Toegang verlenen om Azure Enterprise-abonnementen te maken (verouderd)
Als Azure-klant met een Enterprise Agreement (EA) kunt u een andere gebruiker of Service-Principal toestemming geven om abonnementen te maken die aan uw account worden gefactureerd. In dit artikel leert u hoe u op rollen gebaseerd toegangsbeheer (Azure RBAC) van Azure kunt gebruiken om de mogelijkheid te delen om abonnementen te maken, en hoe u het maken van abonnementen kunt controleren. U moet de rol van Eigenaar hebben voor het account dat u wilt delen.
Notitie
- Deze API werkt alleen met de verouderde API's voor het maken van een abonnement.
- Tenzij u een specifieke noodzaak hebt om de verouderde API's te gebruiken, moet u de informatie gebruiken voor de nieuwste GA-versie over de nieuwste API-versie. Zie Roltoewijzingen voor inschrijvingsaccounts: geef toestemming om EA-abonnementen te maken met de nieuwste API.
- Als u migreert om de nieuwere API's te gebruiken, moet u opnieuw eigenaarsmachtigingen toekennen met behulp van 2019-10-01-preview. Uw vorige configuratie met de volgende API's wordt niet automatisch geconverteerd voor het gebruik van nieuwere API's.
Notitie
Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.
Toegang verlenen
Als u abonnementen wilt maken onder een inschrijvingsaccount, moeten gebruikers de Azure RBAC Eigenaar-rol hebben voor dat account. U kunt een gebruiker of een groep gebruikers de Azure RBAC-eigenaarrol verlenen voor een inschrijvingsaccount door de volgende stappen uit te voeren:
Haal de object-ID op van het inschrijvingsaccount waaraan u toegang wilt verlenen
Als u anderen de Azure RBAC-eigenaarrol wilt verlenen voor een inschrijvingsaccount, moet u de Eigenaar van het account of een Azure RBAC-eigenaar van het account zijn.
Vraag een opsomming aan van alle inschrijvingsaccounts waartoe u toegang hebt:
GET https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts?api-version=2018-03-01-previewAzure reageert met een lijst met inschrijvingsaccounts waartoe u toegang hebt:
{ "value": [ { "id": "/providers/Microsoft.Billing/enrollmentAccounts/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb", "name": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb", "type": "Microsoft.Billing/enrollmentAccounts", "properties": { "principalName": "SignUpEngineering@contoso.com" } }, { "id": "/providers/Microsoft.Billing/enrollmentAccounts/4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "name": "4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "type": "Microsoft.Billing/enrollmentAccounts", "properties": { "principalName": "BillingPlatformTeam@contoso.com" } } ] }Gebruik de eigenschap
principalNameom het account te identificeren waaraan u Azure RBAC-eigenaarstoegang wilt verlenen. Kopieer denamevan dat account. Als u bijvoorbeeld RBAC-eigenaarstoegang wilt verlenen aan het SignUpEngineering@contoso.com-inschrijvingsaccount, kopieert uaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb. Dit is de object-id van het inschrijvingsaccount. Plak deze waarde ergens zodat u deze in de volgende stap alsenrollmentAccountObjectIdkunt gebruiken.Gebruik de eigenschap
principalNameom het account te identificeren waaraan u Azure RBAC-eigenaarstoegang wilt verlenen. Kopieer denamevan dat account. Als u bijvoorbeeld RBAC-eigenaarstoegang wilt verlenen aan het SignUpEngineering@contoso.com-inschrijvingsaccount, kopieert uaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb. Dit is de object-id van het inschrijvingsaccount. Plak deze waarde ergens zodat u deze in de volgende stap alsenrollmentAccountObjectIdkunt gebruiken.De object-ID ophalen van de gebruiker of groep waaraan u de Azure RBAC-eigenaarrol wilt toekennen
- Zoek in de Azure-portal op Microsoft Entra ID.
- Als u een gebruiker toegang wilt verlenen, selecteert u Gebruikers in het menu aan de linkerkant. Als u toegang tot een groep wilt verlenen, selecteert u Groepen.
- Selecteer de gebruiker of groep waaraan u de Azure RBAC-eigenaarrol wilt toewijzen.
- Als u een gebruiker hebt geselecteerd, vindt u de object-ID op de profielpagina. Als u een groep hebt geselecteerd, wordt de object-ID op het paginaoverzicht weergegeven. Kopieer de ObjectID door het pictogram rechts van het tekstvak te selecteren. Plak deze ergens zodat u deze als
userObjectIdkunt gebruiken tijdens de volgende stap.
De gebruiker of groep de rol Azure RBAC-eigenaar verlenen in het inschrijvingsaccount
Ken met de waarden die u in de eerste twee stappen hebt verzameld, de gebruiker of groep de rol Azure RBAC-eigenaar toe in het inschrijvingsaccount.
Voer de volgende aanvraag uit en vervang
<enrollmentAccountObjectId>door denamedie u hebt gekopieerd tijdens de eerste stap (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb). Vervang<userObjectId>door de object-ID die u uit de tweede stap hebt gekopieerd.PUT https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleAssignments/<roleAssignmentGuid>?api-version=2015-07-01 { "properties": { "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>", "principalId": "<userObjectId>" } }Wanneer de rol Eigenaar is toegewezen aan het bereik van het inschrijvingsaccount, reageert Azure met informatie van de roltoewijzing:
{ "properties": { "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>", "principalId": "<userObjectId>", "scope": "/providers/Microsoft.Billing/enrollmentAccounts/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb", "createdOn": "2018-03-05T08:36:26.4014813Z", "updatedOn": "2018-03-05T08:36:26.4014813Z", "createdBy": "<assignerObjectId>", "updatedBy": "<assignerObjectId>" }, "id": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>", "type": "Microsoft.Authorization/roleAssignments", "name": "<roleAssignmentGuid>" }
Controleren wie abonnementen heeft gemaakt met behulp van activiteitenlogboeken
Als u de abonnementen die via deze API zijn gemaakt, wilt bijhouden, gebruikt u de Tenant Activity Log API. Het is momenteel niet mogelijk om het maken van abonnementen bij te houden met PowerShell, de CLI of de Azure Portal.
Als tenantbeheerder van de Microsoft Entra-tenant kunt u de toegang uitbreiden en vervolgens de rol Lezer toewijzen aan de controlegebruiker over het bereik
/providers/microsoft.insights/eventtypes/management. Deze toegang is beschikbaar in de rol Lezer, de rol Bewakende inzender of een aangepaste rol.Als controlerende gebruiker roept u de -API voor Tenant activiteiten aan om activiteiten voor het maken van abonnementen weer te geven. Voorbeeld:
GET "/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '{greaterThanTimeStamp}' and eventTimestamp le '{lessThanTimestamp}' and eventChannels eq 'Operation' and resourceProvider eq 'Microsoft.Subscription'"
Probeer ARMClient om deze API eenvoudig aan te roepen vanaf de opdrachtregel.
Gerelateerde inhoud
- Nu de gebruiker of Service-Principal gemachtigd is om een abonnement te maken, kunt u die identiteit gebruiken om programmatisch Azure Enterprise-abonnementen te maken.
- Zie voorbeeldcode op GitHub voor een voorbeeld voor het maken van abonnementen met behulp van .NET.
- Zie Overzicht Azure Resource Manager voor meer informatie over Azure Resource Manager en zijn API’s.
- Zie Resources organiseren met Azure-beheergroepen voor meer informatie over het beheren van grote aantallen abonnementen met behulp van beheergroepen
- Zie voor uitgebreide best practice richtlijnen voor grote organisaties op het beheer van abonnementen Azure Enterprise-steiger - voorschrijvende abonnementsgovernance