Berechtigungen zum Anzeigen und Verwalten von Azure-Sparplänen
In diesem Artikel wird erläutert, wie Sparplanberechtigungen funktionieren und wie Benutzer*innen Azure-Sparpläne im Azure-Portal anzeigen und verwalten können.
Wer kann standardmäßig einen Sparplan verwalten?
Zwei unterschiedliche Autorisierungsmethoden steuern die Fähigkeit eines Benutzers, Berechtigungen für Sparpläne anzuzeigen, zu verwalten und zu delegieren. Diese sind Abrechnungsadministratorrollen und rollenbasierte Zugriffssteuerungsrollen (RBAC).
Rollen für Abrechnungsadministratoren
Sie können Berechtigungen für Sparpläne mithilfe integrierter Rollen für Abrechnungsadministratoren anzeigen, verwalten und delegieren. Weitere Informationen zu Microsoft-Kundenvereinbarung und Enterprise Agreement-Abrechnungsrollen finden Sie unter Grundlegendes zu Administratorrollen des Microsoft-Kundenvertrags in Azure bzw. Verwalten von Azure Enterprise Agreement-Rollen.
Für Sparplanaktionen erforderliche Abrechnungsadministratorrollen
- Anzeigen von Sparplänen:
- Microsoft-Kundenvereinbarung: Benutzer mit Leseprogramm für Abrechnungsprofilen oder höher
- Enterprise Agreement: Benutzer mit Unternehmensadministrator (schreibgeschützt) oder höher
- Microsoft Partner-Vereinbarung: Nicht unterstützt
- Verwalten von Sparplänen (durch Delegieren von Berechtigungen für das vollständige Abrechnungsprofil/die Registrierung):
- Microsoft-Kundenvereinbarung: Benutzer mit Abrechnungsprofilmitwirkender oder höher
- Enterprise Agreement: Benutzer mit Enterprise Agreement-Administrator oder höher
- Microsoft Partner-Vereinbarung: Nicht unterstützt
- Berechtigungen des Sparplans delegieren:
- Microsoft-Kundenvereinbarung: Benutzer mit Abrechnungsprofilmitwirkender oder höher
- Enterprise Agreement: Benutzer mit Enterprise Agreement-Käufer oder höher
- Microsoft Partner-Vereinbarung: Nicht unterstützt
Anzeigen und Verwalten von Sparplänen als Abrechnungsadministrator
Führen Sie als Benutzer von Abrechnungsrollen diese Schritte aus, um alle Sparpläne und Sparplantransaktionen im Azure-Portal anzuzeigen und zu verwalten.
- Melden Sie sich beim Azure-Portal an, und wechseln Sie zu Kostenverwaltung + Abrechnung.
- Wenn Sie sich unter einem Enterprise Agreement-Konto befinden, wählen Sie im linken Menü Abrechnungsbereiche aus. Wählen Sie dann in der Liste der Abrechnungsbereiche einen aus.
- Wenn Sie sich unter einem Microsoft-Kundenvertragskonto befinden, wählen Sie im linken Menü Abrechnungsprofile aus. Wählen Sie in der Liste der Abrechnungsprofile ein Profil aus.
- Wählen Sie im Menü auf der linken Seite Produkte und Dienste>Sparpläne aus. Die vollständige Liste der Sparpläne für die Registrierung Ihres Enterprise Agreement oder des Abrechnungsprofils für Microsoft-Kundenvereinbarungen wird angezeigt.
- Benutzer von Abrechnungsrollen können den Besitz eines Sparplans mit der Sparplanreihenfolge – Erhöhen der REST-API übernehmen, um sich Azure RBAC-Rollen zu geben.
Hinzufügen von Abrechnungsadministrator*innen
Fügen Sie als Abrechnungsadministrator*in im Azure-Portal Benutzer*innen zu einem Enterprise Agreement oder einer Microsoft-Kundenvereinbarung hinzu.
- Enterprise Agreement: Fügen Sie Benutzer*innen mit der Rolle Unternehmensadministrator hinzu, um alle für diesen Vertrag geltenden Sparplanaufträge anzuzeigen und zu verwalten. Unternehmensadministrator*innen können Sparpläne in Kostenverwaltung + Abrechnung anzeigen und verwalten.
- Benutzer*innen mit der Rolle Unternehmensadministrator (schreibgeschützt) können die Sparpläne in Kostenverwaltung + Abrechnung nur anzeigen.
- Abteilungsadministrator*innen und Kontobesitzer*innen können Sparpläne nur anzeigen, wenn sie ihnen mithilfe der Zugriffssteuerung (Access Control, IAM) explizit hinzugefügt werden. Weitere Informationen finden Sie unter Verwalten von Azure Enterprise-Rollen.
- Microsoft-Kundenvereinbarung: Benutzer*innen mit der Rolle „Besitzer des Abrechnungsprofils“ oder „Mitwirkender am Abrechnungsprofil“ können alle mit dem Abrechnungsprofil getätigten Sparplankäufe verwalten.
- Benutzer*innen mit Leseberechtigung für das Abrechnungsprofil und Rechnungs-Manager*innen können alle Sparpläne anzeigen, die für das Abrechnungsprofil bezahlt wurden. Sie können allerdings keine Änderungen an den Sparplänen vornehmen. Weitere Informationen finden Sie unter Rollen und Aufgaben für ein Abrechnungsprofil.
RBAC-Rollen für Sparpläne
Der Lebenszyklus des Sparplans ist unabhängig von einem Azure-Abonnement. Sparpläne erben nach dem Kauf keine Berechtigungen von Abonnements. Sparpläne sind eine Ressource auf Mandantenebene mit eigenen Azure RBAC-Berechtigungen.
Übersicht
Es gibt vier sparplanspezifische RBAC-Rollen:
- Sparplanadministrator: Ermöglicht die Verwaltung eines oder mehrerer Sparpläne in einem Mandanten und die Delegierung von RBAC-Rollen an andere Benutzer.
- Sparplankäufer: Ermöglicht den Kauf von Sparplänen mit einem bestimmten Abonnement.
- Ermöglicht den Sparplankauf oder Reservierungshandel von Nicht-Abrechnungsadministratoren und Nicht-Abonnementbesitzern.
- Der Kauf eines Sparplans durch Rollen, die nicht Abrechnungsadministratoren sind, muss aktiviert sein. Weitere Informationen finden Sie unter Berechtigungen zum Erwerben eines Azure-Sparplans.
- Mitwirkender des Sparplans: Ermöglicht die Verwaltung von einem oder mehreren Sparplänen in einem Mandanten, aber nicht die Delegierung von RBAC-Rollen an andere Benutzer.
- Sparplanleser: Ermöglicht schreibgeschützten Zugriff auf einen oder mehrere Sparpläne in einem Mandanten.
Diese Rollen können entweder auf eine bestimmte Ressourcenentität (z. B. Abonnement oder Sparplan) oder den Microsoft Entra-Mandanten (Verzeichnis) festgelegt werden. Weitere Informationen zur Azure RBAC finden Sie im Artikel Was ist die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC)?.
RBAC-Rollen für Sparpläne, die für Sparplanaktionen erforderlich sind
- Anzeigen von Sparplänen:
- Mandantenbereich: Benutzer mit der Rolle Sparplanleser oder höher.
- Sparplanbereich: Integrierter Leser oder höher.
- Verwalten von Sparplänen:
- Mandantenbereich: Benutzer mit der Rolle Mitwirkender des Sparplans oder höher.
- Sparplanbereich: Integrierte Mitwirkender- oder Besitzerrollen, oder die Rolle Mitwirkender des Sparplans oder höher.
- Berechtigungen des Sparplans delegieren:
- Mandantenbereich: Rechte des Benutzerzugriffsadministrators sind erforderlich, um allen Sparplänen im Mandanten RBAC-Rollen zu gewähren. Um diese Rechte zu erhalten, führen Sie die Schritte zum Erhöhen des Zugriffs aus.
- Sparplanbereich: Sparplanadministrator oder Benutzerzugriffsadministrator.
Darüber hinaus können Benutzer, welche die Rolle des Abonnementbesitzers beim Kauf eines Sparplans verwendet haben, auch Berechtigungen für den erworbenen Sparplan anzeigen, verwalten und delegieren.
Anzeigen von Sparplänen mit RBAC-Zugriff
Wenn Sie über sparplanspezifische RBAC-Rollen (Sparplanadministrator, -käufer, -mitwirkender oder -leser) verfügen, Sparpläne erworben haben oder als Besitzer zu Sparplänen hinzugefügt wurden, führen Sie diese Schritte aus, um Sparpläne im Azure-Portal anzuzeigen und zu verwalten.
- Melden Sie sich beim Azure-Portal an.
- Wählen Sie Startseite>Sparpläne aus, um die Sparpläne aufzulisten, auf die Sie Zugriff haben.
Hinzufügen von RBAC-Rollen zu Benutzern und Gruppen
Weitere Informationen zum Delegieren von RBAC-Rollen für Sparpläne finden Sie unter Delegieren von RBAC-Rollen für Sparpläne.
Unternehmensadministratoren können den Besitz eines Sparplanauftrags übernehmen. Sie können andere Benutzer zu einem Sparplan hinzufügen, indem sie Folgendes verwenden: Zugriffssteuerung (IAM)
Gewähren des Zugriffs mit PowerShell
Benutzer mit Besitzerzugriff für Sparplanaufträge, Benutzer mit erhöhten Zugriffsberechtigungen und Benutzerzugriffsadministratoren können die Zugriffsverwaltung für alle Sparplanaufträge delegieren, auf die sie Zugriff haben.
Zugriff, der mithilfe von PowerShell gewährt wurde, wird im Azure-Portal nicht angezeigt. Verwenden Sie stattdessen den Befehl get-AzRoleAssignment
im folgenden Abschnitt, um zugewiesene Rollen anzuzeigen.
Zuweisen der Besitzerrolle für alle Sparpläne
Verwenden Sie das folgende Azure PowerShell-Skript, um Benutzern RBAC-Zugriff in Azure auf alle Sparplanaufträge in ihren Microsoft Entra-Mandanten (Verzeichnis) zu gewähren:
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.BillingBenefits/savingsPlans?api-version=2022-11-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$savingsPlanObjects = $responseJSON.value
foreach ($savingsPlan in $savingsPlanObjects)
{
$savingsPlanOrderId = $savingsPlan.id.substring(0, 84)
Write-Host "Assigning Owner role assignment to "$savingsPlanOrderId
New-AzRoleAssignment -Scope $savingsPlanOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}
Wenn Sie das PowerShell-Skript zum Zuweisen der Besitzrolle verwenden, und dies erfolgreich ausgeführt wird, wird keine Erfolgsmeldung zurückgegeben.
Parameter
ObjectId: Dies ist die Microsoft Entra-Objekt-ID von Benutzer*innen, der Gruppe oder des Dienstprinzipals
- Typ: Zeichenfolge
- Aliase: Id, PrincipalId
- Position: Benannt
- Standardwert: keiner
- Pipelineeingabe akzeptieren: TRUE
- Platzhalterzeichen akzeptieren: FALSE
TenantId Eindeutiger Bezeichner von Mandant*innen
- Typ: Zeichenfolge
- Position: 5
- Standardwert: keiner
- Pipelineeingabe akzeptieren: FALSE
- Platzhalterzeichen akzeptieren: FALSE
Hinzufügen der Rolle „Sparplanadministrator“ auf Mandantenebene mithilfe eines Azure PowerShell-Skripts
Verwenden Sie das folgende Azure PowerShell-Skript, um die Rolle „Sparplanadministrator“ mit PowerShell auf Mandantenebene hinzuzufügen:
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Administrator"
Parameter
ObjectId: Dies ist die Microsoft Entra-Objekt-ID von Benutzer*innen, der Gruppe oder des Dienstprinzipals
- Typ: Zeichenfolge
- Aliase: Id, PrincipalId
- Position: Benannt
- Standardwert: keiner
- Pipelineeingabe akzeptieren: TRUE
- Platzhalterzeichen akzeptieren: FALSE
TenantId Eindeutiger Bezeichner von Mandant*innen
- Typ: Zeichenfolge
- Position: 5
- Standardwert: keiner
- Pipelineeingabe akzeptieren: FALSE
- Platzhalterzeichen akzeptieren: FALSE
Zuweisen der Rolle „Mitwirkender des Sparplans“ auf Mandantenebene mithilfe eines Azure PowerShell-Skripts
Verwenden Sie das folgende Azure PowerShell-Skript, um die Rolle „Mitwirkender des Sparplans“ mit PowerShell auf Mandantenebene zuzuweisen:
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Contributor"
Parameter
ObjectId: Dies ist die Microsoft Entra-Objekt-ID von Benutzer*innen, der Gruppe oder des Dienstprinzipals
- Typ: Zeichenfolge
- Aliase: Id, PrincipalId
- Position: Benannt
- Standardwert: keiner
- Pipelineeingabe akzeptieren: TRUE
- Platzhalterzeichen akzeptieren: FALSE
TenantId Eindeutiger Bezeichner von Mandant*innen
- Typ: Zeichenfolge
- Position: 5
- Standardwert: keiner
- Pipelineeingabe akzeptieren: FALSE
- Platzhalterzeichen akzeptieren: FALSE
Zuweisen der Rolle „Sparplanleser“ auf Mandantenebene mithilfe eines Azure PowerShell-Skripts
Verwenden Sie das folgende Azure PowerShell-Skript, um die Rolle „Sparplanleser“ mit PowerShell auf Mandantenebene zuzuweisen:
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Reader"
Parameter
ObjectId: Dies ist die Microsoft Entra-Objekt-ID von Benutzer*innen, der Gruppe oder des Dienstprinzipals
- Typ: Zeichenfolge
- Aliase: Id, PrincipalId
- Position: Benannt
- Standardwert: keiner
- Pipelineeingabe akzeptieren: TRUE
- Platzhalterzeichen akzeptieren: FALSE
TenantId Eindeutiger Bezeichner von Mandant*innen
- Typ: Zeichenfolge
- Position: 5
- Standardwert: keiner
- Pipelineeingabe akzeptieren: FALSE
- Platzhalterzeichen akzeptieren: FALSE