Menetapkan peran Perjanjian Enterprise ke perwakilan layanan

  • Artikel

Anda dapat mengelola pendaftaran Perjanjian Enterprise (EA) di portal Azure. Anda dapat membuat berbagai peran untuk mengelola organisasi Anda, menampilkan biaya, dan membuat langganan. Artikel ini membantu Anda mengotomatiskan beberapa tugas tersebut dengan menggunakan Azure PowerShell dan REST API dengan perwakilan layanan ID Microsoft Entra.

Catatan

Jika Anda memiliki beberapa akun penagihan EA di organisasi, Anda harus memberikan peran EA kepada perwakilan layanan ID Microsoft Entra satu per satu di setiap akun penagihan EA.

Sebelum memulai, pastikan Anda sudah terbiasa dengan artikel berikut:

Membuat dan mengautentikasi perwakilan layanan Anda

Untuk mengotomatiskan tindakan EA dengan menggunakan perwakilan layanan, Anda perlu membuat identitas aplikasi Microsoft Entra, yang kemudian dapat mengautentikasi secara otomatis.

Ikuti langkah-langkah dalam artikel ini untuk membuat dan mengautentikasi menggunakan perwakilan layanan Anda.

Berikut adalah contoh halaman pendaftaran aplikasi.

Cuplikan layar yang menunjukkan Daftarkan aplikasi.

Temukan ID perwakilan layanan dan penyewa Anda

Anda memerlukan ID objek perwakilan layanan dan ID penyewa. Anda memerlukan informasi ini untuk operasi penetapan izin nanti di artikel ini. Semua aplikasi terdaftar di ID Microsoft Entra di penyewa. Dua jenis objek dibuat saat pendaftaran aplikasi selesai:

  • Objek aplikasi - ID aplikasi adalah apa yang Anda lihat di bawah Aplikasi Perusahaan. ID tidak boleh digunakan untuk memberikan peran EA apa pun.
  • Objek Perwakilan Layanan - Objek Perwakilan Layanan adalah apa yang Anda lihat di jendela Pendaftaran Perusahaan di ID Microsoft Entra. ID objek digunakan untuk memberikan peran EA kepada perwakilan layanan.

  1. Buka ID Microsoft Entra, lalu pilih Aplikasi perusahaan.

  2. Temukan aplikasi Anda dalam daftar.

    Cuplikan layar yang menunjukkan contoh aplikasi perusahaan.

  3. Pilih aplikasi untuk menemukan ID aplikasi dan ID objek:

    Cuplikan layar yang menunjukkan ID aplikasi dan ID objek untuk aplikasi perusahaan.

  4. Buka halaman Gambaran Umum ID Microsoft Entra untuk menemukan ID penyewa.

    Cuplikan layar yang menunjukkan ID penyewa.

Catatan

Nilai ID penyewa Microsoft Entra Anda terlihat seperti GUID dengan format berikut: 11111111-1111-1111-1111-111111111111.

Izin yang dapat ditetapkan ke perwakilan layanan

Nantinya dalam artikel ini, Anda akan memberikan izin kepada aplikasi Microsoft Entra untuk bertindak dengan menggunakan peran EA. Anda hanya dapat menetapkan peran berikut ke perwakilan layanan, dan Anda memerlukan ID definisi peran, persis seperti yang ditunjukkan.

Peran Tindakan yang diizinkan ID definisi peran
EnrollmentReader Pembaca pendaftaran dapat melihat data di cakupan pendaftaran, departemen, dan akun. Data berisi biaya untuk semua langganan di bawah cakupan, termasuk di seluruh penyewa. Dapat melihat saldo Azure Prepayment (sebelumnya disebut komitmen moneter) yang terkait dengan pendaftaran. 24f8edb6-1668-4659-b5e2-40bb5f3a7d7e
Pembeli EA Beli pesanan reservasi dan lihat transaksi reservasi. Peran ini memiliki semua izin EnrollmentReader, yang nantinya akan memiliki semua izin DepartmentReader. Peran ini dapat melihat penggunaan dan biaya di semua akun dan langganan. Dapat melihat saldo Azure Prepayment (sebelumnya disebut komitmen moneter) yang terkait dengan pendaftaran. da6647fb-7651-49ee-be91-c43c4877f0c4
DepartmentReader Unduh detail penggunaan untuk departemen yang mereka kelola. Dapat melihat penggunaan dan biaya yang terkait dengan departemen mereka. db609904-a47f-4794-9be8-9bd86fbffd8a
SubscriptionCreator Buat langganan baru dalam cakupan Akun tertentu. a0bcee42-bf30-4d1b-926a-48d21664ef71
  • Peran EnrollmentReader hanya dapat ditetapkan ke perwakilan layanan oleh pengguna yang memiliki peran penulis pendaftaran. Peran EnrollmentReader yang ditetapkan ke perwakilan layanan tidak ditampilkan di portal Azure. Ini dibuat dengan cara terprogram dan hanya untuk penggunaan terprogram.
  • Peran DepartmentReader dapat ditetapkan ke perwakilan layanan hanya oleh pengguna yang memiliki peran penulis pendaftaran atau penulis departemen.
  • Peran SubscriptionCreator dapat ditetapkan ke perwakilan layanan hanya oleh pengguna yang merupakan pemilik akun pendaftaran (administrator EA). Peran tidak ditampilkan dalam portal Azure. Ini dibuat dengan cara terprogram dan hanya untuk penggunaan terprogram.
  • Peran pembeli EA tidak ditampilkan dalam portal Azure. Ini dibuat dengan cara terprogram dan hanya untuk penggunaan terprogram.

Saat Anda memberikan peran EA kepada perwakilan layanan, Anda harus menggunakan properti yang billingRoleAssignmentName diperlukan. Parameter adalah GUID unik yang harus Anda sediakan. Anda dapat membuat GUID menggunakan perintah PowerShell New-Guid. Anda juga dapat menggunakan situs web Pembuat GUID/UUID Online untuk membuat GUID unik.

Perwakilan layanan hanya dapat memiliki satu peran.

Menetapkan izin peran akun pendaftaran ke perwakilan layanan

  1. Baca artikel REST API Penetapan Peran - Put. Saat Anda membaca artikel, pilih Coba untuk memulai dengan menggunakan perwakilan layanan.

    Cuplikan layar yang menunjukkan opsi Coba di artikel Put.

  2. Gunakan info masuk akun Anda untuk masuk ke penyewa dengan akses pendaftaran yang ingin Anda tetapkan.

  3. Berikan parameter berikut sebagai bagian dari permintaan API.

    • billingAccountName: Parameter ini adalah ID akun Penagihan. Anda dapat menemukannya di portal Azure di halaman gambaran umum Cost Management + Billing.

      Cuplikan layar yang menunjukkan ID akun Penagihan.

    • billingRoleAssignmentName: Parameter ini adalah GUID unik yang perlu Anda sediakan. Anda dapat membuat GUID menggunakan perintah PowerShell New-Guid. Anda juga dapat menggunakan situs web Pembuat GUID/UUID Online untuk membuat GUID unik.

    • api-version: Gunakan versi 2019-10-01-preview. Gunakan isi permintaan sampel di Penetapan Peran - Put - Contoh.

      Isi permintaan memiliki kode JSON dengan tiga parameter yang perlu Anda gunakan.

      Parameter Tempat menemukannya
      properties.principalId Ini adalah nilai Object ID. Lihat Menemukan ID perwakilan layanan dan penyewa Anda.
      properties.principalTenantId Lihat Menemukan ID perwakilan layanan dan penyewa Anda.
      properties.roleDefinitionId /providers/Microsoft.Billing/billingAccounts/{BillingAccountName}/billingRoleDefinitions/24f8edb6-1668-4659-b5e2-40bb5f3a7d7e

      Nama akun penagihan adalah parameter yang sama dengan yang Anda gunakan dalam parameter API. Ini adalah ID pendaftaran yang Anda lihat di portal Azure.

      Perhatikan bahwa 24f8edb6-1668-4659-b5e2-40bb5f3a7d7e adalah ID definisi peran penagihan untuk EnrollmentReader.

  4. Pilih Jalankan untuk memulai perintah.

    Cuplikan layar memperlihatkan contoh penetapan peran dengan contoh informasi yang siap dijalankan.

    200 OK Respons menunjukkan bahwa perwakilan layanan berhasil ditambahkan.

Sekarang Anda dapat menggunakan perwakilan layanan untuk mengakses API EA secara otomatis. Perwakilan layanan memiliki peran EnrollmentReader.

Menetapkan izin peran Pembeli EA ke perwakilan layanan

Untuk peran pembeli EA, gunakan langkah yang sama untuk pembaca pendaftaran. Tentukan roleDefinitionId, menggunakan contoh berikut:

"/providers/Microsoft.Billing/billingAccounts/1111111/billingRoleDefinitions/ da6647fb-7651-49ee-be91-c43c4877f0c4"

Menetapkan peran pembaca departemen ke perwakilan layanan

  1. Baca artikel REST API Penetapan Peran Departemen Pendaftaran - Put. Saat Anda membaca artikel, pilih Coba.

    Cuplikan layar yang menunjukkan opsi Coba di artikel Put Penetapan Peran Departemen Pendaftaran.

  2. Gunakan info masuk akun Anda untuk masuk ke penyewa dengan akses pendaftaran yang ingin Anda tetapkan.

  3. Berikan parameter berikut sebagai bagian dari permintaan API.

    • billingAccountName: Parameter ini adalah ID akun Penagihan. Anda dapat menemukannya di portal Azure di halaman gambaran umum Cost Management + Billing.

      Cuplikan layar yang menunjukkan ID akun Penagihan.

    • billingRoleAssignmentName: Parameter ini adalah GUID unik yang perlu Anda sediakan. Anda dapat membuat GUID menggunakan perintah PowerShell New-Guid. Anda juga dapat menggunakan situs web Pembuat GUID/UUID Online untuk membuat GUID unik.

    • departmentName: Parameter ini adalah ID departemen. Anda dapat melihat ID departemen di portal Azure di halaman Cost Management + Billing>Departemen.

      Untuk contoh ini, kami menggunakan departemen ACE. ID untuk contohnya adalah 84819.

      Cuplikan layar yang menunjukkan contoh ID departemen.

    • api-version: Gunakan versi 2019-10-01-preview. Gunakan sampel di Tugas Penetapan Peran Departemen Pendaftaran - Put.

      Isi permintaan memiliki kode JSON dengan tiga parameter yang perlu Anda gunakan.

      Parameter Tempat menemukannya
      properties.principalId Ini adalah nilai Object ID. Lihat Menemukan ID perwakilan layanan dan penyewa Anda.
      properties.principalTenantId Lihat Menemukan ID perwakilan layanan dan penyewa Anda.
      properties.roleDefinitionId /providers/Microsoft.Billing/billingAccounts/{BillingAccountName}/billingRoleDefinitions/db609904-a47f-4794-9be8-9bd86fbffd8a

      Nama akun penagihan adalah parameter yang sama dengan yang Anda gunakan dalam parameter API. Ini adalah ID pendaftaran yang Anda lihat di portal Azure.

      ID definisi peran penagihan db609904-a47f-4794-9be8-9bd86fbffd8a adalah untuk pembaca departemen.

  4. Pilih Jalankan untuk memulai perintah.

    Cuplikan layar yang menunjukkan contoh Coba REST Penetapan Peran Departemen Pendaftaran - Put dengan contoh informasi yang siap dijalankan.

    200 OK Respons menunjukkan bahwa perwakilan layanan berhasil ditambahkan.

Sekarang Anda dapat menggunakan perwakilan layanan untuk mengakses API EA secara otomatis. Perwakilan layanan memiliki peran DepartmentReader.

Menetapkan peran pembuat langganan ke perwakilan layanan

  1. Baca artikel Penetapan Peran Akun Pendaftaran - Put. Saat Anda membacanya, pilih Coba untuk menetapkan peran pembuat langganan ke perwakilan layanan.

    Cuplikan layar yang menunjukkan opsi Coba di artikel Put Penetapan Peran Akun Pendaftaran.

  2. Gunakan info masuk akun Anda untuk masuk ke penyewa dengan akses pendaftaran yang ingin Anda tetapkan.

  3. Berikan parameter berikut sebagai bagian dari permintaan API. Baca artikel di Penetapan Peran Akun Pendaftaran - Put - Parameter URI.

    • billingAccountName: Parameter ini adalah ID akun Penagihan. Anda dapat menemukannya di portal Azure di halaman gambaran umum Cost Management + Billing.

      Cuplikan layar yang menunjukkan ID akun Penagihan.

    • billingRoleAssignmentName: Parameter ini adalah GUID unik yang perlu Anda sediakan. Anda dapat membuat GUID menggunakan perintah PowerShell New-Guid. Anda juga dapat menggunakan situs web Pembuat GUID/UUID Online untuk membuat GUID unik.

    • enrollmentAccountName: Parameter ini adalah ID akun. Temukan ID akun untuk nama akun di portal Azure di halaman Cost Management + Billing.

      Untuk contoh ini, kami menggunakan Akun Uji GTM. ID adalah 196987.

      Cuplikan layar yang menunjukkan ID akun.

    • api-version: Gunakan versi 2019-10-01-preview. Gunakan sampel di Penetapan Peran Departemen Pendaftaran - Put - Contoh.

      Isi permintaan memiliki kode JSON dengan tiga parameter yang perlu Anda gunakan.

      Parameter Tempat menemukannya
      properties.principalId Ini adalah nilai Object ID. Lihat Menemukan ID perwakilan layanan dan penyewa Anda.
      properties.principalTenantId Lihat Menemukan ID perwakilan layanan dan penyewa Anda.
      properties.roleDefinitionId /providers/Microsoft.Billing/billingAccounts/{BillingAccountID}/enrollmentAccounts/{enrollmentAccountID}/billingRoleDefinitions/a0bcee42-bf30-4d1b-926a-48d21664ef71

      Nama akun penagihan adalah parameter yang sama dengan yang Anda gunakan dalam parameter API. Ini adalah ID pendaftaran yang Anda lihat di portal Azure.

      ID definisi peran penagihan a0bcee42-bf30-4d1b-926a-48d21664ef71 adalah untuk peran pembuat langganan.

  4. Pilih Jalankan untuk memulai perintah.

    Cuplikan layar memperlihatkan opsi Coba di artikel Penetapan Peran Akun Pendaftaran - Letakkan.

    200 OK Respons menunjukkan bahwa perwakilan layanan telah berhasil ditambahkan.

Sekarang Anda dapat menggunakan perwakilan layanan untuk mengakses API EA secara otomatis. Perwakilan layanan memiliki peran SubscriptionCreator.

Memverifikasi penetapan peran perwakilan layanan

Penetapan peran perwakilan layanan tidak terlihat di portal Azure. Anda dapat melihat penetapan peran akun pendaftaran, termasuk peran pembuat langganan, dengan API Penetapan Peran Penagihan - Daftar Menurut Akun Pendaftaran - REST API (Penagihan Azure). Gunakan API untuk memverifikasi bahwa penetapan peran berhasil.

Pecahkan masalah

Anda harus mengidentifikasi dan menggunakan ID objek aplikasi Enterprise tempat Anda memberikan peran EA. Jika Anda menggunakan ID Objek dari beberapa aplikasi lain, panggilan API akan gagal. Verifikasi bahwa Anda menggunakan ID objek aplikasi Enterprise yang benar.

Jika Anda menerima kesalahan berikut saat melakukan panggilan API, maka Anda mungkin salah menggunakan nilai ID objek perwakilan layanan yang terletak di Pendaftaran Aplikasi. Untuk mengatasi kesalahan ini, pastikan Anda menggunakan ID objek perwakilan layanan dari Aplikasi Perusahaan, bukan Pendaftaran Aplikasi.

The provided principal Tenant Id = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx and principal Object Id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx are not valid

Langkah berikutnya

Mulai menggunakan akun penagihan Perjanjian Enterprise Anda.