Machtigingen voor het weergeven en beheren van Azure-reserveringen

In dit artikel wordt uitgelegd hoe reserveringsmachtigingen werken en hoe gebruikers Azure-reserveringen kunnen bekijken en beheren in de Azure Portal en met Azure PowerShell.

Notitie

In dit artikel wordt de Azure Az PowerShell-module gebruikt. Dit is de aanbevolen PowerShell-module voor interactie met Azure. Raadpleeg Azure PowerShell installeren om aan de slag te gaan met de Az PowerShell-module. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

Wie kunnen standaard een reservering beheren?

De volgende gebruikers kunnen standaard reserveringen weergeven en beheren:

  • De persoon die een reservering koopt, en de accountbeheerder van het factureringsabonnement dat is gebruikt om de reservering te kopen, worden toegevoegd aan de reserveringsorder.
  • Factureringsbeheerders van een Enterprise Agreement en Microsoft-klantovereenkomst.
  • Gebruikers met verhoogde toegang voor het beheren van alle Azure-abonnementen en -beheergroepen
  • Een reserveringsbeheerder voor reserveringen in Azure Active Directory (Azure AD)-tenant (directory)
  • Een reserveringslezer heeft alleen-lezentoegang tot reserveringen in Azure Active Directory tenant (directory)

Momenteel zijn de rollen reserveringsbeheerder en reserveringslezer alleen beschikbaar om toe te wijzen met behulp van PowerShell. Ze kunnen niet worden bekeken of toegewezen in de Azure Portal. Zie Toegang verlenen met PowerShell voor meer informatie.

De levenscyclus van de reservering is onafhankelijk van een Azure-abonnement, dus de reservering is geen resource onder het Azure-abonnement. In plaats daarvan is het een resource op tenantniveau met een eigen Azure RBAC-machtiging, gescheiden van abonnementen. Reserveringen nemen na de aankoop geen machtigingen over van abonnementen.

Reserveringen weergeven en beheren

Als u een factureringsbeheerder bent, gebruikt u de volgende stappen om alle reserveringen en reserveringstransacties in de Azure Portal.

  1. Meld u aan bij Azure Portal en navigeer naar Cost Management + Billing.
    • Als u een EA-beheerder bent, selecteert u factureringsbereiken in het menu aan de linkerkant en selecteert u er vervolgens een in de lijst met factureringsbereiken.
    • Als u een eigenaar van Microsoft-klantovereenkomst factureringsprofiel bent, selecteert u factureringsprofielen in het menu aan de linkerkant. Selecteer een profiel in de lijst met factureringsprofielen.
  2. Selecteer producten en services Reserveringen in het menu aan de > linkerkant.
  3. De volledige lijst met reserveringen voor uw EA-inschrijving of factureringsprofiel wordt weergegeven.
  4. Factureringsbeheerders kunnen eigenaar worden van een reservering door een of meer reserveringen te selecteren, te klikken op Toegang verlenen en Toegang verlenen te selecteren in het venster dat wordt weergegeven.

Factureringsbeheerders toevoegen

Voeg een gebruiker als factureringsbeheerder toe aan een Enterprise Agreement of een Microsoft-klantovereenkomst in de Azure Portal.

  • Voor een Enterprise Agreement voegt u gebruikers toe met de rol Ondernemingsbeheerder om alle reserveringsorders weer te geven en te beheren die van toepassing zijn op de Enterprise Agreement. Ondernemingsbeheerders kunnen reserveringen weergeven en beheren in Cost Management + Billing.
    • Gebruikers met de rol Ondernemingsbeheerder (alleen-lezen) kunnen de reservering alleen bekijken vanuit Cost Management + Billing.
    • Afdelingsbeheerders en accounteigenaars kunnen reserveringen niet weergeven, tenzij ze expliciet worden toegevoegd met behulp van IAM (Toegangsbeheer). Zie Azure Enterprise-rollen beheren voor meer informatie.
  • Voor een Microsoft-klantovereenkomst kunnen gebruikers met de rol Eigenaar van factureringsprofiel of de rol Inzender van factureringsprofiel alle reserveringsaankopen beheren die zijn gedaan via het factureringsprofiel. Factureringsprofiellezers en factuurbeheerders kunnen alle reserveringen weergeven waarvoor is betaald met het factureringsprofiel. Ze kunnen echter geen wijzigingen aanbrengen in reserveringen. Zie Rollen en taken van een factureringsprofiel voor meer informatie.

Reserveringen weergeven met Azure RBAC-toegang

Als u de reservering hebt aangeschaft of als u aan een reservering bent toegevoegd, gebruikt u de volgende stappen om reserveringen in de Azure Portal.

  1. Meld u aan bij de Azure-portal.
  2. Selecteer Alle > servicesreserveringen om de reserveringen weer te geven waar u toegang toe hebt.

Abonnementen en beheergroepen met verhoogde toegang beheren

U kunt de toegang van een gebruiker verhogen om alle Azure-abonnementen en beheergroepen te beheren.

Nadat u verhoogde toegang hebt:

  1. Navigeer naar Alle > services-reservering om alle reserveringen te zien die zich in de tenant hebben.
  2. Als u wijzigingen wilt aanbrengen in de reservering, voegt u uzelf toe als eigenaar van de reserveringsorder met behulp van Toegangsbeheer (IAM).

Toegang verlenen tot afzonderlijke reserveringen

Gebruikers met eigenaarstoegang voor de reserveringen en factureringsbeheerders kunnen toegangsbeheer delegeren voor een afzonderlijke reserveringsorder in de Azure Portal.

U hebt twee opties om toe te staan dat andere personen reserveringen beheren:

  • Delegeer toegangsbeheer voor een afzonderlijke reserveringsorder door de rol Eigenaar toe te wijzen aan een gebruiker in het resourcebereik van de reserveringsorder. Als u beperkte toegang wilt verlenen, selecteert u een andere rol.
    Zie Azure-rollen toewijzen met behulp van de Azure Portal voor gedetailleerde Azure Portal.

  • Een gebruiker als factureringsbeheerder toevoegen aan een Enterprise Agreement of Microsoft-klantovereenkomst:

    • Voor een Enterprise Agreement voegt u gebruikers toe met de rol Ondernemingsbeheerder om alle reserveringsorders weer te geven en te beheren die van toepassing zijn op de Enterprise Agreement. Gebruikers met de rol Ondernemingsbeheerder (alleen lezen) kunnen de reservering alleen weergeven. Afdelingsbeheerders en accounteigenaars kunnen reserveringen niet weergeven, tenzij ze expliciet worden toegevoegd met behulp van IAM (Toegangsbeheer). Zie Azure Enterprise-rollen beheren voor meer informatie.

      Ondernemingsbeheerders kunnen eigendom van een reserveringsorder overnemen, en ze kunnen andere gebruikers toevoegen aan een reservering met behulp van IAM (Toegangsbeheer).

    • Voor een Microsoft-klantovereenkomst kunnen gebruikers met de rol Eigenaar van factureringsprofiel of de rol Inzender van factureringsprofiel alle reserveringsaankopen beheren die zijn gedaan via het factureringsprofiel. Factureringsprofiellezers en factuurbeheerders kunnen alle reserveringen weergeven waarvoor is betaald met het factureringsprofiel. Ze kunnen echter geen wijzigingen aanbrengen in reserveringen. Zie Rollen en taken van een factureringsprofiel voor meer informatie.

Toegang verlenen met PowerShell

Gebruikers met eigenaarstoegang voor reserveringsorders, gebruikers met verhoogde toegang en beheerders voor gebruikerstoegang kunnen toegangsbeheer delegeren voor alle reserveringsorders waar ze toegang tot hebben.

Toegang verleend met behulp van PowerShell wordt niet weergegeven in de Azure Portal. In plaats daarvan gebruikt u de get-AzRoleAssignment opdracht in de volgende sectie om toegewezen rollen weer te geven.

De rol van eigenaar toewijzen voor alle reserveringen

Gebruik het volgende Azure PowerShell om een gebruiker azure RBAC toegang te geven tot alle reserveringsorders in hun Azure AD-tenant (directory).


Import-Module Az.Accounts
Import-Module Az.Resources
 
Connect-AzAccount -Tenant <TenantId>
 
$response = Invoke-AzRestMethod -Path /providers/Microsoft.Capacity/reservations?api-version=2020-06-01 -Method GET
 
$responseJSON = $response.Content | ConvertFrom-JSON
 
$reservationObjects = $responseJSON.value
 
foreach ($reservation in $reservationObjects)
{
  $reservationOrderId = $reservation.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$reservationOrderId
  New-AzRoleAssignment -Scope $reservationOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

Wanneer u het PowerShell-script gebruikt om de eigendomsrol toe te wijzen en deze wordt uitgevoerd, wordt er geen succesbericht geretourneerd.

Parameters

-ObjectId Azure AD ObjectId van de gebruiker, groep of service-principal.

  • Type: String
  • Aliassen: Id, PrincipalId
  • Positie: benoemd
  • Standaardwaarde: Geen
  • Pijplijninvoer accepteren: Waar
  • Jokertekens accepteren: Onwaar

-TenantId Unieke tenant-id.

  • Type: String
  • Positie: 5
  • Standaardwaarde: Geen
  • Pijplijninvoer accepteren: Onwaar
  • Jokertekens accepteren: Onwaar

Beheerders van gebruikerstoegang kunnen de gebruikers toevoegen aan de rollen Reserveringsbeheerder en Reserveringslezer.

De rol Reserveringsbeheerder toevoegen op tenantniveau

Gebruik het volgende Azure PowerShell om een rol reserveringsbeheerder toe te voegen op tenantniveau met PowerShell.

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Administrator"

Parameters

-ObjectId Azure AD ObjectId van de gebruiker, groep of service-principal.

  • Type: String
  • Aliassen: Id, PrincipalId
  • Positie: benoemd
  • Standaardwaarde: Geen
  • Pijplijninvoer accepteren: Waar
  • Jokertekens accepteren: Onwaar

-TenantId Unieke tenant-id.

  • Type: String
  • Positie: 5
  • Standaardwaarde: Geen
  • Pijplijninvoer accepteren: Onwaar
  • Jokertekens accepteren: Onwaar

De rol Reserveringslezer toewijzen op tenantniveau

Gebruik het volgende Azure PowerShell om de rol Reserveringslezer toe te wijzen op tenantniveau met PowerShell.


Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>

New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Reader"

Parameters

-ObjectId Azure AD ObjectId van de gebruiker, groep of service-principal.

  • Type: String
  • Aliassen: Id, PrincipalId
  • Positie: benoemd
  • Standaardwaarde: Geen
  • Pijplijninvoer accepteren: Waar
  • Jokertekens accepteren: Onwaar

-TenantId Unieke tenant-id.

  • Type: String
  • Positie: 5
  • Standaardwaarde: Geen
  • Pijplijninvoer accepteren: Onwaar
  • Jokertekens accepteren: Onwaar

Volgende stappen