Concedere l'accesso per creare sottoscrizioni di Azure Enterprise (legacy)

I clienti di Azure con un Contratto Enterprise (EA) possono concedere a un altro utente o a un'entità servizio l'autorizzazione per creare sottoscrizioni fatturate all'account. Questo articolo descrive come usare il controllo degli accessi in base al ruolo di Azure per condividere la capacità di creare sottoscrizioni e come controllare le creazioni di sottoscrizioni. È necessario disporre di un ruolo Proprietario per l'account da condividere.

Nota

  • Questa API funziona solo con le API legacy per la creazione di sottoscrizioni.
  • A meno che non sia necessario usare le API legacy, è consigliabile usare le informazioni per la versione disponibile a livello generale più recente sulla versione più recente dell'API. Vedere Assegnazioni di ruolo dell'account di registrazione - Put per concedere l'autorizzazione per creare sottoscrizioni EA con l'API più recente.
  • Se si esegue la migrazione per usare le API più recenti, è necessario concedere nuovamente le autorizzazioni di proprietario usando 2019-10-01-preview. La configurazione precedente eseguita con le API seguenti non viene convertita automaticamente per l'uso con le API più recenti.

Nota

È consigliabile usare il modulo Azure Az PowerShell per interagire con Azure. Per iniziare, vedere Installare Azure PowerShell. Per informazioni su come eseguire la migrazione al modulo AZ PowerShell, vedere Eseguire la migrazione di Azure PowerShell da AzureRM ad Az.

Concedi accesso

Per creare sottoscrizioni in un account di registrazione, gli utenti devono avere il ruolo Proprietario di Controllo degli accessi in base al ruolo di Azure in tale account. È possibile concedere a un utente o a un gruppo di utenti il ruolo Proprietario di Controllo degli accessi in base al ruolo di Azure in un account di registrazione seguendo questa procedura:

  1. Ottenere l'ID oggetto dell'account di registrazione a cui si vuole concedere l'accesso

    Per concedere ad altri utenti il ruolo Proprietario di Controllo degli accessi in base al ruolo di Azure in un account di registrazione, è necessario essere il Proprietario dell'account o un Proprietario di Controllo degli accessi in base al ruolo di Azure dell'account.

    Richiesta per ottenere l'elenco di tutti gli account di registrazione a cui si può accedere:

    GET https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts?api-version=2018-03-01-preview
    

    Azure risponde con un elenco di tutti gli account di registrazione a cui si ha accesso:

    {
      "value": [
        {
          "id": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
          "name": "747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
          "type": "Microsoft.Billing/enrollmentAccounts",
          "properties": {
            "principalName": "SignUpEngineering@contoso.com"
          }
        },
        {
          "id": "/providers/Microsoft.Billing/enrollmentAccounts/4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
          "name": "4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
          "type": "Microsoft.Billing/enrollmentAccounts",
          "properties": {
            "principalName": "BillingPlatformTeam@contoso.com"
          }
        }
      ]
    }
    

    Usare la proprietà principalName per identificare l'account per cui si vuole concedere al Proprietario di Controllo degli accessi in base al ruolo di Azure. Copiare il valore name di tale account. Se, ad esempio, si vuole concedere al Proprietario di Controllo degli accessi in base al ruolo di Azure l'accesso all'account di registrazione SignUpEngineering@contoso.com, copiare 747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx. È l'ID oggetto dell'account di registrazione. Incollare questo valore da qualche parte per poterlo usare nel passaggio successivo come enrollmentAccountObjectId.

    Usare la proprietà principalName per identificare l'account per cui si vuole concedere al Proprietario di Controllo degli accessi in base al ruolo di Azure. Copiare il valore name di tale account. Se, ad esempio, si vuole concedere al Proprietario di Controllo degli accessi in base al ruolo di Azure l'accesso all'account di registrazione SignUpEngineering@contoso.com, copiare 747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx. È l'ID oggetto dell'account di registrazione. Incollare questo valore da qualche parte per poterlo usare nel passaggio successivo come enrollmentAccountObjectId.

  2. Ottenere l'ID oggetto dell'utente o gruppo a cui si vuole assegnare il ruolo Proprietario di Controllo degli accessi in base al ruolo di Azure

    1. Nella portale di Azure cercare Microsoft Entra ID.
    2. Se si vuole concedere l'accesso a un utente, scegliere Utenti dal menu a sinistra. Per concedere l'accesso a un gruppo, selezionare Gruppi.
    3. Selezionare l'utente o il gruppo a cui si vuole assegnare il ruolo Proprietario di Controllo degli accessi in base al ruolo di Azure.
    4. Se è stato selezionato un utente, l'ID oggetto sarà disponibile nella pagina Profilo. Se è stato selezionato un gruppo, l'ID oggetto sarà disponibile nella pagina Panoramica. Copiare il valore ObjectID selezionando l'icona alla destra della casella di testo. Incollare questo valore da qualche parte per poterlo usare nel passaggio successivo come userObjectId.
  3. Concedere all'utente o al gruppo il ruolo Proprietario di Controllo degli accessi in base al ruolo di Azure nell'account di registrazione

    Usando i valori raccolti nei primi due passaggi, concedere all'utente o al gruppo il ruolo Proprietario di Controllo degli accessi in base al ruolo di Azure nell'account di registrazione.

    Eseguire questo comando, sostituendo <enrollmentAccountObjectId> con il valore name copiato nel primo passaggio (747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx). Sostituire <userObjectId> con l'ID oggetto copiato dal secondo passaggio.

    PUT  https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleAssignments/<roleAssignmentGuid>?api-version=2015-07-01
    
    {
      "properties": {
        "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
        "principalId": "<userObjectId>"
      }
    }
    

    Quando il ruolo di proprietario viene assegnato correttamente nell'ambito dell'account di registrazione, Azure risponde con le informazioni dell'assegnazione del ruolo:

    {
      "properties": {
        "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
        "principalId": "<userObjectId>",
        "scope": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
        "createdOn": "2018-03-05T08:36:26.4014813Z",
        "updatedOn": "2018-03-05T08:36:26.4014813Z",
        "createdBy": "<assignerObjectId>",
        "updatedBy": "<assignerObjectId>"
      },
      "id": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
      "type": "Microsoft.Authorization/roleAssignments",
      "name": "<roleAssignmentGuid>"
    }
    

Controllo dei creatori delle sottoscrizioni mediante i log attività

Per monitorare le sottoscrizioni create tramite questa API, usare l'API del log attività del tenant. Attualmente non è possibile usare PowerShell, l'interfaccia della riga di comando o il portale di Azure per monitorare la creazione delle sottoscrizioni.

  1. In qualità di amministratore tenant del tenant di Microsoft Entra, elevare l'accesso e quindi assegnare un ruolo lettore all'utente di controllo nell'ambito /providers/microsoft.insights/eventtypes/management. Questo accesso è disponibile nel Ruolo con autorizzazioni di lettura, nel ruolo Collaboratore per il monitoraggio o in un ruolo personalizzato.

  2. Come utente di controllo, chiamare l'API del log attività del tenant per visualizzare le attività di creazione della sottoscrizione. Esempio:

    GET "/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '{greaterThanTimeStamp}' and eventTimestamp le '{lessThanTimestamp}' and eventChannels eq 'Operation' and resourceProvider eq 'Microsoft.Subscription'"
    

Per chiamare correttamente questa API dalla riga di comando, provare ARMClient.

Passaggi successivi