Uprawnienia do wyświetlania rezerwacji platformy Azure i zarządzania nimi

W tym artykule wyjaśniono, jak działają uprawnienia do rezerwacji oraz jak użytkownicy mogą wyświetlać rezerwacje platformy Azure i zarządzać nimi w Azure Portal oraz przy użyciu Azure PowerShell.

Uwaga

W tym artykule użyto modułu Azure Az programu PowerShell, który jest zalecanym modułem programu PowerShell do interakcji z platformą Azure. Aby rozpocząć pracę z modułem Azure PowerShell, zobacz Instalowanie programu Azure PowerShell. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

Kto może domyślnie zarządzać rezerwacją

Domyślnie rezerwacje mogą wyświetlać i zarządzać nimi następujący użytkownicy:

  • Do zamówienia rezerwacji jest dodawana osoba, która kupuje rezerwację, i administrator konta subskrypcji rozliczeniowej używanej do zakupu rezerwacji.
  • Administratorzy rozliczeń w umowie Enterprise Agreement i umowie klienta firmy Microsoft.
  • Użytkownicy z podwyższonym poziomem dostępu do zarządzania wszystkimi subskrypcjami platformy Azure i grupami zarządzania
  • Administrator rezerwacji dla rezerwacji w dzierżawie usługi Azure Active Directory (Azure AD) (katalog)
  • Czytelnik rezerwacji ma dostęp tylko do odczytu do rezerwacji w dzierżawie usługi Azure Active Directory (katalogu)

Cykl życia rezerwacji jest niezależny od subskrypcji platformy Azure, więc rezerwacja nie jest zasobem w ramach subskrypcji platformy Azure. Zamiast tego jest to zasób na poziomie dzierżawy z własnym uprawnieniem RBAC platformy Azure niezależnie od subskrypcji. Rezerwacje nie dziedziczą uprawnień z subskrypcji po zakupie.

Wyświetlanie rezerwacji i zarządzanie nimi

Jeśli jesteś administratorem rozliczeń, wykonaj następujące kroki, aby wyświetlić wszystkie rezerwacje i transakcje rezerwacji oraz zarządzać nimi w Azure Portal.

  1. Zaloguj się do witryny Azure Portal i przejdź do strony Zarządzanie kosztami i rozliczenia.
    • Jeśli jesteś administratorem umowy EA, w menu po lewej stronie wybierz pozycję Zakresy rozliczeniowe , a następnie na liście zakresów rozliczeniowych wybierz jeden.
    • Jeśli jesteś właścicielem profilu rozliczeniowego Umowa z Klientem Microsoft, w menu po lewej stronie wybierz pozycję Profile rozliczeniowe. Na liście profilów rozliczeniowych wybierz jeden z nich.
  2. W menu po lewej stronie wybierz pozycję Produkty i usługi>Rezerwacje.
  3. Zostanie wyświetlona pełna lista rezerwacji dla rejestracji umowy EA lub profilu rozliczeniowego.
  4. Administratorzy rozliczeń mogą przejąć własność rezerwacji, wybierając jedną lub wiele rezerwacji, wybierając pozycję Udziel dostępu i wybierając pozycję Udziel dostępu w wyświetlonym oknie.

Dodawanie administratorów rozliczeń

Dodaj użytkownika jako administratora rozliczeń do Enterprise Agreement lub Umowa z Klientem Microsoft w Azure Portal.

  • W przypadku umowy Enterprise Agreement dodaj użytkowników z rolą Administrator przedsiębiorstwa, aby wyświetlać wszystkie zamówienia rezerwacji dotyczące umowy Enterprise Agreement i zarządzać nimi. Administratorzy przedsiębiorstwa mogą wyświetlać rezerwacje i zarządzać nimi w usłudze Cost Management + Billing.
    • Użytkownicy z rolą Administrator przedsiębiorstwa (tylko do odczytu) mogą wyświetlać rezerwację tylko w obszarze Zarządzanie kosztami i rozliczenia.
    • Administratorzy działu i właściciele kont nie mogą wyświetlać rezerwacji, o ile nie zostali do nich jawnie dodani przy użyciu funkcji kontroli dostępu (IAM). Aby uzyskać więcej informacji, zobacz Zarządzanie rolami w usłudze Azure Enterprise.
  • W przypadku umowy klienta firmy Microsoft użytkownicy z rolą właściciela profilu rozliczeniowego lub współautora profilu rozliczeniowego mogą zarządzać wszystkimi zakupami rezerwacji dokonanymi przy użyciu profilu rozliczeniowego. Czytelnicy profilów rozliczeniowych i menedżerowie faktur mogą wyświetlać wszystkie rezerwacje opłacane za pomocą profilu rozliczeniowego. Jednak nie mogą wprowadzać zmian w rezerwacjach. Aby uzyskać więcej informacji, zobacz Zadania i role profilu rozliczeniowego.

Wyświetlanie rezerwacji przy użyciu dostępu opartej na rolach platformy Azure

Jeśli zakupiono rezerwację lub dodano cię do rezerwacji, wykonaj następujące kroki, aby wyświetlić rezerwacje i zarządzać nimi w Azure Portal.

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz pozycję Wszystkierezerwacje usług>, aby wyświetlić listę rezerwacji, do których masz dostęp.

Zarządzanie subskrypcjami i grupami zarządzania z podwyższonym poziomem dostępu

Możesz podnieść poziom dostępu użytkownika do zarządzania wszystkimi subskrypcjami platformy Azure i grupami zarządzania.

Po podwyższeniu poziomu dostępu:

  1. Przejdź do pozycji Wszystkie usługi>Rezerwacja , aby wyświetlić wszystkie rezerwacje, które znajdują się w dzierżawie.
  2. Aby wprowadzić modyfikacje rezerwacji, dodaj siebie jako właściciela zamówienia rezerwacji przy użyciu kontroli dostępu (IAM).

Udzielanie dostępu do poszczególnych rezerwacji

Użytkownicy, którzy mają dostęp właściciela do rezerwacji i administratorów rozliczeń, mogą delegować zarządzanie dostępem dla indywidualnej kolejności rezerwacji w Azure Portal.

Jeśli chcesz umożliwić innym osobom zarządzanie rezerwacjami, masz dwie możliwości:

  • Delegowanie zarządzania dostępem dla indywidualnego zamówienia rezerwacji przez przypisanie roli Właściciel użytkownikowi w zakresie zasobów zamówienia rezerwacji. Jeśli chcesz nadać ograniczony dostęp, wybierz inną rolę.
    Aby uzyskać szczegółowe instrukcje, zobacz Przypisywanie ról platformy Azure przy użyciu Azure Portal.

  • Dodaj użytkownika jako administratora rozliczeń do umowy Enterprise Agreement lub umowy klienta firmy Microsoft:

    • W przypadku umowy Enterprise Agreement dodaj użytkowników z rolą Administrator przedsiębiorstwa, aby wyświetlać wszystkie zamówienia rezerwacji dotyczące umowy Enterprise Agreement i zarządzać nimi. Użytkownicy z rolą Administrator przedsiębiorstwa (tylko do odczytu) mogą jedynie wyświetlać rezerwację. Administratorzy działu i właściciele kont nie mogą wyświetlać rezerwacji, o ile nie zostali do nich jawnie dodani przy użyciu funkcji kontroli dostępu (IAM). Aby uzyskać więcej informacji, zobacz Zarządzanie rolami w usłudze Azure Enterprise.

      Administratorzy przedsiębiorstwa mogą przejąć na własność zamówienie rezerwacji i dodać do rezerwacji innych użytkowników przy użyciu funkcji kontroli dostępu (IAM).

    • W przypadku umowy klienta firmy Microsoft użytkownicy z rolą właściciela profilu rozliczeniowego lub współautora profilu rozliczeniowego mogą zarządzać wszystkimi zakupami rezerwacji dokonanymi przy użyciu profilu rozliczeniowego. Czytelnicy profilów rozliczeniowych i menedżerowie faktur mogą wyświetlać wszystkie rezerwacje opłacane za pomocą profilu rozliczeniowego. Jednak nie mogą wprowadzać zmian w rezerwacjach. Aby uzyskać więcej informacji, zobacz Zadania i role profilu rozliczeniowego.

Udzielanie dostępu za pomocą programu PowerShell

Użytkownicy, którzy mają dostęp właściciela do zamówień rezerwacji, użytkownicy z podwyższonym poziomem dostępu, a administratorzy dostępu użytkowników mogą delegować zarządzanie dostępem dla wszystkich zamówień rezerwacji, do których mają dostęp.

Dostęp udzielony przy użyciu programu PowerShell nie jest wyświetlany w Azure Portal. Zamiast tego użyj get-AzRoleAssignment polecenia w poniższej sekcji, aby wyświetlić przypisane role.

Przypisywanie roli właściciela dla wszystkich rezerwacji

Użyj poniższego skryptu usługi Azure PowerShell, aby udzielić użytkownikowi dostępu Azure RBAC do wszystkich zamówień rezerwacji w dzierżawie (katalogu) usługi Azure AD.


Import-Module Az.Accounts
Import-Module Az.Resources
 
Connect-AzAccount -Tenant <TenantId>
 
$response = Invoke-AzRestMethod -Path /providers/Microsoft.Capacity/reservations?api-version=2020-06-01 -Method GET
 
$responseJSON = $response.Content | ConvertFrom-JSON
 
$reservationObjects = $responseJSON.value
 
foreach ($reservation in $reservationObjects)
{
  $reservationOrderId = $reservation.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$reservationOrderId
  New-AzRoleAssignment -Scope $reservationOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

Gdy używasz skryptu programu PowerShell do przypisywania roli własności i jest ona uruchamiana pomyślnie, komunikat o powodzeniu nie zostanie zwrócony.

Parametry

-ObjectId Azure AD ObjectId użytkownika, grupy lub jednostki usługi.

  • Typ: ciąg
  • Aliasy: Identyfikator, PrincipalId
  • Położenie: nazwane
  • Wartość domyślna: Brak
  • Akceptowanie danych wejściowych potoku: prawda
  • Zaakceptuj symbole wieloznaczne: Fałsz

-TenantId Unikatowy identyfikator dzierżawy.

  • Typ: ciąg
  • Położenie: 5
  • Wartość domyślna: Brak
  • Akceptowanie danych wejściowych potoku: Fałsz
  • Zaakceptuj symbole wieloznaczne: Fałsz

Dostęp na poziomie dzierżawy

Uprawnienia administratora dostępu użytkowników są wymagane przed udzieleniem użytkownikom lub grupom ról Administrator rezerwacji i Czytelnik rezerwacji na poziomie dzierżawy. Aby uzyskać uprawnienia administratora dostępu użytkowników na poziomie dzierżawy, wykonaj kroki z podwyższonym poziomem dostępu .

Dodawanie roli administratora rezerwacji lub roli Czytelnik rezerwacji na poziomie dzierżawy

Możesz przypisać te role z Azure Portal.

  1. Zaloguj się do witryny Azure Portal i przejdź do obszaru Rezerwacje.
  2. W górnej części strony wybierz pozycję Przypisanie roli.
  3. Aby wprowadzić modyfikacje, dodaj użytkownika jako administratora rezerwacji lub czytelnika rezerwacji przy użyciu kontroli dostępu.

Dodawanie roli administratora rezerwacji na poziomie dzierżawy przy użyciu skryptu Azure PowerShell

Użyj następującego skryptu Azure PowerShell, aby dodać rolę administratora rezerwacji na poziomie dzierżawy przy użyciu programu PowerShell.

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Administrator"

Parametry

-ObjectId Azure AD ObjectId użytkownika, grupy lub jednostki usługi.

  • Typ: ciąg
  • Aliasy: Identyfikator, PrincipalId
  • Położenie: nazwane
  • Wartość domyślna: Brak
  • Akceptowanie danych wejściowych potoku: Prawda
  • Akceptowanie symboli wieloznacznych: Fałsz

-TenantId Unikatowy identyfikator dzierżawy.

  • Typ: ciąg
  • Pozycja: 5
  • Wartość domyślna: Brak
  • Akceptowanie danych wejściowych potoku: Fałsz
  • Akceptowanie symboli wieloznacznych: Fałsz

Przypisywanie roli Czytelnik rezerwacji na poziomie dzierżawy przy użyciu skryptu Azure PowerShell

Użyj następującego skryptu Azure PowerShell, aby przypisać rolę Czytelnik rezerwacji na poziomie dzierżawy przy użyciu programu PowerShell.


Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>

New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Reader"

Parametry

-ObjectId Azure AD ObjectId użytkownika, grupy lub jednostki usługi.

  • Typ: ciąg
  • Aliasy: Id, PrincipalId
  • Pozycja: nazwane
  • Wartość domyślna: Brak
  • Akceptowanie danych wejściowych potoku: Prawda
  • Akceptowanie symboli wieloznacznych: Fałsz

-TenantId Unikatowy identyfikator dzierżawy.

  • Typ: ciąg
  • Pozycja: 5
  • Wartość domyślna: Brak
  • Akceptowanie danych wejściowych potoku: Fałsz
  • Akceptowanie symboli wieloznacznych: Fałsz

Następne kroki