Udostępnij za pośrednictwem

Przypisywanie ról Umowa Enterprise do jednostek usługi

  • Artykuł

Rejestrację Umowa Enterprise (EA) można zarządzać w witrynie Azure Portal. Możesz tworzyć różne role, aby zarządzać organizacją, wyświetlać koszty i tworzyć subskrypcje. Ten artykuł pomaga zautomatyzować niektóre z tych zadań przy użyciu programu Azure PowerShell i interfejsów API REST z jednostkami usługi Microsoft Entra ID.

Uwaga

Jeśli w organizacji masz wiele kont rozliczeniowych umowy EA, musisz przyznać role UMOWY EA jednostkom usługi Microsoft Entra ID indywidualnie na każdym koncie rozliczeniowym umowy EA.

Przed rozpoczęciem upewnij się, że znasz następujące artykuły:

Potrzebujesz sposobu wywoływania interfejsów API REST. Oto kilka popularnych sposobów wykonywania zapytań dotyczących interfejsu API:

Tworzenie i uwierzytelnianie jednostki usługi

Aby zautomatyzować akcje umowy EA przy użyciu jednostki usługi, należy utworzyć tożsamość aplikacji Entra firmy Microsoft, która może następnie uwierzytelniać się w zautomatyzowany sposób.

Wykonaj kroki opisane w tych artykułach, aby utworzyć i uwierzytelnić się przy użyciu jednostki usługi.

Oto przykład strony rejestracji aplikacji.

Zrzut ekranu przedstawiający rejestrowanie aplikacji.

Znajdowanie jednostki usługi i identyfikatorów dzierżawy

Potrzebujesz identyfikatora obiektu jednostki usługi i identyfikatora dzierżawy. Te informacje są potrzebne do wykonywania operacji przypisywania uprawnień w dalszej części tego artykułu. Wszystkie aplikacje są zarejestrowane w usłudze Microsoft Entra ID w dzierżawie. Dwa typy obiektów są tworzone po zakończeniu rejestracji aplikacji:

  • Obiekt aplikacji — identyfikator aplikacji jest widoczny w obszarze Aplikacje dla przedsiębiorstw. Nie używaj identyfikatora do udzielania żadnych ról UMOWY EA.
  • Obiekt jednostki usługi — obiekt jednostki usługi jest widoczny w oknie Rejestracja przedsiębiorstwa w identyfikatorze Entra firmy Microsoft. Identyfikator obiektu służy do udzielania ról UMOWY EA jednostce usługi.

  1. Otwórz pozycję Microsoft Entra ID, a następnie wybierz pozycję Aplikacje dla przedsiębiorstw.

  2. Znajdź aplikację na liście.

    Zrzut ekranu przedstawiający przykładową aplikację dla przedsiębiorstw.

  3. Wybierz aplikację, aby znaleźć identyfikator aplikacji i identyfikator obiektu:

    Zrzut ekranu przedstawiający identyfikator aplikacji i identyfikator obiektu dla aplikacji dla przedsiębiorstw.

  4. Przejdź do strony Przegląd identyfikatora entra firmy Microsoft, aby znaleźć identyfikator dzierżawy.

    Zrzut ekranu przedstawiający identyfikator dzierżawy.

Uwaga

Wartość identyfikatora dzierżawy entra firmy Microsoft wygląda jak identyfikator GUID o następującym formacie: aaaabbbb-0000-cccc-1111-dddd2222eeee.

Uprawnienia, które można przypisać do jednostki usługi

W dalszej części tego artykułu przyznasz aplikacji Microsoft Entra uprawnienia do działania przy użyciu roli EA. Do jednostki usługi można przypisać tylko następujące role i potrzebujesz identyfikatora definicji roli, dokładnie tak jak pokazano.

Rola Dozwolone akcje Identyfikator definicji roli
EnrollmentReader Czytelnicy rejestracji mogą wyświetlać dane w zakresach rejestracji, działu i konta. Dane zawierają opłaty za wszystkie subskrypcje w zakresach, w tym między dzierżawami. Może wyświetlić saldo przedpłaty za platformę Azure (wcześniej nazywane zobowiązaniem pieniężnym) skojarzone z rejestracją. 24f8edb6-1668-4659-b5e2-40bb5f3a7d7e
Nabywca EA Kupowanie zamówień rezerwacji i wyświetlanie transakcji rezerwacji. Ma on wszystkie uprawnienia elementu EnrollmentReader, które mają wszystkie uprawnienia do elementu DepartmentReader. Może wyświetlać użycie i opłaty we wszystkich kontach i subskrypcjach. Może wyświetlić saldo przedpłaty za platformę Azure (wcześniej nazywane zobowiązaniem pieniężnym) skojarzone z rejestracją. da6647fb-7651-49ee-be91-c43c4877f0c4
DepartmentReader Pobierz szczegóły użycia dla działu, który administrował. Może wyświetlać użycie i opłaty skojarzone z ich działem. db609904-a47f-4794-9be8-9bd86fbffd8a
SubscriptionCreator Utwórz nowe subskrypcje w danym zakresie konta. a0bcee42-bf30-4d1b-926a-48d21664ef71
  • Rolę EnrollmentReader można przypisać do jednostki usługi tylko przez użytkownika, który ma rolę składnika zapisywania rejestracji. Rola EnrollmentReader przypisana do jednostki usługi nie jest wyświetlana w witrynie Azure Portal. Jest on tworzony za pomocą środków programowych i jest przeznaczony tylko do programowego użycia.
  • Rola DepartmentReader może być przypisana do jednostki usługi tylko przez użytkownika, który ma rolę składnika zapisywania rejestracji lub składnika zapisywania działu.
  • Rolę SubscriptionCreator można przypisać do jednostki usługi tylko przez użytkownika, który jest właścicielem konta rejestracji (administrator EA). Rola nie jest wyświetlana w witrynie Azure Portal. Jest on tworzony za pomocą środków programowych i jest przeznaczony tylko do programowego użycia.
  • Rola nabywcy umowy EA nie jest wyświetlana w witrynie Azure Portal. Jest on tworzony za pomocą środków programowych i jest przeznaczony tylko do programowego użycia.

W przypadku przyznania roli EA jednostce usługi należy użyć wymaganej billingRoleAssignmentName właściwości. Parametr jest unikatowym identyfikatorem GUID, który należy podać. Identyfikator GUID można wygenerować przy użyciu polecenia New-Guid programu PowerShell. Możesz również użyć witryny internetowej generatora identyfikatora GUID/UUID online do wygenerowania unikatowego identyfikatora GUID.

Jednostka usługi może mieć tylko jedną rolę.

Przypisywanie uprawnień roli konta rejestracji do jednostki usługi

  1. Przeczytaj artykuł Przypisania ról — umieść interfejs API REST. Podczas czytania artykułu wybierz pozycję Wypróbuj , aby rozpocząć pracę przy użyciu jednostki usługi.

    Zrzut ekranu przedstawiający opcję Wypróbuj w artykule Put.

  2. Użyj poświadczeń konta, aby zalogować się do dzierżawy przy użyciu dostępu do rejestracji, który chcesz przypisać.

  3. Podaj następujące parametry w ramach żądania interfejsu API.

    • billingAccountName: ten parametr jest identyfikatorem konta rozliczeniowego. Można ją znaleźć w witrynie Azure Portal na stronie Przegląd zarządzania kosztami i rozliczeń .

      Zrzut ekranu przedstawiający identyfikator konta rozliczeniowego.

    • billingRoleAssignmentName: Ten parametr jest unikatowym identyfikatorem GUID, który należy podać. Identyfikator GUID można wygenerować przy użyciu polecenia New-Guid programu PowerShell. Możesz również użyć witryny internetowej generatora identyfikatora GUID/UUID online do wygenerowania unikatowego identyfikatora GUID.

    • api-version: użyj wersji 2019-10-01-preview . Użyj przykładowej treści żądania w sekcji Przypisania ról — Put — Przykłady.

      Treść żądania zawiera kod JSON z trzema parametrami, których należy użyć.

      Parametr Gdzie go znaleźć
      properties.principalId Jest to wartość identyfikatora obiektu. Zobacz Znajdowanie jednostki usługi i identyfikatorów dzierżawy.
      properties.principalTenantId Zobacz Znajdowanie jednostki usługi i identyfikatorów dzierżawy.
      properties.roleDefinitionId /providers/Microsoft.Billing/billingAccounts/{BillingAccountName}/billingRoleDefinitions/24f8edb6-1668-4659-b5e2-40bb5f3a7d7e

      Nazwa konta rozliczeniowego jest tym samym parametrem, który został użyty w parametrach interfejsu API. Jest to identyfikator rejestracji widoczny w witrynie Azure Portal.

      Zwróć uwagę, że 24f8edb6-1668-4659-b5e2-40bb5f3a7d7e jest to identyfikator definicji roli rozliczeń dla elementu EnrollmentReader.

  4. Wybierz pozycję Uruchom , aby uruchomić polecenie.

    Zrzut ekranu przedstawiający przykładowe przypisanie roli z przykładowymi informacjami gotowymi do uruchomienia.

    200 OK Odpowiedź pokazuje, że jednostka usługi została pomyślnie dodana.

Teraz możesz użyć jednostki usługi do automatycznego uzyskiwania dostępu do interfejsów API EA. Jednostka usługi ma rolę EnrollmentReader.

Przypisywanie uprawnień roli nabywcy umowy EA do jednostki usługi

W przypadku roli nabywcy umowy EA wykonaj te same kroki dla czytelnika rejestracji. Określ element , używając następującego przykładu roleDefinitionId:

"/providers/Microsoft.Billing/billingAccounts/1111111/billingRoleDefinitions/ da6647fb-7651-49ee-be91-c43c4877f0c4"

Przypisywanie roli czytelnika działu do jednostki usługi

  1. Zapoznaj się z artykułem Dotyczącym przypisań ról działu rejestracji — umieść interfejs API REST. Podczas czytania artykułu wybierz pozycję Wypróbuj.

    Zrzut ekranu przedstawiający opcję Wypróbuj w artykule Put przypisania ról działu rejestracji.

  2. Użyj poświadczeń konta, aby zalogować się do dzierżawy przy użyciu dostępu do rejestracji, który chcesz przypisać.

  3. Podaj następujące parametry w ramach żądania interfejsu API.

    • billingAccountName: ten parametr jest identyfikatorem konta rozliczeniowego. Można ją znaleźć w witrynie Azure Portal na stronie Przegląd zarządzania kosztami i rozliczeń .

      Zrzut ekranu przedstawiający identyfikator konta rozliczeniowego.

    • billingRoleAssignmentName: Ten parametr jest unikatowym identyfikatorem GUID, który należy podać. Identyfikator GUID można wygenerować przy użyciu polecenia New-Guid programu PowerShell. Możesz również użyć witryny internetowej generatora identyfikatora GUID/UUID online do wygenerowania unikatowego identyfikatora GUID.

    • departmentName: ten parametr jest identyfikatorem działu. Identyfikatory działów można zobaczyć w witrynie Azure Portal na stronie Zarządzanie kosztami i rozliczenia.>

      W tym przykładzie użyliśmy działu ACE. Identyfikator przykładu to 84819.

      Zrzut ekranu przedstawiający przykładowy identyfikator działu.

    • api-version: użyj wersji 2019-10-01-preview . Użyj przykładu w sekcji Przypisania ról działu rejestracji — umieść.

      Treść żądania zawiera kod JSON z trzema parametrami, których należy użyć.

      Parametr Gdzie go znaleźć
      properties.principalId Jest to wartość identyfikatora obiektu. Zobacz Znajdowanie jednostki usługi i identyfikatorów dzierżawy.
      properties.principalTenantId Zobacz Znajdowanie jednostki usługi i identyfikatorów dzierżawy.
      properties.roleDefinitionId /providers/Microsoft.Billing/billingAccounts/{BillingAccountName}/billingRoleDefinitions/db609904-a47f-4794-9be8-9bd86fbffd8a

      Nazwa konta rozliczeniowego jest tym samym parametrem, który został użyty w parametrach interfejsu API. Jest to identyfikator rejestracji widoczny w witrynie Azure Portal.

      Identyfikator db609904-a47f-4794-9be8-9bd86fbffd8a definicji roli rozliczeń jest przeznaczony dla czytelnika działu.

  4. Wybierz pozycję Uruchom , aby uruchomić polecenie.

    Zrzut ekranu przedstawiający przykładowe przypisania ról działu rejestracji — umieść aplikację REST Try It z przykładowymi informacjami gotowymi do uruchomienia.

    200 OK Odpowiedź pokazuje, że jednostka usługi została pomyślnie dodana.

Teraz możesz użyć jednostki usługi do automatycznego uzyskiwania dostępu do interfejsów API EA. Jednostka usługi ma rolę DepartmentReader.

Przypisywanie roli twórcy subskrypcji do jednostki usługi

  1. Przeczytaj artykuł Przypisania ról konta rejestracji — umieść artykuł. Podczas czytania wybierz pozycję Wypróbuj , aby przypisać rolę twórcy subskrypcji do jednostki usługi.

    Zrzut ekranu przedstawiający opcję Wypróbuj w artykule Put przypisania ról konta rejestracji.

  2. Użyj poświadczeń konta, aby zalogować się do dzierżawy przy użyciu dostępu do rejestracji, który chcesz przypisać.

  3. Podaj następujące parametry w ramach żądania interfejsu API. Przeczytaj artykuł w artykule Enrollment Account Role Assignments ( Przypisania ról konta rejestracji — Put — parametry identyfikatora URI).

    • billingAccountName: ten parametr jest identyfikatorem konta rozliczeniowego. Można ją znaleźć w witrynie Azure Portal na stronie Przegląd zarządzania kosztami i rozliczeń.

      Zrzut ekranu przedstawiający identyfikator konta rozliczeniowego.

    • billingRoleAssignmentName: Ten parametr jest unikatowym identyfikatorem GUID, który należy podać. Identyfikator GUID można wygenerować przy użyciu polecenia New-Guid programu PowerShell. Możesz również użyć witryny internetowej generatora identyfikatora GUID/UUID online, aby wygenerować unikatowy identyfikator GUID.

    • enrollmentAccountName: ten parametr jest identyfikatorem konta. Znajdź identyfikator konta dla nazwy konta w witrynie Azure Portal na stronie Zarządzanie kosztami i rozliczenia .

      W tym przykładzie użyliśmy elementu GTM Test Account. Identyfikator to 196987.

      Zrzut ekranu przedstawiający identyfikator konta.

    • api-version: użyj wersji 2019-10-01-preview . Skorzystaj z przykładu w artykule Enrollment Department Role Assignments (Przypisania ról działu rejestracji — put — przykłady).

      Treść żądania zawiera kod JSON z trzema parametrami, których należy użyć.

      Parametr Gdzie go znaleźć
      properties.principalId Jest to wartość identyfikatora obiektu. Zobacz Znajdowanie jednostki usługi i identyfikatorów dzierżawy.
      properties.principalTenantId Zobacz Znajdowanie jednostki usługi i identyfikatorów dzierżawy.
      properties.roleDefinitionId /providers/Microsoft.Billing/billingAccounts/{BillingAccountID}/enrollmentAccounts/{enrollmentAccountID}/billingRoleDefinitions/a0bcee42-bf30-4d1b-926a-48d21664ef71

      Nazwa konta rozliczeniowego jest tym samym parametrem, który został użyty w parametrach interfejsu API. Jest to identyfikator rejestracji widoczny w witrynie Azure Portal.

      Identyfikator a0bcee42-bf30-4d1b-926a-48d21664ef71 definicji roli rozliczeń jest przeznaczony dla roli twórcy subskrypcji.

  4. Wybierz pozycję Uruchom , aby uruchomić polecenie.

    Zrzut ekranu przedstawiający opcję Wypróbuj w artykule Przypisania ról konta rejestracji — put.

    200 OK Odpowiedź pokazuje, że jednostka usługi została pomyślnie dodana.

Teraz możesz użyć jednostki usługi do automatycznego uzyskiwania dostępu do interfejsów API EA. Jednostka usługi ma rolę SubscriptionCreator.

Weryfikowanie przypisań ról jednostki usługi

Przypisania ról jednostki usługi nie są widoczne w witrynie Azure Portal. Możesz wyświetlić przypisania ról konta rejestracji, w tym rolę twórcy subskrypcji, przy użyciu interfejsu API REST (Rozliczenia) przypisania ról rozliczeń — lista według konta rejestracji — interfejs API REST (rozliczenia platformy Azure). Użyj interfejsu API, aby sprawdzić, czy przypisanie roli zakończyło się pomyślnie.

Rozwiązywanie problemów

Musisz zidentyfikować i użyć identyfikatora obiektu aplikacji dla przedsiębiorstw, w którym udzielono roli EA. Jeśli używasz identyfikatora obiektu z innej aplikacji, wywołania interfejsu API kończą się niepowodzeniem. Sprawdź, czy używasz poprawnego identyfikatora obiektu aplikacji dla przedsiębiorstw.

Jeśli podczas wykonywania wywołania interfejsu API wystąpi następujący błąd, może być niepoprawnie używana wartość identyfikatora obiektu jednostki usługi znajdująca się w obszarze Rejestracje aplikacji. Aby rozwiązać ten błąd, upewnij się, że używasz identyfikatora obiektu jednostki usługi z aplikacji dla przedsiębiorstw, a nie rejestracji aplikacji.

The provided principal Tenant Id = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx and principal Object Id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx are not valid

Następne kroki

Rozpocznij pracę z kontem rozliczeniowym Umowa Enterprise.