Azure Kurumsal abonelikleri oluşturmak için erişim izni verme (eski)

Kurumsal Anlaşma (EA) olan bir Azure müşterisi olarak, hesabınıza faturalanan abonelikler oluşturmak için başka bir kullanıcıya veya hizmet sorumlusuna izin verebilirsiniz. Bu makalede Azure rol tabanlı erişim denetimini (Azure RBAC) kullanarak abonelik oluşturma becerisini paylaşmayı ve abonelik oluşturma işlemlerini izlemeyi öğreneceksiniz. Paylaşmak istediğiniz hesapta Sahip rolünüz olmalıdır.

Dekont

• Bu API yalnızca abonelik oluşturma için eski API'lerle çalışır.
• Eski API'leri kullanmak için belirli bir ihtiyacınız yoksa, en son API sürümü hakkında en son GA sürümüne ilişkin bilgileri kullanmanız gerekir. Bkz. Kayıt Hesabı Rol Atamaları - En son API ile EA abonelikleri oluşturma izni vermek için yerleştirme.
• Daha yeni API'leri kullanmaya geçiyorsanız 2019-10-01-preview kullanarak yeniden sahip izinleri vermeniz gerekir. Aşağıdaki API'leri kullanan önceki yapılandırmanız otomatik olarak daha yeni API'leri kullanacak şekilde dönüştürülmez.

Dekont

Azure ile etkileşim kurmak için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz. Azure PowerShell'i yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.

Erişim verme

Kayıt hesabı altında abonelikler oluşturmak için kullanıcıların söz konusu hesapta Azure RBAC Sahibi rolü olmalıdır. Aşağıdaki adımları izleyerek kullanıcıya veya kullanıcı grubuna bir kayıt hesabında Azure RBAC Sahibi rolü verebilirsiniz:

1. Erişim vermek istediğiniz kayıt hesabının nesne kimliğini alma

   Başkalarına kayıt hesabında Azure RBAC Sahibi rolü vermek için hesabın Hesap Sahibi veya bir Azure RBAC Sahibi olmalısınız.

   REST

   Erişiminiz olan tüm kayıt hesaplarını listeleme isteği:

   GET https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts?api-version=2018-03-01-preview
   

   Azure erişiminiz olan tüm kayıt hesaplarını listeleyerek yanıt verir:

   {
     "value": [
       {
         "id": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
         "name": "747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
         "type": "Microsoft.Billing/enrollmentAccounts",
         "properties": {
           "principalName": "SignUpEngineering@contoso.com"
         }
       },
       {
         "id": "/providers/Microsoft.Billing/enrollmentAccounts/4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
         "name": "4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
         "type": "Microsoft.Billing/enrollmentAccounts",
         "properties": {
           "principalName": "BillingPlatformTeam@contoso.com"
         }
       }
     ]
   }
   

   principalName özelliğini kullanarak Azure RBAC Sahibi erişimi vermek istediğiniz hesabı belirleyin. Bu hesabın name değerini kopyalayın. Örneğin SignUpEngineering@contoso.com kayıt hesabına Azure RBAC Sahibi erişimi vermek istiyorsanız 747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx değerini kopyalayın. Bu, kayıt hesabının nesne kimliğidir. Bir sonraki adımda enrollmentAccountObjectId olarak kullanabilmeniz için bu değeri bir yere yapıştırın.

   PowerShell

   Get-AzEnrollmentAccount cmdlet'ini kullanarak erişiminiz olan tüm kayıt hesaplarını listeleyin. Deneyin'i seçerek Azure Cloud Shell'i açın. Kodu yapıştırmak için kabuk pencerelerini seçip basılı tutun (veya sağ tıklayın) ve Yapıştır'ı seçin.

   Get-AzEnrollmentAccount
   

   Azure erişiminiz olan kayıt hesaplarını listeleyerek yanıt verir:

   ObjectId                               | PrincipalName
   747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx   | SignUpEngineering@contoso.com
   4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx   | BillingPlatformTeam@contoso.com
   

   principalName özelliğini kullanarak Azure RBAC Sahibi erişimi vermek istediğiniz hesabı belirleyin. Bu hesabın ObjectId değerini kopyalayın. Örneğin SignUpEngineering@contoso.com kayıt hesabına Azure RBAC Sahibi erişimi vermek istiyorsanız 747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx değerini kopyalayın. Bir sonraki adımda enrollmentAccountObjectId olarak kullanabilmeniz için bu nesne kimliğini bir yere yapıştırın.

   Azure CLI

   Erişiminiz olan tüm kayıt hesaplarını listelemek için az billing enrollment-account list komutunu kullanın. Deneyin'i seçerek Azure Cloud Shell'i açın. Kodu yapıştırmak için kabuk pencerelerini seçip basılı tutun (veya sağ tıklayın) ve Yapıştır'ı seçin.

   az billing enrollment-account list
   

   Azure erişiminiz olan kayıt hesaplarını listeleyerek yanıt verir:

   [
     {
       "id": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
       "name": "747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
       "principalName": "SignUpEngineering@contoso.com",
       "type": "Microsoft.Billing/enrollmentAccounts",
     },
     {
       "id": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
       "name": "4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
       "principalName": "BillingPlatformTeam@contoso.com",
       "type": "Microsoft.Billing/enrollmentAccounts",
     }
   ]
   

   principalName özelliğini kullanarak Azure RBAC Sahibi erişimi vermek istediğiniz hesabı belirleyin. Bu hesabın name değerini kopyalayın. Örneğin SignUpEngineering@contoso.com kayıt hesabına Azure RBAC Sahibi erişimi vermek istiyorsanız 747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx değerini kopyalayın. Bu, kayıt hesabının nesne kimliğidir. Bir sonraki adımda enrollmentAccountObjectId olarak kullanabilmeniz için bu değeri bir yere yapıştırın.

2. Azure RBAC Sahibi rolünü vermek istediğiniz kullanıcının veya grubun nesne kimliğini alma

   1. Azure portalında Microsoft Entra Id'de arama yapın.
   2. Bir kullanıcıya erişim vermek istiyorsanız sol taraftaki menüde Kullanıcılar'ı seçin. Bir gruba erişim vermek için Gruplar'ı seçin.
   3. Azure RBAC Sahibi rolünü vermek istediğiniz Kullanıcıyı veya Grubu seçin.
   4. Kullanıcı seçtiyseniz, Profil sayfasında nesne kimliğini bulabilirsiniz. Grup seçtiyseniz, nesne kimliği Genel Bakış sayfasında olur. Metin kutusunun sağ tarafındaki simgeyi seçerek ObjectID değerini kopyalayın. Bir sonraki adımda userObjectId olarak kullanabilmek için bu değeri bir yere yapıştırın.

3. Kullanıcıya veya gruba kayıt hesabında Azure RBAC Sahibi rolü verme

   İlk iki adımda topladığınız değerleri kullanarak kullanıcıya veya gruba kayıt hesabında Azure RBAC Sahibi rolü verin.

   REST

   Aşağıdaki komutu çalıştırın; <enrollmentAccountObjectId> değerini ilk adımda kopyaladığınız name ile değiştirin (747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx). <userObjectId> değerini ikinci adımda kopyaladığınız nesne kimliğiyle değiştirin.

   PUT  https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleAssignments/<roleAssignmentGuid>?api-version=2015-07-01
   
   {
     "properties": {
       "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
       "principalId": "<userObjectId>"
     }
   }
   

   Kayıt hesabı bağlamında Sahip rolü başarıyla atandığında, Azure rol atamasının bilgileriyle yanıt verir:

   {
     "properties": {
       "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
       "principalId": "<userObjectId>",
       "scope": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
       "createdOn": "2018-03-05T08:36:26.4014813Z",
       "updatedOn": "2018-03-05T08:36:26.4014813Z",
       "createdBy": "<assignerObjectId>",
       "updatedBy": "<assignerObjectId>"
     },
     "id": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
     "type": "Microsoft.Authorization/roleAssignments",
     "name": "<roleAssignmentGuid>"
   }
   

   PowerShell

   Aşağıdaki New-AzRoleAssignment komutunu çalıştırın; <enrollmentAccountObjectId> değerini ilk adımda topladığınız ObjectId ile değiştirin (747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx). <userObjectId> değerini ikinci adımda toplanan nesne kimliğiyle değiştirin.

   New-AzRoleAssignment -RoleDefinitionName Owner -ObjectId <userObjectId> -Scope /providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>
   

   Azure CLI

   Aşağıdaki az role assignment create komutunu çalıştırın; <enrollmentAccountObjectId> değerini ilk adımda kopyaladığınız name ile değiştirin (747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx). <userObjectId> değerini ikinci adımda toplanan nesne kimliğiyle değiştirin.

   az role assignment create --role Owner --assignee-object-id <userObjectId> --scope /providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>
   

   Bir kullanıcı kayıt hesabınızın Azure RBAC Sahibi olduktan sonra bu hesap altında program aracılığıyla abonelikler oluşturabilir. Temsilci kullanıcı tarafından oluşturulan aboneliğin de Hizmet Yöneticisi olarak özgün Hesap Sahibi vardır ama aynı zamanda varsayılan olarak temsilci kullanıcı da Azure RBAC Sahibi olur.

Etkinlik günlüklerini kullanarak abonelikleri kimin oluşturduğunu denetleme

Bu API yoluyla oluşturulan abonelikleri izlemek için Kiracı Etkinlik Günlüğü API'sini kullanın. Şu anda PowerShell, CLI veya Azure portalı kullanarak abonelik oluşturma işlemini izlemek mümkün değildir.

1. Microsoft Entra kiracısının kiracı yöneticisi olarak erişimi yükseltin ve ardından kapsamı /providers/microsoft.insights/eventtypes/managementüzerinden denetim kullanıcısına bir Okuyucu rolü atayın. Bu erişim Okuyucu rolünde, İzleme katkıda bulunanı rolü veya özel bir rolde kullanılabilir.

2. Denetleyen kullanıcı olarak, abonelik oluşturma etkinliklerini görmek için Kiracı Etkinlik Günlüğü API'sini çağırın. Örnek:

   GET "/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '{greaterThanTimeStamp}' and eventTimestamp le '{lessThanTimestamp}' and eventChannels eq 'Operation' and resourceProvider eq 'Microsoft.Subscription'"
   

Bu API'yi komut satırından rahatça çağırmak için ARMClient'ı deneyin.

Sonraki adımlar

• Artık kullanıcının veya hizmet sorumlusunun abonelik oluşturma izni olduğuna göre, bu kimliği kullanarak program aracılığıyla Azure Kurumsal abonelikleri oluşturabilirsiniz.
• .NET kullanarak abonelik oluşturma örneği için GitHub'da örnek koda bakın.
• Azure Resource Manager ve onun API'leri hakkında daha fazla bilgi edinmek için bkz Azure Resource Manager’a genel bakış.
• Yönetim gruplarını kullanarak çok fazla sayıda aboneliği yönetme hakkında daha fazla bilgi edinmek için bkz. Kaynaklarınızı Azure yönetim gruplarıyla düzenleme
• Büyük kuruluşlara yönelik abonelik idaresiyle ilgili kapsamlı bir en iyi yöntemler kılavuzu için bkz. Azure kurumsal iskelesi - açıklayıcı abonelik idaresi