäftskontinuität sollten immer zwei Benutzer den Zugriff eines Unternehmensadministrators haben. Die folgenden Abschnitte sind detaillierte Beispiele für die Zuweisung des Zugriffs auf Bereiche für andere Benutzer durch den Unternehmensadministrator.

Zuweisen des Zugriffs auf den Abrechnungskontenbereich

Für den Zugriff auf den Abrechnungskontenbereich muss im EA-Portal die Berechtigung eines Unternehmensadministrators vorliegen. Der Unternehmensadministrator kann Kosten in der gesamten EA-Registrierung oder in mehreren Registrierungen anzeigen. Es ist keine Aktion im Azure-Portal für den Abrechnungskontenbereich erforderlich.

  1. Melden Sie sich beim EA-Portal unter https://ea.azure.com mit einem Enterprise-Administratorkonto an.
  2. Wählen Sie im linken Bereich Verwalten aus.
  3. Wählen Sie auf der Registerkarte Registrierung die Registrierung aus, die Sie verwalten möchten.
    select your enrollment in the EA portal
  4. Wählen Sie + Administrator hinzufügen aus.
  5. Wählen Sie im Feld „Administrator hinzufügen“ den Authentifizierungstyp aus, und geben Sie die E-Mail-Adresse des Benutzers ein.
  6. Wenn der Benutzer schreibgeschützten Zugriff auf Kosten- und Nutzungsdaten erhalten soll, wählen Sie unter Schreibgeschützt die Option Ja aus. Klicken Sie andernfalls auf Nein.
  7. Wählen Sie Hinzufügen aus, um das Konto zu erstellen.
    example information shown in the Add administrator box

Es kann bis zu 30 Minuten dauern, bevor der neue Benutzer in Cost Management auf Daten zugreifen kann.

Zuweisen des Zugriffs auf den Abteilungsbereich

Für den Zugriff auf den Abteilungsbereich muss im EA-Portal der Zugriff eines Abteilungsadministrators („DA view charges“) gewährt werden. Der Abteilungsadministrator kann Kosten- und Nutzungsdaten für eine oder mehrere Abteilungen anzeigen. Die Daten für die Abteilung schließen alle Abonnements ein, die zu einem Registrierungskonto gehören und mit der Abteilung verknüpft sind. Im Azure-Portal ist keine Aktion erforderlich.

  1. Melden Sie sich beim EA-Portal unter https://ea.azure.com mit einem Enterprise-Administratorkonto an.
  2. Wählen Sie im linken Bereich Verwalten aus.
  3. Wählen Sie auf der Registerkarte Registrierung die Registrierung aus, die Sie verwalten möchten.
  4. Wählen Sie die Registerkarte Abteilung und anschließend Administrator hinzufügen aus.
  5. Wählen Sie im Feld „Add Department Administrator“ (Abteilungsadministrator hinzufügen) den Authentifizierungstyp aus, und geben Sie die E-Mail-Adresse des Benutzers ein.
  6. Wenn der Benutzer schreibgeschützten Zugriff auf Kosten- und Nutzungsdaten erhalten soll, wählen Sie unter Schreibgeschützt die Option Ja aus. Klicken Sie andernfalls auf Nein.
  7. Wählen Sie die Abteilungen aus, denen Sie Berechtigungen für die Abteilungsverwaltung gewähren möchten.
  8. Wählen Sie Hinzufügen aus, um das Konto zu erstellen.
    enter required information in the Add department administrator box

Direkte Unternehmensadministratoren können im Azure-Portal Abteilungsadministratorzugriff zuweisen. Weitere Informationen finden Sie unter Hinzufügen eines Abteilungsadministrators im Azure-Portal.

Zuweisen des Zugriffs auf den Registrierungskontobereich

Für den Zugriff auf den Registrierungskontobereich muss im EA-Portal der Zugriff eines Kontobesitzers („AO view charges“) bestehen. Der Kontobesitzer kann Kosten- und Nutzungsdaten anzeigen, die mit den Abonnements verknüpft sind, die von einem Registrierungskonto erstellt wurden. Im Azure-Portal ist keine Aktion erforderlich.

  1. Melden Sie sich beim EA-Portal unter https://ea.azure.com mit einem Enterprise-Administratorkonto an.
  2. Wählen Sie im linken Bereich Verwalten aus.
  3. Wählen Sie auf der Registerkarte Registrierung die Registrierung aus, die Sie verwalten möchten.
  4. Wählen Sie die Registerkarte Konto und dann Konto hinzufügen aus.
  5. Wählen Sie im Feld „Konto hinzufügen“ die Abteilung aus, der das Konto zugeordnet werden soll, oder lassen sie es nicht zugewiesen.
  6. Wählen Sie den Authentifizierungstyp aus, und geben Sie den Kontonamen ein.
  7. Geben Sie die E-Mail-Adresse des Benutzers und dann optional die Kostenstelle ein.
  8. Wählen Sie Hinzufügen aus, um das Konto zu erstellen.
    enter required information in the Add account box for an enrollment account

Nachdem die obigen Schritte ausgeführt wurden, wird das Benutzerkonto zu einem Registrierungskonto im Enterprise Portal. Fortan können damit Abonnements erstellt werden. Der Benutzer kann auf Kosten- und Nutzungsdaten für von ihm erstellte Abonnements zugreifen.

Direkte Unternehmensadministratoren können im Azure-Portal Kontobesitzerzugriff zuweisen. Weitere Informationen finden Sie unter Hinzufügen eines Kontobesitzers im Azure-Portal.

Zuweisen des Zugriffs auf den Verwaltungsgruppenbereich

Für den Zugriff zur Anzeige des Verwaltungsgruppenbereichs ist mindestens die Berechtigung „Cost Management-Leser“ (oder „Leser“) erforderlich. Sie können die Berechtigungen für eine Verwaltungsgruppe im Azure-Portal konfigurieren. Sie benötigen mindestens die Berechtigung „Benutzerzugriffsadministrator“ (oder „Besitzer“) für die Verwaltungsgruppe, um anderen Benutzern Zugriff zu gewähren. Für Azure EA-Konten muss zudem im EA-Portal die Einstellung Kontobesitzer können Gebühren anzeigen aktiviert sein.

Zuweisen des Zugriffs auf den Abonnementbereich

Der Zugriff auf ein Abonnement erfordert mindestens die Berechtigung „Kostenverwaltung: Leser“ (oder „Leser“). Sie können die Berechtigungen für ein Abonnement im Azure-Portal konfigurieren. Sie benötigen mindestens die Berechtigung „Benutzerzugriffsadministrator“ (oder „Besitzer“) für das Abonnement, um anderen Benutzern Zugriff zu gewähren. Für Azure EA-Konten muss zudem im EA-Portal die Einstellung Kontobesitzer können Gebühren anzeigen aktiviert sein.

Zuweisen des Zugriffs auf den Ressourcengruppenbereich

Für den Zugriff auf den Ressourcengruppenbereich ist mindestens die Berechtigung „Kostenverwaltung: Leser“ (oder „Leser“) erforderlich. Sie können die Berechtigungen für eine Ressourcengruppe im Azure-Portal konfigurieren. Sie benötigen mindestens die Berechtigung „Benutzerzugriffsadministrator“ (oder „Besitzer“) für die Ressourcengruppe, um anderen Benutzern Zugriff zu gewähren. Für Azure EA-Konten muss zudem im EA-Portal die Einstellung Kontobesitzer können Gebühren anzeigen aktiviert sein.

Mandantenübergreifende Authentifizierungsprobleme

Zurzeit bietet Cost Management eingeschränkte Unterstützung für die mandantenübergreifende Authentifizierung. Unter bestimmten Umständen wird bei der Kostenanalyse der Fehler Zugriff verweigert zurückgegeben, wenn Sie versuchen, sich mandantenübergreifend zu authentifizieren. Dieses Problem kann auftreten, wenn Sie die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC) für das Abonnement eines anderen Mandanten konfigurieren und dann versuchen, Kostendaten anzuzeigen.

So können Sie das Problem umgehen: Nachdem Sie die mandantenübergreifende rollenbasierte Azure RBAC konfiguriert haben, warten Sie eine Stunde. Versuchen Sie dann, in beiden Mandanten Kosten in der Kostenanalyse anzuzeigen oder Benutzern Zugriff auf Cost Management zu gewähren.

Nächste Schritte