Przypisywanie ról Umowa Enterprise do jednostek usługi
Rejestrację Umowa Enterprise (EA) można zarządzać w witrynie Azure Portal. Możesz tworzyć różne role, aby zarządzać organizacją, wyświetlać koszty i tworzyć subskrypcje. Ten artykuł pomaga zautomatyzować niektóre z tych zadań przy użyciu programu Azure PowerShell i interfejsów API REST z jednostkami usługi Microsoft Entra ID.
Uwaga
Jeśli w organizacji masz wiele kont rozliczeniowych umowy EA, musisz przyznać role UMOWY EA jednostkom usługi Microsoft Entra ID indywidualnie na każdym koncie rozliczeniowym umowy EA.
Przed rozpoczęciem upewnij się, że znasz następujące artykuły:
Potrzebujesz sposobu wywoływania interfejsów API REST. Oto kilka popularnych sposobów wykonywania zapytań dotyczących interfejsu API:
Tworzenie i uwierzytelnianie jednostki usługi
Aby zautomatyzować akcje umowy EA przy użyciu jednostki usługi, należy utworzyć tożsamość aplikacji Entra firmy Microsoft, która może następnie uwierzytelniać się w zautomatyzowany sposób.
Wykonaj kroki opisane w tych artykułach, aby utworzyć i uwierzytelnić się przy użyciu jednostki usługi.
- Tworzenie jednostki usługi
- Pobieranie wartości identyfikatora dzierżawy i aplikacji na potrzeby logowania
Oto przykład strony rejestracji aplikacji.
Znajdowanie jednostki usługi i identyfikatorów dzierżawy
Potrzebujesz identyfikatora obiektu jednostki usługi i identyfikatora dzierżawy. Te informacje są potrzebne do wykonywania operacji przypisywania uprawnień w dalszej części tego artykułu. Wszystkie aplikacje są zarejestrowane w usłudze Microsoft Entra ID w dzierżawie. Dwa typy obiektów są tworzone po zakończeniu rejestracji aplikacji:
- Obiekt aplikacji — identyfikator aplikacji jest widoczny w obszarze Aplikacje dla przedsiębiorstw. Nie używaj identyfikatora do udzielania żadnych ról UMOWY EA.
- Obiekt jednostki usługi — obiekt jednostki usługi jest widoczny w oknie Rejestracja przedsiębiorstwa w identyfikatorze Entra firmy Microsoft. Identyfikator obiektu służy do udzielania ról UMOWY EA jednostce usługi.
Otwórz pozycję Microsoft Entra ID, a następnie wybierz pozycję Aplikacje dla przedsiębiorstw.
Znajdź aplikację na liście.
Wybierz aplikację, aby znaleźć identyfikator aplikacji i identyfikator obiektu:
Przejdź do strony Przegląd identyfikatora entra firmy Microsoft, aby znaleźć identyfikator dzierżawy.
Uwaga
Wartość identyfikatora dzierżawy entra firmy Microsoft wygląda jak identyfikator GUID o następującym formacie: aaaabbbb-0000-cccc-1111-dddd2222eeee
.
Uprawnienia, które można przypisać do jednostki usługi
W dalszej części tego artykułu przyznasz aplikacji Microsoft Entra uprawnienia do działania przy użyciu roli EA. Do jednostki usługi można przypisać tylko następujące role i potrzebujesz identyfikatora definicji roli, dokładnie tak jak pokazano.
Rola | Dozwolone akcje | Identyfikator definicji roli |
---|---|---|
EnrollmentReader | Czytelnicy rejestracji mogą wyświetlać dane w zakresach rejestracji, działu i konta. Dane zawierają opłaty za wszystkie subskrypcje w zakresach, w tym między dzierżawami. Może wyświetlić saldo przedpłaty za platformę Azure (wcześniej nazywane zobowiązaniem pieniężnym) skojarzone z rejestracją. | 24f8edb6-1668-4659-b5e2-40bb5f3a7d7e |
Nabywca EA | Kupowanie zamówień rezerwacji i wyświetlanie transakcji rezerwacji. Ma on wszystkie uprawnienia elementu EnrollmentReader, które mają wszystkie uprawnienia do elementu DepartmentReader. Może wyświetlać użycie i opłaty we wszystkich kontach i subskrypcjach. Może wyświetlić saldo przedpłaty za platformę Azure (wcześniej nazywane zobowiązaniem pieniężnym) skojarzone z rejestracją. | da6647fb-7651-49ee-be91-c43c4877f0c4 |
DepartmentReader | Pobierz szczegóły użycia dla działu, który administrował. Może wyświetlać użycie i opłaty skojarzone z ich działem. | db609904-a47f-4794-9be8-9bd86fbffd8a |
SubscriptionCreator | Utwórz nowe subskrypcje w danym zakresie konta. | a0bcee42-bf30-4d1b-926a-48d21664ef71 |
- Rolę EnrollmentReader można przypisać do jednostki usługi tylko przez użytkownika, który ma rolę składnika zapisywania rejestracji. Rola EnrollmentReader przypisana do jednostki usługi nie jest wyświetlana w witrynie Azure Portal. Jest on tworzony za pomocą środków programowych i jest przeznaczony tylko do programowego użycia.
- Rola DepartmentReader może być przypisana do jednostki usługi tylko przez użytkownika, który ma rolę składnika zapisywania rejestracji lub składnika zapisywania działu.
- Rolę SubscriptionCreator można przypisać do jednostki usługi tylko przez użytkownika, który jest właścicielem konta rejestracji (administrator EA). Rola nie jest wyświetlana w witrynie Azure Portal. Jest on tworzony za pomocą środków programowych i jest przeznaczony tylko do programowego użycia.
- Rola nabywcy umowy EA nie jest wyświetlana w witrynie Azure Portal. Jest on tworzony za pomocą środków programowych i jest przeznaczony tylko do programowego użycia.
W przypadku przyznania roli EA jednostce usługi należy użyć wymaganej billingRoleAssignmentName
właściwości. Parametr jest unikatowym identyfikatorem GUID, który należy podać. Identyfikator GUID można wygenerować przy użyciu polecenia New-Guid programu PowerShell. Możesz również użyć witryny internetowej generatora identyfikatora GUID/UUID online do wygenerowania unikatowego identyfikatora GUID.
Jednostka usługi może mieć tylko jedną rolę.
Przypisywanie uprawnień roli konta rejestracji do jednostki usługi
Przeczytaj artykuł Przypisania ról — umieść interfejs API REST. Podczas czytania artykułu wybierz pozycję Wypróbuj , aby rozpocząć pracę przy użyciu jednostki usługi.
Użyj poświadczeń konta, aby zalogować się do dzierżawy przy użyciu dostępu do rejestracji, który chcesz przypisać.
Podaj następujące parametry w ramach żądania interfejsu API.
billingAccountName
: ten parametr jest identyfikatorem konta rozliczeniowego. Można ją znaleźć w witrynie Azure Portal na stronie Przegląd zarządzania kosztami i rozliczeń .billingRoleAssignmentName
: Ten parametr jest unikatowym identyfikatorem GUID, który należy podać. Identyfikator GUID można wygenerować przy użyciu polecenia New-Guid programu PowerShell. Możesz również użyć witryny internetowej generatora identyfikatora GUID/UUID online do wygenerowania unikatowego identyfikatora GUID.api-version
: użyj wersji 2019-10-01-preview . Użyj przykładowej treści żądania w sekcji Przypisania ról — Put — Przykłady.Treść żądania zawiera kod JSON z trzema parametrami, których należy użyć.
Parametr Gdzie go znaleźć properties.principalId
Jest to wartość identyfikatora obiektu. Zobacz Znajdowanie jednostki usługi i identyfikatorów dzierżawy. properties.principalTenantId
Zobacz Znajdowanie jednostki usługi i identyfikatorów dzierżawy. properties.roleDefinitionId
/providers/Microsoft.Billing/billingAccounts/{BillingAccountName}/billingRoleDefinitions/24f8edb6-1668-4659-b5e2-40bb5f3a7d7e
Nazwa konta rozliczeniowego jest tym samym parametrem, który został użyty w parametrach interfejsu API. Jest to identyfikator rejestracji widoczny w witrynie Azure Portal.
Zwróć uwagę, że
24f8edb6-1668-4659-b5e2-40bb5f3a7d7e
jest to identyfikator definicji roli rozliczeń dla elementu EnrollmentReader.
Wybierz pozycję Uruchom , aby uruchomić polecenie.
200 OK
Odpowiedź pokazuje, że jednostka usługi została pomyślnie dodana.
Teraz możesz użyć jednostki usługi do automatycznego uzyskiwania dostępu do interfejsów API EA. Jednostka usługi ma rolę EnrollmentReader.
Przypisywanie uprawnień roli nabywcy umowy EA do jednostki usługi
W przypadku roli nabywcy umowy EA wykonaj te same kroki dla czytelnika rejestracji. Określ element , używając następującego przykładu roleDefinitionId
:
"/providers/Microsoft.Billing/billingAccounts/1111111/billingRoleDefinitions/ da6647fb-7651-49ee-be91-c43c4877f0c4"
Przypisywanie roli czytelnika działu do jednostki usługi
Zapoznaj się z artykułem Dotyczącym przypisań ról działu rejestracji — umieść interfejs API REST. Podczas czytania artykułu wybierz pozycję Wypróbuj.
Użyj poświadczeń konta, aby zalogować się do dzierżawy przy użyciu dostępu do rejestracji, który chcesz przypisać.
Podaj następujące parametry w ramach żądania interfejsu API.
billingAccountName
: ten parametr jest identyfikatorem konta rozliczeniowego. Można ją znaleźć w witrynie Azure Portal na stronie Przegląd zarządzania kosztami i rozliczeń .billingRoleAssignmentName
: Ten parametr jest unikatowym identyfikatorem GUID, który należy podać. Identyfikator GUID można wygenerować przy użyciu polecenia New-Guid programu PowerShell. Możesz również użyć witryny internetowej generatora identyfikatora GUID/UUID online do wygenerowania unikatowego identyfikatora GUID.departmentName
: ten parametr jest identyfikatorem działu. Identyfikatory działów można zobaczyć w witrynie Azure Portal na stronie Zarządzanie kosztami i rozliczenia.>W tym przykładzie użyliśmy działu ACE. Identyfikator przykładu to
84819
.api-version
: użyj wersji 2019-10-01-preview . Użyj przykładu w sekcji Przypisania ról działu rejestracji — umieść.Treść żądania zawiera kod JSON z trzema parametrami, których należy użyć.
Parametr Gdzie go znaleźć properties.principalId
Jest to wartość identyfikatora obiektu. Zobacz Znajdowanie jednostki usługi i identyfikatorów dzierżawy. properties.principalTenantId
Zobacz Znajdowanie jednostki usługi i identyfikatorów dzierżawy. properties.roleDefinitionId
/providers/Microsoft.Billing/billingAccounts/{BillingAccountName}/billingRoleDefinitions/db609904-a47f-4794-9be8-9bd86fbffd8a
Nazwa konta rozliczeniowego jest tym samym parametrem, który został użyty w parametrach interfejsu API. Jest to identyfikator rejestracji widoczny w witrynie Azure Portal.
Identyfikator
db609904-a47f-4794-9be8-9bd86fbffd8a
definicji roli rozliczeń jest przeznaczony dla czytelnika działu.
Wybierz pozycję Uruchom , aby uruchomić polecenie.
200 OK
Odpowiedź pokazuje, że jednostka usługi została pomyślnie dodana.
Teraz możesz użyć jednostki usługi do automatycznego uzyskiwania dostępu do interfejsów API EA. Jednostka usługi ma rolę DepartmentReader.
Przypisywanie roli twórcy subskrypcji do jednostki usługi
Przeczytaj artykuł Przypisania ról konta rejestracji — umieść artykuł. Podczas czytania wybierz pozycję Wypróbuj , aby przypisać rolę twórcy subskrypcji do jednostki usługi.
Użyj poświadczeń konta, aby zalogować się do dzierżawy przy użyciu dostępu do rejestracji, który chcesz przypisać.
Podaj następujące parametry w ramach żądania interfejsu API. Przeczytaj artykuł w artykule Enrollment Account Role Assignments ( Przypisania ról konta rejestracji — Put — parametry identyfikatora URI).
billingAccountName
: ten parametr jest identyfikatorem konta rozliczeniowego. Można ją znaleźć w witrynie Azure Portal na stronie Przegląd zarządzania kosztami i rozliczeń.billingRoleAssignmentName
: Ten parametr jest unikatowym identyfikatorem GUID, który należy podać. Identyfikator GUID można wygenerować przy użyciu polecenia New-Guid programu PowerShell. Możesz również użyć witryny internetowej generatora identyfikatora GUID/UUID online, aby wygenerować unikatowy identyfikator GUID.enrollmentAccountName
: ten parametr jest identyfikatorem konta. Znajdź identyfikator konta dla nazwy konta w witrynie Azure Portal na stronie Zarządzanie kosztami i rozliczenia .W tym przykładzie użyliśmy elementu
GTM Test Account
. Identyfikator to196987
.api-version
: użyj wersji 2019-10-01-preview . Skorzystaj z przykładu w artykule Enrollment Department Role Assignments (Przypisania ról działu rejestracji — put — przykłady).Treść żądania zawiera kod JSON z trzema parametrami, których należy użyć.
Parametr Gdzie go znaleźć properties.principalId
Jest to wartość identyfikatora obiektu. Zobacz Znajdowanie jednostki usługi i identyfikatorów dzierżawy. properties.principalTenantId
Zobacz Znajdowanie jednostki usługi i identyfikatorów dzierżawy. properties.roleDefinitionId
/providers/Microsoft.Billing/billingAccounts/{BillingAccountID}/enrollmentAccounts/{enrollmentAccountID}/billingRoleDefinitions/a0bcee42-bf30-4d1b-926a-48d21664ef71
Nazwa konta rozliczeniowego jest tym samym parametrem, który został użyty w parametrach interfejsu API. Jest to identyfikator rejestracji widoczny w witrynie Azure Portal.
Identyfikator
a0bcee42-bf30-4d1b-926a-48d21664ef71
definicji roli rozliczeń jest przeznaczony dla roli twórcy subskrypcji.
Wybierz pozycję Uruchom , aby uruchomić polecenie.
200 OK
Odpowiedź pokazuje, że jednostka usługi została pomyślnie dodana.
Teraz możesz użyć jednostki usługi do automatycznego uzyskiwania dostępu do interfejsów API EA. Jednostka usługi ma rolę SubscriptionCreator.
Weryfikowanie przypisań ról jednostki usługi
Przypisania ról jednostki usługi nie są widoczne w witrynie Azure Portal. Możesz wyświetlić przypisania ról konta rejestracji, w tym rolę twórcy subskrypcji, przy użyciu interfejsu API REST (Rozliczenia) przypisania ról rozliczeń — lista według konta rejestracji — interfejs API REST (rozliczenia platformy Azure). Użyj interfejsu API, aby sprawdzić, czy przypisanie roli zakończyło się pomyślnie.
Rozwiązywanie problemów
Musisz zidentyfikować i użyć identyfikatora obiektu aplikacji dla przedsiębiorstw, w którym udzielono roli EA. Jeśli używasz identyfikatora obiektu z innej aplikacji, wywołania interfejsu API kończą się niepowodzeniem. Sprawdź, czy używasz poprawnego identyfikatora obiektu aplikacji dla przedsiębiorstw.
Jeśli podczas wykonywania wywołania interfejsu API wystąpi następujący błąd, może być niepoprawnie używana wartość identyfikatora obiektu jednostki usługi znajdująca się w obszarze Rejestracje aplikacji. Aby rozwiązać ten błąd, upewnij się, że używasz identyfikatora obiektu jednostki usługi z aplikacji dla przedsiębiorstw, a nie rejestracji aplikacji.
The provided principal Tenant Id = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx and principal Object Id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx are not valid
Następne kroki
Rozpocznij pracę z kontem rozliczeniowym Umowa Enterprise.