Hozzáférés biztosítása Azure Enterprise-előfizetések létrehozásához (örökölt)

  • Cikk

Egy Nagyvállalati Szerződés (EA) rendelkező Azure-ügyfélként engedélyt adhat egy másik felhasználónak vagy szolgáltatásnévnek a fiókjához számlázott előfizetések létrehozásához. Ez a cikk bemutatja, hogyan oszthatja meg az előfizetések létrehozásának képességét az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) segítségével, illetve hogyan naplózhatja az előfizetések létrehozását. Fiók megosztásához tulajdonosi szerepkörrel kell rendelkeznie az adott fiókra vonatkozóan.

Megjegyzés:

  • Ez az API csak az előfizetés létrehozásához használt régi API-kkal működik.
  • Hacsak nincs konkrét szüksége az örökölt API-k használatára, használja a legújabb GA-verzióra vonatkozó információkat a legújabb API-verzióról. Lásd: Regisztrációs fiók szerepkör-hozzárendelései – Az EA-előfizetések a legújabb API-val való létrehozásához szükséges engedély megadására.
  • Ha az újabb API-k használatára kíván átállni, akkor a 2019-10-01-preview verzió használatával újra meg kell adnia a tulajdonosi engedélyeket. A következő API-kat használó korábbi konfiguráció nem lesz automatikusan konvertálva az újabb API-kkal való használatra.

Megjegyzés:

We recommend that you use the Azure Az PowerShell module to interact with Azure. See Install Azure PowerShell to get started. To learn how to migrate to the Az PowerShell module, see Migrate Azure PowerShell from AzureRM to Az.

Hozzáférés biztosítása

Ha előfizetéseket szeretnének létrehozni egy regisztrációs fiókhoz, a felhasználóknak Azure RBAC-alapú Tulajdonos szerepkörrel kell rendelkezniük az adott fiók esetében. A következő lépésekkel biztosíthatja az Azure RBAC-alapú Tulajdonos szerepkört egy regisztrációs fiók esetében, egy felhasználó vagy felhasználócsoport számára:

  1. Kérje le annak a regisztrációs fióknak az objektumazonosítóját, amelyhez hozzáférést szeretne adni.

    Ha Azure RBAC-alapú Tulajdonos szerepkört szeretne biztosítani mások számára egy regisztrációs fiók esetében, akkor a fiók tulajdonosának vagy Azure RBAC-tulajdonosának kell lennie.

    Kérelem azon fiókok felsorolására, amelyekhez hozzáféréssel rendelkezik:

    GET https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts?api-version=2018-03-01-preview

    Az Azure megadja az összes olyan regisztrációs fiók listáját, amelyhez hozzáféréssel rendelkezik:

    {
  "value": [
    {
      "id": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
      "name": "747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
      "type": "Microsoft.Billing/enrollmentAccounts",
      "properties": {
        "principalName": "SignUpEngineering@contoso.com"
      }
    },
    {
      "id": "/providers/Microsoft.Billing/enrollmentAccounts/4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
      "name": "4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
      "type": "Microsoft.Billing/enrollmentAccounts",
      "properties": {
        "principalName": "BillingPlatformTeam@contoso.com"
      }
    }
  ]
}

    Használja a principalName tulajdonságot a fiók azonosításához, amelyhez Azure RBAC-tulajdonosi hozzáférést kíván biztosítani. Másolja ki a fiók name elemét. Ha például Azure RBAC-tulajdonosi hozzáférést szeretne biztosítani a SignUpEngineering@contoso.com regisztrációs fiókhoz, a következőt kell másolnia: 747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx. Ez a regisztrációs fiók objektumazonosítója. Illessze be valahova ezt az értéket, hogy a következő lépésben használni tudja mint enrollmentAccountObjectId.

    Használja a principalName tulajdonságot a fiók azonosításához, amelyhez Azure RBAC-tulajdonosi hozzáférést kíván biztosítani. Másolja ki a fiók name elemét. Ha például Azure RBAC-tulajdonosi hozzáférést szeretne biztosítani a SignUpEngineering@contoso.com regisztrációs fiókhoz, a következőt kell másolnia: 747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx. Ez a regisztrációs fiók objektumazonosítója. Illessze be valahova ezt az értéket, hogy a következő lépésben használni tudja mint enrollmentAccountObjectId.

  2. Kérje le annak a felhasználónak vagy csoportnak az objektumazonosítóját, amelynek Azure RBAC-alapú Tulajdonos szerepkört szeretne adni

    1. Az Azure Portalon keressen a Microsoft Entra-azonosítóra.
    2. Ha felhasználói hozzáférést szeretne biztosítani, a bal oldali menüben válassza a Felhasználók lehetőséget. Ha egy csoportnak kíván hozzáférést biztosítani, válassza a Csoportok lehetőséget.
    3. Válassza ki azt a felhasználót vagy csoportot, amelynek Azure RBAC-alapú Tulajdonos szerepkört szeretne adni.
    4. Ha egy felhasználót választott, az objektumazonosító a Profil oldalon található. Ha egy csoportot választott, az objektumazonosító az Áttekintés oldalon található. Másolja az Objektumazonosítót a szövegmező jobb oldalán található ikon kiválasztásával. Illessze be valahova, hogy a következő lépésben használni tudja mint userObjectId.

  3. Azure RBAC-alapú Tulajdonos szerepkör biztosítása egy felhasználó vagy csoport számára a regisztrációs fiók esetében

    Az első két lépésben összegyűjtött értékek használatával adja meg a felhasználó vagy csoport számára az Azure RBAC-alapú Tulajdonos szerepkört a regisztrációs fiókra vonatkozóan.

    Futtassa a következő parancsot, amelyben cserélje le az <enrollmentAccountObjectId> értéket a name első lépésben kimásolt értékére (747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx). Cserélje le a <userObjectId> értéket a második lépésben kimásolt objektumazonosítóra.

    PUT  https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleAssignments/<roleAssignmentGuid>?api-version=2015-07-01

{
  "properties": {
    "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
    "principalId": "<userObjectId>"
  }
}

    Ha a tulajdonosi szerepkör sikeresen hozzá lett rendelve a regisztrációs fiók hatókörében, az Azure megadja a szerepkör-hozzárendelés információit:

    {
  "properties": {
    "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
    "principalId": "<userObjectId>",
    "scope": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
    "createdOn": "2018-03-05T08:36:26.4014813Z",
    "updatedOn": "2018-03-05T08:36:26.4014813Z",
    "createdBy": "<assignerObjectId>",
    "updatedBy": "<assignerObjectId>"
  },
  "id": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
  "type": "Microsoft.Authorization/roleAssignments",
  "name": "<roleAssignmentGuid>"
}

Az előfizetések létrehozóinak naplózása tevékenységnaplókkal

Ha ezzel az API-val szeretné nyomon követni a létrehozott előfizetéseket, használja a Tenant Activity Log API-t. Az előfizetések létrehozásának nyomon követéséhez jelenleg nem használható a PowerShell, a parancssori felület vagy az Azure Portal.

  1. A Microsoft Entra-bérlő bérlői rendszergazdájaként emelje ki a hozzáférést, majd rendeljen hozzá olvasói szerepkört a naplózási felhasználóhoz a hatókörön /providers/microsoft.insights/eventtypes/managementkeresztül. Ez a hozzáférés a Olvasó szerepkör, a figyelési közreműködő szerepkör vagy egy egyéni szerepkör számára érhető el.

  2. Naplózási felhasználóként meghívhatja a Tenant Activity Log API-t az előfizetés-létrehozási tevékenységek megtekintésére. Példa:

    GET "/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '{greaterThanTimeStamp}' and eventTimestamp le '{lessThanTimestamp}' and eventChannels eq 'Operation' and resourceProvider eq 'Microsoft.Subscription'"

Az API-t kényelmesen meghívhatja a parancssorból az ARMClient segítségével.

Következő lépések