Share via

Bevilja åtkomst för att skapa Azure Enterprise-prenumerationer (äldre)

  • Artikel

Som Azure-kund med en företagsavtal (EA) kan du ge en annan användare eller tjänstens huvudnamn behörighet att skapa prenumerationer som faktureras till ditt konto. I den här artikeln får du lära dig hur du använder rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att dela möjligheten att skapa prenumerationer och hur du granskar skapande av prenumerationer. Du måste ha ägarrollen för det konto som du vill dela.

Kommentar

  • Det här API:et fungerar bara med äldre API:er för att skapa prenumerationer.
  • Om du inte har ett specifikt behov av att använda äldre API:er bör du använda informationen för den senaste GA-versionen om den senaste API-versionen. Se Rolltilldelningar för registreringskonto – Tilldela behörighet att skapa EA-prenumerationer med det senaste API:et.
  • Om du migrerar till användning av de nyare API:erna måste du bevilja ägarbehörigheter igen med 2019-10-01-preview. Din tidigare konfiguration som använder följande API:er konverteras inte automatiskt för användning med nyare API:er.

Kommentar

Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Se Installera Azure PowerShell för att komma igång. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Bevilja åtkomst

För att kunna skapa prenumerationer under ett registreringskonto måste användarna ha rollen Azure RBAC-ägare för det kontot. Så här ger du en användare eller en grupp av användare rollen Azure RBAC-ägare för ett registreringskonto:

  1. Hämta objekt-ID:t för det registreringskonto som du vill bevilja åtkomst till

    Om du vill ge andra rollen Azure RBAC-ägare för ett registreringskonto måste du vara antingen kontoägare eller Azure RBAC-ägare för kontot.

    Begära en lista över alla registreringskonton som du har åtkomst till:

    GET https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts?api-version=2018-03-01-preview

    Azure svarar med en lista över alla registreringskonton som du har åtkomst till:

    {
  "value": [
    {
      "id": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
      "name": "747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
      "type": "Microsoft.Billing/enrollmentAccounts",
      "properties": {
        "principalName": "SignUpEngineering@contoso.com"
      }
    },
    {
      "id": "/providers/Microsoft.Billing/enrollmentAccounts/4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
      "name": "4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
      "type": "Microsoft.Billing/enrollmentAccounts",
      "properties": {
        "principalName": "BillingPlatformTeam@contoso.com"
      }
    }
  ]
}

    Använd egenskapen principalName för att identifiera det konto som du vill bevilja Azure RBAC-ägaråtkomst till. Kopiera name för det kontot. Om du till exempel vill bevilja Azure RBAC-ägaråtkomst till registreringskontot SignUpEngineering@contoso.com kopierar du 747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx. Det här är objekt-ID:t för registreringskontot. Klistra in det här värdet någonstans så att du kan använda det som enrollmentAccountObjectId i nästa steg.

    Använd egenskapen principalName för att identifiera det konto som du vill bevilja Azure RBAC-ägaråtkomst till. Kopiera name för det kontot. Om du till exempel vill bevilja Azure RBAC-ägaråtkomst till registreringskontot SignUpEngineering@contoso.com kopierar du 747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx. Det här är objekt-ID:t för registreringskontot. Klistra in det här värdet någonstans så att du kan använda det som enrollmentAccountObjectId i nästa steg.

  2. Hämta objekt-ID för den användare eller grupp som du vill ge rollen Azure RBAC-ägare

    1. I Azure-portalen söker du efter Microsoft Entra-ID.
    2. Om du vill ge en användare åtkomst väljer du Användare på menyn till vänster. Om du vill ge åtkomst till en grupp väljer du Grupper.
    3. Välj den användare eller grupp som du vill ge rollen Azure RBAC-ägare.
    4. Om du har valt en användare hittar du objekt-ID:t på profilsidan. Om du har valt en grupp visas objekt-ID:t på översiktssidan. Kopiera ObjectID genom att välja ikonen till höger om textrutan. Klistra in det här värdet någonstans så att du kan använda det som userObjectId i nästa steg.

  3. Bevilja användaren eller gruppen rollen Azure RBAC-ägare för registreringskontot

    Använd de värden som du samlade in i de första två stegen och ge användaren eller gruppen rollen Azure RBAC-ägare för registreringskontot.

    Gör följande kommando och ersätt <enrollmentAccountObjectId> med värdet för name som du kopierade i det första steget (747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx). Ersätt <userObjectId> med det objekt-ID som du kopierade från det andra steget.

    PUT  https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleAssignments/<roleAssignmentGuid>?api-version=2015-07-01

{
  "properties": {
    "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
    "principalId": "<userObjectId>"
  }
}

    När ägarrollen har tilldelats för omfånget Registreringskonto svarar Azure med information om rolltilldelningen:

    {
  "properties": {
    "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
    "principalId": "<userObjectId>",
    "scope": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
    "createdOn": "2018-03-05T08:36:26.4014813Z",
    "updatedOn": "2018-03-05T08:36:26.4014813Z",
    "createdBy": "<assignerObjectId>",
    "updatedBy": "<assignerObjectId>"
  },
  "id": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
  "type": "Microsoft.Authorization/roleAssignments",
  "name": "<roleAssignmentGuid>"
}

Granska vem som har skapat prenumerationer med hjälp av aktivitetsloggar

Om du vill spåra prenumerationer som har skapats via det här API:et använder du API:et för klientaktivitetsloggen. Det är för närvarande inte möjligt att använda PowerShell, CLI eller Azure-portalen för att spåra skapande av prenumerationer.

  1. Som klientadministratör för Microsoft Entra-klientorganisationen höjer du åtkomsten och tilldelar sedan en läsarroll till granskningsanvändaren över omfånget /providers/microsoft.insights/eventtypes/management. Den här åtkomsten är tillgänglig i rollen läsare, övervakningsdeltagare eller en anpassad roll.

  2. Som granskningsanvändare anropar du API:et för klientaktivitetsloggen för att visa aktiviteter för skapande av prenumerationer. Exempel:

    GET "/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '{greaterThanTimeStamp}' and eventTimestamp le '{lessThanTimestamp}' and eventChannels eq 'Operation' and resourceProvider eq 'Microsoft.Subscription'"

Du kan anropa det här API:et från kommandoraden med hjälp av ARMClient.

Nästa steg