Autorisations pour afficher et gérer les réservations Azure

Cet article explique le fonctionnement des autorisations de réservation et comment les utilisateurs peuvent afficher et gérer les réservations Azure dans le portail Azure et avec Azure PowerShell.

Notes

Nous vous recommandons d’utiliser le module Azure Az PowerShell pour interagir avec Azure. Pour commencer, consultez Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.

Qui peut gérer une réservation par défaut

Par défaut, les utilisateurs suivants peuvent voir et gérer des réservations :

• La personne qui achète une réservation et l’administrateur de compte de l’abonnement de facturation utilisé pour acheter la réservation sont ajoutés à l’ordre de réservation.
• Les administrateurs de facturation de l’Accord Entreprise et du Contrat client Microsoft.
• Les utilisateurs disposant d’un accès avec élévation de privilèges pour gérer tous les abonnements et groupes d’administration Azure.
• Un administrateur de réservation pour les réservations dans le locataire Microsoft Entra (répertoire)
• Un lecteur de réservation dispose d’un accès en lecture seule aux réservations dans son locataire Microsoft Entra (répertoire)

Le cycle de vie des réservations étant indépendant d’un abonnement Azure, la réservation n’est pas une ressource dans le cadre de l’abonnement Azure. Il s’agit plutôt d’une ressource au niveau du locataire avec sa propre autorisation Azure RBAC distincte des abonnements. Les réservations n’héritent pas des autorisations des abonnements après achat.

Afficher et gérer les réservations

Si vous êtes administrateur de facturation, suivez les étapes ci-dessous pour afficher et gérer toutes les réservations et les transactions de réservation dans le portail Azure.

1. Connectez-vous au portail Azure et accédez à Cost Management + Billing.
   • Si vous êtes un administrateur d’entreprise, dans le menu de gauche, sélectionnez Étendues de facturation, puis, dans la liste des étendues de facturation, sélectionnez-en une.
   • Si vous êtes propriétaire d’un profil de facturation Contrat client Microsoft, dans le menu de gauche, sélectionnez Profils de facturation. Dans la liste des profils de facturation, sélectionnez-en un.
2. Dans le menu de gauche, sélectionnez Produits + services>Réservations.
3. La liste complète des réservations pour votre profil d’inscription ou de facturation d’administrateur d’entreprise s’affiche.
4. Les administrateurs de facturation peuvent devenir propriétaires d’une ou de plusieurs réservations en les sélectionnant, puis en sélectionnant Accorder l’accès et Accorder l’accès dans la fenêtre qui s’affiche. Pour un Contrat client Microsoft, l’utilisateur doit se trouver dans le même locataire Microsoft Entra (répertoire) que la réservation.

Ajouter des administrateurs de facturation

Ajoutez un utilisateur en tant qu’administrateur de facturation à un Contrat Entreprise ou à un Contrat client Microsoft dans le portail Azure.

• Pour un Contrat Entreprise, ajoutez des utilisateurs avec le rôle d’Administrateur d’entreprise qui permet d’afficher et de gérer tous les ordres de réservation qui s’appliquent au Contrat Entreprise. Les administrateurs d’entreprise peuvent afficher et gérer les réservations dans Gestion des coûts + facturation.
  • Les utilisateurs dotés du rôle Administrateur d’entreprise (lecture seule) peuvent uniquement afficher la réservation à partir de Gestion des coûts + facturation.
  • Les administrateurs de service et les propriétaires de compte ne peuvent pas afficher les réservations à moins d’être explicitement ajoutés à celles-ci à l’aide du contrôle d’accès (IAM). Pour plus d’informations, consultez Gestion des rôles Azure Enterprise.
• Pour un Contrat client Microsoft, les utilisateurs détenant le rôle de propriétaire du profil de facturation ou le rôle de contributeur du profil de facturation peuvent gérer l’ensemble des achats de réservation effectués à l’aide du profil de facturation. Les lecteurs de profil de facturation et les gestionnaires de facture peuvent voir toutes les réservations qui sont réglées avec le profil de facturation. Toutefois, ils ne peuvent apporter aucune modification aux réservations. Pour plus d’informations, consultez Rôles et tâches liés au profil de facturation.

Afficher les réservations avec l’accès Azure RBAC

Si vous avez acheté la réservation ou si vous êtes ajouté à une réservation, suivez les étapes ci-dessous pour afficher et gérer les réservations dans le portail Azure.

1. Connectez-vous au portail Azure.
2. Sélectionnez Tous les services>Réservations pour afficher la liste des réservations auxquelles vous avez accès.

Gérer les abonnements et les groupes d’administration dans le cadre d’un accès avec élévation de privilèges

Vous pouvez élever l’accès pour gérer tous les abonnements et groupes d’administration Azure d’un utilisateur.

Après avoir élevé l’accès :

1. Accédez à Toutes les services>Réservation pour afficher toutes les réservations qui se trouvent dans le locataire.
2. Pour apporter des modifications à une réservation, ajoutez vous-même en tant que propriétaire de l’ordre de réservation à l’aide du contrôle d’accès (IAM).

Accorder l’accès à des réservations individuelles

Les utilisateurs dotés d’un accès propriétaire sur les réservations et les administrateurs de facturation peuvent déléguer la gestion des accès pour un ordre de réservation individuel dans le portail Azure.

Pour permettre à d’autres personnes de gérer des réservations, vous avez le choix entre deux options :

• Déléguer la gestion de l’accès pour un ordre de réservation individuel en attribuant le rôle Propriétaire à un utilisateur au niveau de l’étendue des ressources de l’ordre de réservation. Si vous souhaitez accorder un accès limité, sélectionnez un autre rôle.
  Pour connaître les étapes détaillées, consultez Attribuer des rôles Azure à l’aide du portail Azure.

• Ajouter un utilisateur en tant qu’administrateur de facturation à un Contrat Entreprise ou à un Contrat client Microsoft :

  • Pour un Contrat Entreprise, ajoutez des utilisateurs avec le rôle d’Administrateur d’entreprise qui permet d’afficher et de gérer tous les ordres de réservation qui s’appliquent au Contrat Entreprise. Les utilisateurs détenant le rôle d’Administrateur d’entreprise (lecture seule) peuvent uniquement afficher la réservation. Les administrateurs de service et les propriétaires de compte ne peuvent pas afficher les réservations à moins d’être explicitement ajoutés à celles-ci à l’aide du contrôle d’accès (IAM). Pour plus d’informations, consultez Gestion des rôles Azure Enterprise.

    Les administrateurs d’entreprise peuvent prendre possession d’un ordre de réservation et peuvent ajouter d’autres utilisateurs à une réservation à l’aide du contrôle d’accès (IAM).

  • Pour un Contrat client Microsoft, les utilisateurs détenant le rôle de propriétaire du profil de facturation ou le rôle de contributeur du profil de facturation peuvent gérer l’ensemble des achats de réservation effectués à l’aide du profil de facturation. Les lecteurs de profil de facturation et les gestionnaires de facture peuvent voir toutes les réservations qui sont réglées avec le profil de facturation. Toutefois, ils ne peuvent apporter aucune modification aux réservations. Pour plus d’informations, consultez Rôles et tâches liés au profil de facturation.

Accorder l’accès avec PowerShell

Les utilisateurs dotés d’un accès propriétaire pour les ordres de réservations, les utilisateurs dotés d’un accès avec élévation des privilèges et les administrateurs d’accès utilisateur peuvent déléguer la gestion des accès pour tous les ordres de réservation auxquelles ils ont accès.

L’accès accordé à l’aide de PowerShell n’est pas indiqué dans le portail Azure. Au lieu de cela, vous utilisez la commande get-AzRoleAssignment dans la section suivante pour afficher les rôles attribués.

Attribuer le rôle Propriétaire pour toutes les réservations

Utilisez le script Azure PowerShell suivant pour permettre à un utilisateur Azure RBAC d’accéder à tous les ordres de réservations dans son locataire Microsoft Entra (répertoire).

Import-Module Az.Accounts
Import-Module Az.Resources
 
Connect-AzAccount -Tenant <TenantId>
 
$response = Invoke-AzRestMethod -Path /providers/Microsoft.Capacity/reservations?api-version=2020-06-01 -Method GET
 
$responseJSON = $response.Content | ConvertFrom-JSON
 
$reservationObjects = $responseJSON.value
 
foreach ($reservation in $reservationObjects)
{
  $reservationOrderId = $reservation.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$reservationOrderId
  New-AzRoleAssignment -Scope $reservationOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

Lorsque vous utilisez le script PowerShell pour attribuer le rôle de propriétaire et qu’il s’exécute correctement, aucun message de réussite n’est retourné.

Paramètres

-ObjectId Microsoft Entra ObjectId de l’utilisateur, du groupe ou du principal du service.

• Tapez : String
• Alias : ID, PrincipalId
• Position : Nommée
• Valeur par défaut : Aucun
• Accepter l’entrée de pipeline : True
• Accepter les caractères génériques : False

-TenantId Identificateur unique du locataire.

• Tapez : String
• Position : 5
• Valeur par défaut : Aucun
• Accepter l’entrée de pipeline : False
• Accepter les caractères génériques : False

Accès au niveau du locataire

Les droits d’Administrateur de l’accès utilisateur sont requis avant de pouvoir accorder à des utilisateurs ou des groupes les rôles Administrateur de réservations et Lecteur de réservations au niveau du locataire. Pour obtenir les droits d’administrateur d’accès utilisateur au niveau du locataire, suivez les étapes d’accès avec élévation de privilèges.

Ajouter un rôle d’administrateur de réservations ou un rôle de lecteur de réservations au niveau du locataire

Vous pouvez assigner ces rôles depuis le Portail Azure.

1. Connectez-vous au portail Azure et accédez à Réservations.
2. Sélectionnez une réservation à laquelle vous avez accès.
3. En haut de la page, sélectionnez Attribution de rôle.
4. Sélectionnez l’onglet Rôles.
5. Pour apporter des modifications, ajoutez un utilisateur en tant qu’administrateur de réservations ou lecteur de réservations à l’aide du contrôle d’accès.

Ajoutez un rôle d’administrateur de réservation au niveau du locataire avec le script Azure PowerShell

Utilisez le script de Azure PowerShell suivant pour ajouter un rôle d’administrateur de réservation au niveau du locataire avec PowerShell.

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Administrator"

Paramètres

-ObjectId Microsoft Entra ObjectId de l’utilisateur, du groupe ou du principal du service.

• Tapez : String
• Alias : ID, PrincipalId
• Position : Nommée
• Valeur par défaut : Aucun
• Accepter l’entrée de pipeline : True
• Accepter les caractères génériques : False

-TenantId Identificateur unique du locataire.

• Tapez : String
• Position : 5
• Valeur par défaut : Aucun
• Accepter l’entrée de pipeline : False
• Accepter les caractères génériques : False

Attribuez un rôle de lecteur de réservation au niveau du locataire avec le script Azure PowerShell

Utilisez le script Azure PowerShell suivant pour attribuer le rôle Lecteur de réservation au niveau du locataire avec PowerShell.

Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>

New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Reader"

Paramètres

-ObjectId Microsoft Entra ObjectId de l’utilisateur, du groupe ou du principal du service.

• Tapez : String
• Alias : ID, PrincipalId
• Position : Nommée
• Valeur par défaut : Aucun
• Accepter l’entrée de pipeline : True
• Accepter les caractères génériques : False

-TenantId Identificateur unique du locataire.

• Tapez : String
• Position : 5
• Valeur par défaut : Aucun
• Accepter l’entrée de pipeline : False
• Accepter les caractères génériques : False

Étapes suivantes

• Gérer les réservations Azure