Octroyer l’accès pour créer des abonnements Azure Enterprise (hérité)

En tant que client Azure avec un Contrat Entreprise (EA), vous pouvez autoriser un autre utilisateur ou principal de service à créer des abonnements facturés à votre compte. Dans cet article, vous allez apprendre à utiliser le contrôle d’accès en fonction du rôle Azure (Azure RBAC) pour partager la capacité de créer des abonnements et à effectuer un audit des créations d’abonnements. Vous devez disposer du rôle Propriétaire pour le compte que vous souhaitez partager.

Notes

• Cette API ne fonctionne qu’avec les API héritées pour la création d’abonnements.
• À moins que vous n’ayez besoin d’utiliser les API héritées, vous devez utiliser les informations de la dernière version en disponibilité générale (GA) à propos de la dernière version d’API. Consultez Attributions de rôles de compte d’inscription – PUT pour accorder l’autorisation de créer des abonnements EA avec la dernière API.
• Si vous effectuez une migration pour utiliser les API les plus récentes, vous devez à nouveau accorder des autorisations de propriétaire à l’aide de 2019-10-01-preview. Votre configuration précédente qui utilise les API suivantes n’est pas convertie automatiquement afin d’être utilisée avec les API les plus récentes.

Notes

Nous vous recommandons d’utiliser le module Azure Az PowerShell pour interagir avec Azure. Pour commencer, consultez Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.

Accorder l'accès

Pour créer des abonnements sous un compte d’inscription, les utilisateurs doivent avoir le rôle de propriétaire Azure RBAC sur ce compte. Vous pouvez accorder à un utilisateur ou un groupe d’utilisateurs le rôle de propriétaire Azure RBAC sur un compte d’inscription en procédant comme suit :

1. Obtenir l’ID d’objet du compte d’inscription auquel vous souhaitez accorder l’accès

   Pour accorder à d’autres utilisateurs le rôle de propriétaire Azure RBAC sur un compte d’inscription, vous devez être le propriétaire du compte ou un propriétaire Azure RBAC du compte.

   REST

   Demande pour obtenir la liste de tous les comptes d’inscription auxquels vous avez accès :

   GET https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts?api-version=2018-03-01-preview
   

   Azure retourne la liste de tous les comptes d’inscription auxquels vous avez accès :

   {
     "value": [
       {
         "id": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
         "name": "747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
         "type": "Microsoft.Billing/enrollmentAccounts",
         "properties": {
           "principalName": "SignUpEngineering@contoso.com"
         }
       },
       {
         "id": "/providers/Microsoft.Billing/enrollmentAccounts/4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
         "name": "4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
         "type": "Microsoft.Billing/enrollmentAccounts",
         "properties": {
           "principalName": "BillingPlatformTeam@contoso.com"
         }
       }
     ]
   }
   

   Utilisez la propriété principalName pour identifier le compte auquel vous souhaitez accorder l’accès Azure RBAC. Copiez l’élément name de ce compte. Par exemple, si vous souhaitez accorder l’accès propriétaire Azure RBAC au compte d’inscription SignUpEngineering@contoso.com, vous devez copier 747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx. Il s’agit de l’ID d’objet du compte d’inscription. Collez cette valeur quelque part, de façon à pouvoir l’utiliser à l’étape suivante en tant que enrollmentAccountObjectId.

   PowerShell

   Utilisez l’applet de commande Get-AzEnrollmentAccount pour lister tous les comptes d’inscription auxquels vous avez accès. Sélectionnez Essayer pour ouvrir Azure Cloud Shell. Pour coller le code, sélectionnez et maintenez l’appui (ou cliquez avec le bouton droit) sur la fenêtre de l’interpréteur de commandes, puis sélectionnez Coller.

   Get-AzEnrollmentAccount
   

   Azure renvoie la liste de tous les comptes d’inscription auxquels vous avez accès :

   ObjectId                               | PrincipalName
   747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx   | SignUpEngineering@contoso.com
   4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx   | BillingPlatformTeam@contoso.com
   

   Utilisez la propriété principalName pour identifier le compte auquel vous souhaitez accorder l’accès Azure RBAC. Copiez l’élément ObjectId de ce compte. Par exemple, si vous souhaitez accorder l’accès propriétaire Azure RBAC au compte d’inscription SignUpEngineering@contoso.com, vous devez copier 747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx. Collez cet ID d’objet quelque part, de façon à pouvoir l’utiliser à l’étape suivante en tant que enrollmentAccountObjectId.

   Azure CLI

   Utilisez la commande az billing enrollment-account list pour lister tous les comptes d’inscription auxquels vous avez accès. Sélectionnez Essayer pour ouvrir Azure Cloud Shell. Pour coller le code, sélectionnez et maintenez l’appui (ou cliquez avec le bouton droit) sur la fenêtre de l’interpréteur de commandes, puis sélectionnez Coller.

   az billing enrollment-account list
   

   Azure renvoie la liste de tous les comptes d’inscription auxquels vous avez accès :

   [
     {
       "id": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
       "name": "747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
       "principalName": "SignUpEngineering@contoso.com",
       "type": "Microsoft.Billing/enrollmentAccounts",
     },
     {
       "id": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
       "name": "4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
       "principalName": "BillingPlatformTeam@contoso.com",
       "type": "Microsoft.Billing/enrollmentAccounts",
     }
   ]
   

   Utilisez la propriété principalName pour identifier le compte auquel vous souhaitez accorder l’accès Azure RBAC. Copiez l’élément name de ce compte. Par exemple, si vous souhaitez accorder l’accès propriétaire Azure RBAC au compte d’inscription SignUpEngineering@contoso.com, vous devez copier 747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx. Il s’agit de l’ID d’objet du compte d’inscription. Collez cette valeur quelque part, de façon à pouvoir l’utiliser à l’étape suivante en tant que enrollmentAccountObjectId.

2. Obtenir l’ID d’objet de l’utilisateur ou du groupe auquel vous souhaitez attribuer le rôle de propriétaire Azure RBAC

   1. Dans le portail Microsoft Azure, recherchez Microsoft Entra ID.
   2. Si vous voulez accorder l’accès à un utilisateur, sélectionnez Utilisateurs dans le menu de gauche. Pour donner accès à un groupe, sélectionnez Groupes.
   3. Sélectionnez l’utilisateur ou le groupe auquel vous souhaitez attribuer le rôle de propriétaire Azure RBAC.
   4. Si vous avez sélectionné un utilisateur, vous trouverez l’ID d’objet dans la page de profil. Si vous avez sélectionné un groupe, l’ID d’objet sera dans la page Vue d’ensemble. Copiez la valeur de ObjectID en sélectionnant l’icône à droite de la zone de texte. Collez-la quelque part de façon à pouvoir l’utiliser à l’étape suivante en tant que userObjectId.

3. Accorder à l’utilisateur ou au groupe le rôle de propriétaire Azure RBAC sur le compte d’inscription

   En utilisant les valeurs que vous avez collectées lors des deux premières étapes, accordez à l’utilisateur ou au groupe le rôle de propriétaire Azure RBAC sur le compte d’inscription.

   REST

   Exécutez la commande suivante, en remplaçant <enrollmentAccountObjectId> avec la valeur name que vous avez copiée lors de la première étape (747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx). Remplacez <userObjectId> par l’ID d’objet que vous avez copié lors de la deuxième étape.

   PUT  https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleAssignments/<roleAssignmentGuid>?api-version=2015-07-01
   
   {
     "properties": {
       "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
       "principalId": "<userObjectId>"
     }
   }
   

   Quand le rôle de propriétaire est correctement attribué au niveau de l’étendue du compte d’inscription, Azure retourne les informations de l’attribution de rôle :

   {
     "properties": {
       "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
       "principalId": "<userObjectId>",
       "scope": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
       "createdOn": "2018-03-05T08:36:26.4014813Z",
       "updatedOn": "2018-03-05T08:36:26.4014813Z",
       "createdBy": "<assignerObjectId>",
       "updatedBy": "<assignerObjectId>"
     },
     "id": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
     "type": "Microsoft.Authorization/roleAssignments",
     "name": "<roleAssignmentGuid>"
   }
   

   PowerShell

   Exécutez la commande New-AzRoleAssignment suivante, en remplaçant <enrollmentAccountObjectId> par la valeur ObjectId récupérée lors de la première étape (747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx). Remplacez <userObjectId> par l’ID d’objet que vous avez récupéré lors de la deuxième étape.

   New-AzRoleAssignment -RoleDefinitionName Owner -ObjectId <userObjectId> -Scope /providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>
   

   Azure CLI

   Exécutez la commande az role assignment create suivante, en remplaçant <enrollmentAccountObjectId> par la valeur name copiée lors de la première étape (747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx). Remplacez <userObjectId> par l’ID d’objet que vous avez récupéré lors de la deuxième étape.

   az role assignment create --role Owner --assignee-object-id <userObjectId> --scope /providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>
   

   Une fois qu’un utilisateur devient propriétaire Azure RBAC pour votre compte d’inscription, il peut créer des abonnements par programmation sous ce dernier. Un abonnement créé par un utilisateur délégué a toujours le propriétaire de compte d’origine comme administrateur de service, mais il a également l’utilisateur délégué comme propriétaire Azure RBAC par défaut.

Auditer qui a créé des abonnements à l’aide des journaux d’activité

Pour effectuer le suivi des abonnements créés par le biais de cette API, utilisez l’API des journaux d’activité de locataire. Il est impossible d’utiliser le portail Azure, l’interface CLI ou PowerShell pour effectuer le suivi de la création d’abonnement.

1. En tant qu’administrateur locataire du locataire Microsoft Entra, élevez l’accès, puis affectez un rôle de lecteur à l’utilisateur d’audit sur l’étendue /providers/microsoft.insights/eventtypes/management. Cet accès est disponible dans le rôle Lecteur, le rôle Contributeur d’analyse ou un rôle personnalisé.

2. En tant qu’utilisateur d’audit, appelez l’API des journaux d’activité de locataire pour voir les activités de création d’abonnement. Exemple :

   GET "/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '{greaterThanTimeStamp}' and eventTimestamp le '{lessThanTimestamp}' and eventChannels eq 'Operation' and resourceProvider eq 'Microsoft.Subscription'"
   

Pour appeler facilement cette API à partir de la ligne de commande, essayez ARMClient.

Étapes suivantes

• Maintenant que l’utilisateur ou le principal de service a l’autorisation de créer un abonnement, vous pouvez utiliser cette identité sur créer des abonnements Azure Enterprise par programmation.
• Pour obtenir un exemple de création d’abonnements à l’aide de .NET, consultez l’exemple de code sur GitHub.
• Pour en savoir plus sur Azure Resource Manager et ses API, consultez Vue d’ensemble d’Azure Resource Manager.
• Pour plus d’informations sur la gestion d’un grand nombre d’abonnements à l’aide de groupes d’administration, consultez Organiser vos ressources avec des groupes d’administration Azure.
• Pour obtenir une aide complète sur les bonnes pratiques de gouvernance d’abonnements dans les grandes entreprises, consultez Structure d’entreprise Azure : gouvernance normative de l’abonnement