Uprawnienia do wyświetlania rezerwacji platformy Azure i zarządzania nimi

W tym artykule wyjaśniono, jak działają uprawnienia rezerwacji oraz jak użytkownicy mogą wyświetlać rezerwacje platformy Azure i zarządzać nimi w witrynie Azure Portal oraz za pomocą programu Azure PowerShell.

Uwaga

Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

Kto może domyślnie zarządzać rezerwacją

Domyślnie rezerwacje mogą wyświetlać i zarządzać nimi następujący użytkownicy:

• Do zamówienia rezerwacji jest dodawana osoba, która kupuje rezerwację, i administrator konta subskrypcji rozliczeniowej używanej do zakupu rezerwacji.
• Administratorzy rozliczeń w umowie Enterprise Agreement i umowie klienta firmy Microsoft.
• Użytkownicy z podniesionym poziomem dostępu do zarządzania wszystkimi subskrypcjami platformy Azure i grupami zarządzania.
• Administrator rezerwacji dla rezerwacji w dzierżawie firmy Microsoft Entra (katalog)
• Czytelnik rezerwacji ma dostęp tylko do odczytu do rezerwacji w dzierżawie firmy Microsoft Entra (katalog)

Cykl życia rezerwacji jest niezależny od subskrypcji platformy Azure, więc rezerwacja nie jest zasobem w ramach subskrypcji platformy Azure. Jest to zasób na poziomie dzierżawy z własnym uprawnieniem kontroli dostępu na podstawie ról platformy Azure oddzielonym od subskrypcji. Rezerwacje nie dziedziczą uprawnień z subskrypcji po zakupie.

Wyświetlanie rezerwacji i zarządzanie nimi

Jeśli jesteś administratorem rozliczeń, wykonaj następujące kroki, aby wyświetlić wszystkie rezerwacje i transakcje rezerwacji oraz zarządzać nimi w witrynie Azure Portal.

1. Zaloguj się do witryny Azure Portal i przejdź do strony Zarządzanie kosztami i rozliczenia.
   • Jeśli jesteś administratorem umowy EA, w menu po lewej stronie wybierz pozycję Zakresy rozliczeniowe, a następnie na liście zakresów rozliczeniowych wybierz jeden z nich.
   • Jeśli jesteś właścicielem profilu rozliczeniowego Umowy z Klientem Microsoft, w menu po lewej stronie wybierz pozycję Profile rozliczeniowe. Na liście profilów rozliczeniowych wybierz jeden z nich.
2. W menu po lewej stronie wybierz pozycję Produkty i usługi>Rezerwacje.
3. Zostanie wyświetlona pełna lista rezerwacji dla rejestracji umowy EA lub profilu rozliczeniowego.
4. Administratorzy rozliczeń mogą przejąć własność rezerwacji, wybierając jedną lub wiele rezerwacji, wybierając pozycję Udziel dostępu i wybierając pozycję Udziel dostępu w wyświetlonym oknie. W przypadku Umowa z Klientem Microsoft użytkownik powinien znajdować się w tej samej dzierżawie (katalogu) firmy Microsoft co rezerwacja.

Dodawanie administratorów rozliczeń

Dodaj użytkownika jako administratora rozliczeń do umowy Enterprise Agreement lub Umowy z Klientem Microsoft w witrynie Azure Portal.

• W przypadku umowy Enterprise Agreement dodaj użytkowników z rolą Administrator przedsiębiorstwa, aby wyświetlać wszystkie zamówienia rezerwacji dotyczące umowy Enterprise Agreement i zarządzać nimi. Administratorzy przedsiębiorstwa mogą wyświetlać rezerwacje i zarządzać nimi w usłudze Cost Management + Billing.
  • Użytkownicy z rolą enterprise Administracja istrator (tylko do odczytu) mogą wyświetlać rezerwację tylko z obszaru Zarządzanie kosztami i rozliczenia.
  • Administratorzy działu i właściciele kont nie mogą wyświetlać rezerwacji, o ile nie zostali do nich jawnie dodani przy użyciu funkcji kontroli dostępu (IAM). Aby uzyskać więcej informacji, zobacz Zarządzanie rolami w usłudze Azure Enterprise.
• W przypadku umowy klienta firmy Microsoft użytkownicy z rolą właściciela profilu rozliczeniowego lub współautora profilu rozliczeniowego mogą zarządzać wszystkimi zakupami rezerwacji dokonanymi przy użyciu profilu rozliczeniowego. Czytelnicy profilów rozliczeniowych i menedżerowie faktur mogą wyświetlać wszystkie rezerwacje opłacane za pomocą profilu rozliczeniowego. Jednak nie mogą wprowadzać zmian w rezerwacjach. Aby uzyskać więcej informacji, zobacz Zadania i role profilu rozliczeniowego.

Wyświetlanie rezerwacji przy użyciu dostępu opartej na rolach platformy Azure

Jeśli zakupiono rezerwację lub dodano cię do rezerwacji, wykonaj następujące kroki, aby wyświetlić rezerwacje i zarządzać nimi w witrynie Azure Portal.

1. Zaloguj się w witrynie Azure Portal.
2. Wybierz pozycję Wszystkie rezerwacje usług>, aby wyświetlić listę rezerwacji, do których masz dostęp.

Zarządzanie subskrypcjami i grupami zarządzania z podwyższonym poziomem dostępu

Możesz podwyższyć poziom dostępu użytkownika, aby zarządzać wszystkimi subskrypcjami platformy Azure i grupami zarządzania.

Po podwyższeniu poziomu dostępu:

1. Przejdź do obszaru Wszystkie usługi>Rezerwacja, aby wyświetlić wszystkie rezerwacje, które znajdują się w dzierżawie.
2. Aby wprowadzić modyfikacje rezerwacji, dodaj siebie jako właściciela zamówienia rezerwacji przy użyciu kontroli dostępu (IAM).

Udzielanie dostępu do poszczególnych rezerwacji

Użytkownicy, którzy mają dostęp właściciela do rezerwacji i administratorów rozliczeń, mogą delegować zarządzanie dostępem dla indywidualnego zamówienia rezerwacji w witrynie Azure Portal.

Jeśli chcesz umożliwić innym osobom zarządzanie rezerwacjami, masz dwie możliwości:

• Delegowanie zarządzania dostępem dla indywidualnego zamówienia rezerwacji przez przypisanie roli Właściciela użytkownikowi w zakresie zasobów zamówienia rezerwacji. Jeśli chcesz nadać ograniczony dostęp, wybierz inną rolę.
  Aby uzyskać szczegółowe instrukcje, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

• Dodaj użytkownika jako administratora rozliczeń do umowy Enterprise Agreement lub umowy klienta firmy Microsoft:

  • W przypadku umowy Enterprise Agreement dodaj użytkowników z rolą Administrator przedsiębiorstwa, aby wyświetlać wszystkie zamówienia rezerwacji dotyczące umowy Enterprise Agreement i zarządzać nimi. Użytkownicy z rolą Administrator przedsiębiorstwa (tylko do odczytu) mogą jedynie wyświetlać rezerwację. Administratorzy działu i właściciele kont nie mogą wyświetlać rezerwacji, o ile nie zostali do nich jawnie dodani przy użyciu funkcji kontroli dostępu (IAM). Aby uzyskać więcej informacji, zobacz Zarządzanie rolami w usłudze Azure Enterprise.

    Administratorzy przedsiębiorstwa mogą przejąć na własność zamówienie rezerwacji i dodać do rezerwacji innych użytkowników przy użyciu funkcji kontroli dostępu (IAM).

  • W przypadku umowy klienta firmy Microsoft użytkownicy z rolą właściciela profilu rozliczeniowego lub współautora profilu rozliczeniowego mogą zarządzać wszystkimi zakupami rezerwacji dokonanymi przy użyciu profilu rozliczeniowego. Czytelnicy profilów rozliczeniowych i menedżerowie faktur mogą wyświetlać wszystkie rezerwacje opłacane za pomocą profilu rozliczeniowego. Jednak nie mogą wprowadzać zmian w rezerwacjach. Aby uzyskać więcej informacji, zobacz Zadania i role profilu rozliczeniowego.

Udzielanie dostępu za pomocą programu PowerShell

Użytkownicy, którzy mają dostęp właściciela do zamówień rezerwacji, użytkowników z podwyższonym poziomem dostępu, a Administracja istratory dostępu użytkowników mogą delegować zarządzanie dostępem dla wszystkich zamówień rezerwacji, do których mają dostęp.

Dostęp udzielony przy użyciu programu PowerShell nie jest wyświetlany w witrynie Azure Portal. Zamiast tego użyjesz get-AzRoleAssignment polecenia w poniższej sekcji, aby wyświetlić przypisane role.

Przypisywanie roli właściciela dla wszystkich rezerwacji

Użyj następującego skryptu programu Azure PowerShell, aby przyznać użytkownikowi dostęp RBAC platformy Azure do wszystkich zamówień rezerwacji w dzierżawie firmy Microsoft Entra (katalog).

Import-Module Az.Accounts
Import-Module Az.Resources
 
Connect-AzAccount -Tenant <TenantId>
 
$response = Invoke-AzRestMethod -Path /providers/Microsoft.Capacity/reservations?api-version=2020-06-01 -Method GET
 
$responseJSON = $response.Content | ConvertFrom-JSON
 
$reservationObjects = $responseJSON.value
 
foreach ($reservation in $reservationObjects)
{
  $reservationOrderId = $reservation.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$reservationOrderId
  New-AzRoleAssignment -Scope $reservationOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

Gdy używasz skryptu programu PowerShell do przypisywania roli własności i jest ona uruchamiana pomyślnie, komunikat o powodzeniu nie zostanie zwrócony.

Parametry

-ObjectId Microsoft Entra ObjectId użytkownika, grupy lub jednostki usługi.

• Typ: ciąg
• Aliasy: Id, PrincipalId
• Pozycja: nazwane
• Wartość domyślna: Brak
• Akceptowanie danych wejściowych potoku: prawda
• Zaakceptuj symbole wieloznaczne: Fałsz

-TenantId Unikatowy identyfikator dzierżawy.

• Typ: ciąg
• Pozycja: 5
• Wartość domyślna: Brak
• Akceptowanie danych wejściowych potoku: Fałsz
• Zaakceptuj symbole wieloznaczne: Fałsz

Dostęp na poziomie dzierżawy

Aby przyznać użytkownikom lub grupom role Administracja istrator i Czytelnik rezerwacji na poziomie dzierżawy, wymagane są prawa dostępu użytkowników Administracja istratora i czytelnika rezerwacji. Aby uzyskać dostęp użytkowników Administracja istrator praw na poziomie dzierżawy, wykonaj kroki podniesienia poziomu dostępu.

Dodawanie roli Administracja istratora rezerwacji lub roli Czytelnik rezerwacji na poziomie dzierżawy

Te role można przypisać w witrynie Azure Portal.

1. Zaloguj się do witryny Azure Portal i przejdź do obszaru Rezerwacje.
2. Wybierz rezerwację, do której masz dostęp.
3. W górnej części strony wybierz pozycję Przypisanie roli.
4. Wybierz kartę Role .
5. Aby wprowadzić modyfikacje, dodaj użytkownika jako użytkownika Rezerwacje Administracja istrator lub Czytelnik rezerwacji przy użyciu kontroli dostępu.

Dodawanie roli Administracja istratora rezerwacji na poziomie dzierżawy przy użyciu skryptu programu Azure PowerShell

Użyj następującego skryptu programu Azure PowerShell, aby dodać rolę Administracja istrator rezerwacji na poziomie dzierżawy za pomocą programu PowerShell.

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Administrator"

Parametry

-ObjectId Microsoft Entra ObjectId użytkownika, grupy lub jednostki usługi.

• Typ: ciąg
• Aliasy: Id, PrincipalId
• Pozycja: nazwane
• Wartość domyślna: Brak
• Akceptowanie danych wejściowych potoku: prawda
• Zaakceptuj symbole wieloznaczne: Fałsz

-TenantId Unikatowy identyfikator dzierżawy.

• Typ: ciąg
• Pozycja: 5
• Wartość domyślna: Brak
• Akceptowanie danych wejściowych potoku: Fałsz
• Zaakceptuj symbole wieloznaczne: Fałsz

Przypisywanie roli Czytelnik rezerwacji na poziomie dzierżawy przy użyciu skryptu programu Azure PowerShell

Użyj następującego skryptu programu Azure PowerShell, aby przypisać rolę Czytelnik rezerwacji na poziomie dzierżawy za pomocą programu PowerShell.

Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>

New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Reader"

Parametry

-ObjectId Microsoft Entra ObjectId użytkownika, grupy lub jednostki usługi.

• Typ: ciąg
• Aliasy: Id, PrincipalId
• Pozycja: nazwane
• Wartość domyślna: Brak
• Akceptowanie danych wejściowych potoku: prawda
• Zaakceptuj symbole wieloznaczne: Fałsz

-TenantId Unikatowy identyfikator dzierżawy.

• Typ: ciąg
• Pozycja: 5
• Wartość domyślna: Brak
• Akceptowanie danych wejściowych potoku: Fałsz
• Zaakceptuj symbole wieloznaczne: Fałsz

Następne kroki

• Zarządzanie rezerwacjami platformy Azure.