Concedere l'accesso per creare sottoscrizioni di Azure Enterprise (legacy)
I clienti di Azure con un Contratto Enterprise (EA) possono concedere a un altro utente o a un'entità servizio l'autorizzazione per creare sottoscrizioni fatturate all'account. Questo articolo descrive come usare il controllo degli accessi in base al ruolo di Azure per condividere la capacità di creare sottoscrizioni e come controllare le creazioni di sottoscrizioni. È necessario disporre di un ruolo Proprietario per l'account da condividere.
Nota
- Questa API funziona solo con le API legacy per la creazione di sottoscrizioni.
- A meno che non sia necessario usare le API legacy, è consigliabile usare le informazioni per la versione disponibile a livello generale più recente sulla versione più recente dell'API. Vedere Assegnazioni di ruolo dell'account di registrazione - Put per concedere l'autorizzazione per creare sottoscrizioni EA con l'API più recente.
- Se si esegue la migrazione per usare le API più recenti, è necessario concedere nuovamente le autorizzazioni di proprietario usando 2019-10-01-preview. La configurazione precedente eseguita con le API seguenti non viene convertita automaticamente per l'uso con le API più recenti.
Nota
È consigliabile usare il modulo Azure Az PowerShell per interagire con Azure. Per iniziare, vedere Installare Azure PowerShell. Per informazioni su come eseguire la migrazione al modulo AZ PowerShell, vedere Eseguire la migrazione di Azure PowerShell da AzureRM ad Az.
Concedi accesso
Per creare sottoscrizioni in un account di registrazione, gli utenti devono avere il ruolo Proprietario di Controllo degli accessi in base al ruolo di Azure in tale account. È possibile concedere a un utente o a un gruppo di utenti il ruolo Proprietario di Controllo degli accessi in base al ruolo di Azure in un account di registrazione seguendo questa procedura:
Ottenere l'ID oggetto dell'account di registrazione a cui si vuole concedere l'accesso
Per concedere ad altri utenti il ruolo Proprietario di Controllo degli accessi in base al ruolo di Azure in un account di registrazione, è necessario essere il Proprietario dell'account o un Proprietario di Controllo degli accessi in base al ruolo di Azure dell'account.
Richiesta per ottenere l'elenco di tutti gli account di registrazione a cui si può accedere:
GET https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts?api-version=2018-03-01-preview
Azure risponde con un elenco di tutti gli account di registrazione a cui si ha accesso:
{ "value": [ { "id": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "name": "747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "type": "Microsoft.Billing/enrollmentAccounts", "properties": { "principalName": "SignUpEngineering@contoso.com" } }, { "id": "/providers/Microsoft.Billing/enrollmentAccounts/4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "name": "4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "type": "Microsoft.Billing/enrollmentAccounts", "properties": { "principalName": "BillingPlatformTeam@contoso.com" } } ] }
Usare la proprietà
principalName
per identificare l'account per cui si vuole concedere al Proprietario di Controllo degli accessi in base al ruolo di Azure. Copiare il valorename
di tale account. Se, ad esempio, si vuole concedere al Proprietario di Controllo degli accessi in base al ruolo di Azure l'accesso all'account di registrazione SignUpEngineering@contoso.com, copiare747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx
. È l'ID oggetto dell'account di registrazione. Incollare questo valore da qualche parte per poterlo usare nel passaggio successivo comeenrollmentAccountObjectId
.Usare la proprietà
principalName
per identificare l'account per cui si vuole concedere al Proprietario di Controllo degli accessi in base al ruolo di Azure. Copiare il valorename
di tale account. Se, ad esempio, si vuole concedere al Proprietario di Controllo degli accessi in base al ruolo di Azure l'accesso all'account di registrazione SignUpEngineering@contoso.com, copiare747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx
. È l'ID oggetto dell'account di registrazione. Incollare questo valore da qualche parte per poterlo usare nel passaggio successivo comeenrollmentAccountObjectId
.Ottenere l'ID oggetto dell'utente o gruppo a cui si vuole assegnare il ruolo Proprietario di Controllo degli accessi in base al ruolo di Azure
- Nella portale di Azure cercare Microsoft Entra ID.
- Se si vuole concedere l'accesso a un utente, scegliere Utenti dal menu a sinistra. Per concedere l'accesso a un gruppo, selezionare Gruppi.
- Selezionare l'utente o il gruppo a cui si vuole assegnare il ruolo Proprietario di Controllo degli accessi in base al ruolo di Azure.
- Se è stato selezionato un utente, l'ID oggetto sarà disponibile nella pagina Profilo. Se è stato selezionato un gruppo, l'ID oggetto sarà disponibile nella pagina Panoramica. Copiare il valore ObjectID selezionando l'icona alla destra della casella di testo. Incollare questo valore da qualche parte per poterlo usare nel passaggio successivo come
userObjectId
.
Concedere all'utente o al gruppo il ruolo Proprietario di Controllo degli accessi in base al ruolo di Azure nell'account di registrazione
Usando i valori raccolti nei primi due passaggi, concedere all'utente o al gruppo il ruolo Proprietario di Controllo degli accessi in base al ruolo di Azure nell'account di registrazione.
Eseguire questo comando, sostituendo
<enrollmentAccountObjectId>
con il valorename
copiato nel primo passaggio (747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx
). Sostituire<userObjectId>
con l'ID oggetto copiato dal secondo passaggio.PUT https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleAssignments/<roleAssignmentGuid>?api-version=2015-07-01 { "properties": { "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>", "principalId": "<userObjectId>" } }
Quando il ruolo di proprietario viene assegnato correttamente nell'ambito dell'account di registrazione, Azure risponde con le informazioni dell'assegnazione del ruolo:
{ "properties": { "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>", "principalId": "<userObjectId>", "scope": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "createdOn": "2018-03-05T08:36:26.4014813Z", "updatedOn": "2018-03-05T08:36:26.4014813Z", "createdBy": "<assignerObjectId>", "updatedBy": "<assignerObjectId>" }, "id": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>", "type": "Microsoft.Authorization/roleAssignments", "name": "<roleAssignmentGuid>" }
Controllo dei creatori delle sottoscrizioni mediante i log attività
Per monitorare le sottoscrizioni create tramite questa API, usare l'API del log attività del tenant. Attualmente non è possibile usare PowerShell, l'interfaccia della riga di comando o il portale di Azure per monitorare la creazione delle sottoscrizioni.
In qualità di amministratore tenant del tenant di Microsoft Entra, elevare l'accesso e quindi assegnare un ruolo lettore all'utente di controllo nell'ambito
/providers/microsoft.insights/eventtypes/management
. Questo accesso è disponibile nel Ruolo con autorizzazioni di lettura, nel ruolo Collaboratore per il monitoraggio o in un ruolo personalizzato.Come utente di controllo, chiamare l'API del log attività del tenant per visualizzare le attività di creazione della sottoscrizione. Esempio:
GET "/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '{greaterThanTimeStamp}' and eventTimestamp le '{lessThanTimestamp}' and eventChannels eq 'Operation' and resourceProvider eq 'Microsoft.Subscription'"
Per chiamare correttamente questa API dalla riga di comando, provare ARMClient.
Passaggi successivi
- Ora che l'utente o l'entità servizio dispone delle autorizzazioni necessarie per creare una sottoscrizione, è possibile usare tale identità per creare sottoscrizioni di Azure Enterprise a livello di codice.
- Per un esempio su come creare le sottoscrizioni che usano .NET, vedere l'esempio di codice su GitHub.
- Per altre informazioni su Azure Resource Manager e le relative API, vedere Panoramica di Azure Resource Manager.
- Per altre informazioni come gestire un numero elevato di sottoscrizioni usando i gruppi di gestione, vedere Organizzare le risorse con i gruppi di gestione di Azure
- Per una guida completa alle procedure consigliate per organizzazioni di grandi dimensioni sulla governance delle sottoscrizioni, vedere Scaffold Azure enterprise: governance prescrittiva per le sottoscrizioni