Menetapkan peran Perjanjian Enterprise ke perwakilan layanan
Anda dapat mengelola pendaftaran Perjanjian Enterprise (EA) di portal Azure. Anda dapat membuat berbagai peran untuk mengelola organisasi Anda, menampilkan biaya, dan membuat langganan. Artikel ini membantu Anda mengotomatiskan beberapa tugas tersebut dengan menggunakan Azure PowerShell dan REST API dengan perwakilan layanan ID Microsoft Entra.
Catatan
Jika Anda memiliki beberapa akun penagihan EA di organisasi, Anda harus memberikan peran EA kepada perwakilan layanan ID Microsoft Entra satu per satu di setiap akun penagihan EA.
Sebelum memulai, pastikan Anda sudah terbiasa dengan artikel berikut:
Membuat dan mengautentikasi perwakilan layanan Anda
Untuk mengotomatiskan tindakan EA dengan menggunakan perwakilan layanan, Anda perlu membuat identitas aplikasi Microsoft Entra, yang kemudian dapat mengautentikasi secara otomatis.
Ikuti langkah-langkah dalam artikel ini untuk membuat dan mengautentikasi menggunakan perwakilan layanan Anda.
Berikut adalah contoh halaman pendaftaran aplikasi.
Temukan ID perwakilan layanan dan penyewa Anda
Anda memerlukan ID objek perwakilan layanan dan ID penyewa. Anda memerlukan informasi ini untuk operasi penetapan izin nanti di artikel ini. Semua aplikasi terdaftar di ID Microsoft Entra di penyewa. Dua jenis objek dibuat saat pendaftaran aplikasi selesai:
- Objek aplikasi - ID aplikasi adalah apa yang Anda lihat di bawah Aplikasi Perusahaan. ID tidak boleh digunakan untuk memberikan peran EA apa pun.
- Objek Perwakilan Layanan - Objek Perwakilan Layanan adalah apa yang Anda lihat di jendela Pendaftaran Perusahaan di ID Microsoft Entra. ID objek digunakan untuk memberikan peran EA kepada perwakilan layanan.
Buka ID Microsoft Entra, lalu pilih Aplikasi perusahaan.
Temukan aplikasi Anda dalam daftar.
Pilih aplikasi untuk menemukan ID aplikasi dan ID objek:
Buka halaman Gambaran Umum ID Microsoft Entra untuk menemukan ID penyewa.
Catatan
Nilai ID penyewa Microsoft Entra Anda terlihat seperti GUID dengan format berikut: 11111111-1111-1111-1111-111111111111
.
Izin yang dapat ditetapkan ke perwakilan layanan
Nantinya dalam artikel ini, Anda akan memberikan izin kepada aplikasi Microsoft Entra untuk bertindak dengan menggunakan peran EA. Anda hanya dapat menetapkan peran berikut ke perwakilan layanan, dan Anda memerlukan ID definisi peran, persis seperti yang ditunjukkan.
Peran | Tindakan yang diizinkan | ID definisi peran |
---|---|---|
EnrollmentReader | Pembaca pendaftaran dapat melihat data di cakupan pendaftaran, departemen, dan akun. Data berisi biaya untuk semua langganan di bawah cakupan, termasuk di seluruh penyewa. Dapat melihat saldo Azure Prepayment (sebelumnya disebut komitmen moneter) yang terkait dengan pendaftaran. | 24f8edb6-1668-4659-b5e2-40bb5f3a7d7e |
Pembeli EA | Beli pesanan reservasi dan lihat transaksi reservasi. Peran ini memiliki semua izin EnrollmentReader, yang nantinya akan memiliki semua izin DepartmentReader. Peran ini dapat melihat penggunaan dan biaya di semua akun dan langganan. Dapat melihat saldo Azure Prepayment (sebelumnya disebut komitmen moneter) yang terkait dengan pendaftaran. | da6647fb-7651-49ee-be91-c43c4877f0c4 |
DepartmentReader | Unduh detail penggunaan untuk departemen yang mereka kelola. Dapat melihat penggunaan dan biaya yang terkait dengan departemen mereka. | db609904-a47f-4794-9be8-9bd86fbffd8a |
SubscriptionCreator | Buat langganan baru dalam cakupan Akun tertentu. | a0bcee42-bf30-4d1b-926a-48d21664ef71 |
- Peran EnrollmentReader hanya dapat ditetapkan ke perwakilan layanan oleh pengguna yang memiliki peran penulis pendaftaran. Peran EnrollmentReader yang ditetapkan ke perwakilan layanan tidak ditampilkan di portal Azure. Ini dibuat dengan cara terprogram dan hanya untuk penggunaan terprogram.
- Peran DepartmentReader dapat ditetapkan ke perwakilan layanan hanya oleh pengguna yang memiliki peran penulis pendaftaran atau penulis departemen.
- Peran SubscriptionCreator dapat ditetapkan ke perwakilan layanan hanya oleh pengguna yang merupakan pemilik akun pendaftaran (administrator EA). Peran tidak ditampilkan dalam portal Azure. Ini dibuat dengan cara terprogram dan hanya untuk penggunaan terprogram.
- Peran pembeli EA tidak ditampilkan dalam portal Azure. Ini dibuat dengan cara terprogram dan hanya untuk penggunaan terprogram.
Saat Anda memberikan peran EA kepada perwakilan layanan, Anda harus menggunakan properti yang billingRoleAssignmentName
diperlukan. Parameter adalah GUID unik yang harus Anda sediakan. Anda dapat membuat GUID menggunakan perintah PowerShell New-Guid. Anda juga dapat menggunakan situs web Pembuat GUID/UUID Online untuk membuat GUID unik.
Perwakilan layanan hanya dapat memiliki satu peran.
Menetapkan izin peran akun pendaftaran ke perwakilan layanan
Baca artikel REST API Penetapan Peran - Put. Saat Anda membaca artikel, pilih Coba untuk memulai dengan menggunakan perwakilan layanan.
Gunakan info masuk akun Anda untuk masuk ke penyewa dengan akses pendaftaran yang ingin Anda tetapkan.
Berikan parameter berikut sebagai bagian dari permintaan API.
billingAccountName
: Parameter ini adalah ID akun Penagihan. Anda dapat menemukannya di portal Azure di halaman gambaran umum Cost Management + Billing.billingRoleAssignmentName
: Parameter ini adalah GUID unik yang perlu Anda sediakan. Anda dapat membuat GUID menggunakan perintah PowerShell New-Guid. Anda juga dapat menggunakan situs web Pembuat GUID/UUID Online untuk membuat GUID unik.api-version
: Gunakan versi 2019-10-01-preview. Gunakan isi permintaan sampel di Penetapan Peran - Put - Contoh.Isi permintaan memiliki kode JSON dengan tiga parameter yang perlu Anda gunakan.
Parameter Tempat menemukannya properties.principalId
Ini adalah nilai Object ID. Lihat Menemukan ID perwakilan layanan dan penyewa Anda. properties.principalTenantId
Lihat Menemukan ID perwakilan layanan dan penyewa Anda. properties.roleDefinitionId
/providers/Microsoft.Billing/billingAccounts/{BillingAccountName}/billingRoleDefinitions/24f8edb6-1668-4659-b5e2-40bb5f3a7d7e
Nama akun penagihan adalah parameter yang sama dengan yang Anda gunakan dalam parameter API. Ini adalah ID pendaftaran yang Anda lihat di portal Azure.
Perhatikan bahwa
24f8edb6-1668-4659-b5e2-40bb5f3a7d7e
adalah ID definisi peran penagihan untuk EnrollmentReader.
Pilih Jalankan untuk memulai perintah.
200 OK
Respons menunjukkan bahwa perwakilan layanan berhasil ditambahkan.
Sekarang Anda dapat menggunakan perwakilan layanan untuk mengakses API EA secara otomatis. Perwakilan layanan memiliki peran EnrollmentReader.
Menetapkan izin peran Pembeli EA ke perwakilan layanan
Untuk peran pembeli EA, gunakan langkah yang sama untuk pembaca pendaftaran. Tentukan roleDefinitionId
, menggunakan contoh berikut:
"/providers/Microsoft.Billing/billingAccounts/1111111/billingRoleDefinitions/ da6647fb-7651-49ee-be91-c43c4877f0c4"
Menetapkan peran pembaca departemen ke perwakilan layanan
Baca artikel REST API Penetapan Peran Departemen Pendaftaran - Put. Saat Anda membaca artikel, pilih Coba.
Gunakan info masuk akun Anda untuk masuk ke penyewa dengan akses pendaftaran yang ingin Anda tetapkan.
Berikan parameter berikut sebagai bagian dari permintaan API.
billingAccountName
: Parameter ini adalah ID akun Penagihan. Anda dapat menemukannya di portal Azure di halaman gambaran umum Cost Management + Billing.billingRoleAssignmentName
: Parameter ini adalah GUID unik yang perlu Anda sediakan. Anda dapat membuat GUID menggunakan perintah PowerShell New-Guid. Anda juga dapat menggunakan situs web Pembuat GUID/UUID Online untuk membuat GUID unik.departmentName
: Parameter ini adalah ID departemen. Anda dapat melihat ID departemen di portal Azure di halaman Cost Management + Billing>Departemen.Untuk contoh ini, kami menggunakan departemen ACE. ID untuk contohnya adalah
84819
.api-version
: Gunakan versi 2019-10-01-preview. Gunakan sampel di Tugas Penetapan Peran Departemen Pendaftaran - Put.Isi permintaan memiliki kode JSON dengan tiga parameter yang perlu Anda gunakan.
Parameter Tempat menemukannya properties.principalId
Ini adalah nilai Object ID. Lihat Menemukan ID perwakilan layanan dan penyewa Anda. properties.principalTenantId
Lihat Menemukan ID perwakilan layanan dan penyewa Anda. properties.roleDefinitionId
/providers/Microsoft.Billing/billingAccounts/{BillingAccountName}/billingRoleDefinitions/db609904-a47f-4794-9be8-9bd86fbffd8a
Nama akun penagihan adalah parameter yang sama dengan yang Anda gunakan dalam parameter API. Ini adalah ID pendaftaran yang Anda lihat di portal Azure.
ID definisi peran penagihan
db609904-a47f-4794-9be8-9bd86fbffd8a
adalah untuk pembaca departemen.
Pilih Jalankan untuk memulai perintah.
200 OK
Respons menunjukkan bahwa perwakilan layanan berhasil ditambahkan.
Sekarang Anda dapat menggunakan perwakilan layanan untuk mengakses API EA secara otomatis. Perwakilan layanan memiliki peran DepartmentReader.
Menetapkan peran pembuat langganan ke perwakilan layanan
Baca artikel Penetapan Peran Akun Pendaftaran - Put. Saat Anda membacanya, pilih Coba untuk menetapkan peran pembuat langganan ke perwakilan layanan.
Gunakan info masuk akun Anda untuk masuk ke penyewa dengan akses pendaftaran yang ingin Anda tetapkan.
Berikan parameter berikut sebagai bagian dari permintaan API. Baca artikel di Penetapan Peran Akun Pendaftaran - Put - Parameter URI.
billingAccountName
: Parameter ini adalah ID akun Penagihan. Anda dapat menemukannya di portal Azure di halaman gambaran umum Cost Management + Billing.billingRoleAssignmentName
: Parameter ini adalah GUID unik yang perlu Anda sediakan. Anda dapat membuat GUID menggunakan perintah PowerShell New-Guid. Anda juga dapat menggunakan situs web Pembuat GUID/UUID Online untuk membuat GUID unik.enrollmentAccountName
: Parameter ini adalah ID akun. Temukan ID akun untuk nama akun di portal Azure di halaman Cost Management + Billing.Untuk contoh ini, kami menggunakan Akun Uji GTM. ID adalah
196987
.api-version
: Gunakan versi 2019-10-01-preview. Gunakan sampel di Penetapan Peran Departemen Pendaftaran - Put - Contoh.Isi permintaan memiliki kode JSON dengan tiga parameter yang perlu Anda gunakan.
Parameter Tempat menemukannya properties.principalId
Ini adalah nilai Object ID. Lihat Menemukan ID perwakilan layanan dan penyewa Anda. properties.principalTenantId
Lihat Menemukan ID perwakilan layanan dan penyewa Anda. properties.roleDefinitionId
/providers/Microsoft.Billing/billingAccounts/{BillingAccountID}/enrollmentAccounts/{enrollmentAccountID}/billingRoleDefinitions/a0bcee42-bf30-4d1b-926a-48d21664ef71
Nama akun penagihan adalah parameter yang sama dengan yang Anda gunakan dalam parameter API. Ini adalah ID pendaftaran yang Anda lihat di portal Azure.
ID definisi peran penagihan
a0bcee42-bf30-4d1b-926a-48d21664ef71
adalah untuk peran pembuat langganan.
Pilih Jalankan untuk memulai perintah.
200 OK
Respons menunjukkan bahwa perwakilan layanan telah berhasil ditambahkan.
Sekarang Anda dapat menggunakan perwakilan layanan untuk mengakses API EA secara otomatis. Perwakilan layanan memiliki peran SubscriptionCreator.
Memverifikasi penetapan peran perwakilan layanan
Penetapan peran perwakilan layanan tidak terlihat di portal Azure. Anda dapat melihat penetapan peran akun pendaftaran, termasuk peran pembuat langganan, dengan API Penetapan Peran Penagihan - Daftar Menurut Akun Pendaftaran - REST API (Penagihan Azure). Gunakan API untuk memverifikasi bahwa penetapan peran berhasil.
Pecahkan masalah
Anda harus mengidentifikasi dan menggunakan ID objek aplikasi Enterprise tempat Anda memberikan peran EA. Jika Anda menggunakan ID Objek dari beberapa aplikasi lain, panggilan API akan gagal. Verifikasi bahwa Anda menggunakan ID objek aplikasi Enterprise yang benar.
Jika Anda menerima kesalahan berikut saat melakukan panggilan API, maka Anda mungkin salah menggunakan nilai ID objek perwakilan layanan yang terletak di Pendaftaran Aplikasi. Untuk mengatasi kesalahan ini, pastikan Anda menggunakan ID objek perwakilan layanan dari Aplikasi Perusahaan, bukan Pendaftaran Aplikasi.
The provided principal Tenant Id = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx and principal Object Id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx are not valid
Langkah berikutnya
Mulai menggunakan akun penagihan Perjanjian Enterprise Anda.