Uprawnienia do wyświetlania rezerwacji platformy Azure i zarządzania nimi

W tym artykule wyjaśniono, jak działają uprawnienia rezerwacji oraz jak użytkownicy mogą wyświetlać rezerwacje platformy Azure i zarządzać nimi w witrynie Azure Portal oraz za pomocą programu Azure PowerShell.

Uwaga

Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Aby rozpocząć, zobacz Instalowanie programu Azure PowerShell. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

Kto może domyślnie zarządzać rezerwacją

Domyślnie rezerwacje mogą wyświetlać i zarządzać nimi następujący użytkownicy:

• Do zamówienia rezerwacji jest dodawana osoba, która kupuje rezerwację, i administrator konta subskrypcji rozliczeniowej używanej do zakupu rezerwacji.
• Administratorzy rozliczeń w umowie Enterprise Agreement i umowie klienta firmy Microsoft.
• Użytkownicy z podniesionym poziomem dostępu do zarządzania wszystkimi subskrypcjami platformy Azure i grupami zarządzania.
• Administrator rezerwacji dla rezerwacji w dzierżawie (katalogu) usługi Microsoft Entra
• Czytelnik rezerwacji ma dostęp tylko do odczytu do rezerwacji w dzierżawie (katalogu) usługi Microsoft Entra

Cykl życia rezerwacji jest niezależny od subskrypcji platformy Azure, więc rezerwacja nie jest zasobem w ramach subskrypcji platformy Azure. Jest to zasób na poziomie dzierżawy z własnym uprawnieniem kontroli dostępu na podstawie ról platformy Azure oddzielonym od subskrypcji. Rezerwacje nie dziedziczą uprawnień z subskrypcji po zakupie.

Wyświetlanie rezerwacji i zarządzanie nimi

Jeśli jesteś administratorem rozliczeń, wykonaj następujące kroki, aby wyświetlić wszystkie rezerwacje i transakcje rezerwacji oraz zarządzać nimi w witrynie Azure Portal.

1. Zaloguj się do witryny Azure Portal i przejdź do strony Cost Management + Billing.
   • Jeśli jesteś administratorem umowy EA, w menu po lewej stronie wybierz pozycję Zakresy rozliczeniowe, a następnie na liście zakresów rozliczeniowych wybierz jeden z nich.
   • Jeśli jesteś właścicielem profilu rozliczeniowego Umowy z Klientem Microsoft, w menu po lewej stronie wybierz pozycję Profile rozliczeniowe. Na liście profilów rozliczeniowych wybierz jeden z nich.
2. W menu po lewej stronie wybierz pozycję Produkty i usługi>Rezerwacje.
3. Zostanie wyświetlona pełna lista rezerwacji dla Twoje rejestracji EA lub profilu rozliczeniowego.
4. Administratorzy rozliczeń mogą przejąc rezerwację na własność, wybierając jedną z wielu rezerwacji, wybierając pozycję Udzielenie dostępu i wybierając pozycję Udziel dostępu w oknie, które zostanie wyświetlone. W przypadku Umowa z Klientem Microsoft użytkownik powinien znajdować się w tej samej dzierżawie (katalogu) firmy Microsoft co rezerwacja.

Dodawanie administratorów rozliczeń

Dodaj użytkownika jako administratora rozliczeń do umowy Enterprise Agreement lub Umowy z Klientem Microsoft w witrynie Azure Portal.

• W przypadku umowy Enterprise Agreement dodaj użytkowników z rolą Administrator przedsiębiorstwa, aby wyświetlać wszystkie zamówienia rezerwacji dotyczące umowy Enterprise Agreement i zarządzać nimi. Administratorzy przedsiębiorstwa mogą wyświetlać rezerwacje i zarządzać nimi w usłudze Cost Management + Billing.
  • Użytkownicy z rolą Administrator przedsiębiorstwa (tylko do odczytu) mogą wyświetlać rezerwację tylko z obszaru Zarządzanie kosztami i rozliczenia.
  • Administratorzy działu i właściciele kont nie mogą wyświetlać rezerwacji, o ile nie zostali do nich jawnie dodani przy użyciu funkcji kontroli dostępu (IAM). Aby uzyskać więcej informacji, zobacz Zarządzanie rolami w usłudze Azure Enterprise.
• W przypadku umowy klienta firmy Microsoft użytkownicy z rolą właściciela profilu rozliczeniowego lub współautora profilu rozliczeniowego mogą zarządzać wszystkimi zakupami rezerwacji dokonanymi przy użyciu profilu rozliczeniowego. Czytelnicy profilów rozliczeniowych i menedżerowie faktur mogą wyświetlać wszystkie rezerwacje opłacane za pomocą profilu rozliczeniowego. Jednak nie mogą wprowadzać zmian w rezerwacjach. Aby uzyskać więcej informacji, zobacz Zadania i role profilu rozliczeniowego.

Wyświetlanie rezerwacji przy użyciu dostępu opartej na rolach platformy Azure

Jeśli zakupiono rezerwację lub dodano cię do rezerwacji, wykonaj następujące kroki, aby wyświetlić rezerwacje i zarządzać nimi w witrynie Azure Portal.

1. Zaloguj się w witrynie Azure Portal.
2. Wybierz pozycję Wszystkie rezerwacje usług>, aby wyświetlić listę rezerwacji, do których masz dostęp.

Zarządzanie subskrypcjami i grupami zarządzania z podwyższonym poziomem dostępu

Możesz podwyższyć poziom dostępu użytkownika, aby zarządzać wszystkimi subskrypcjami platformy Azure i grupami zarządzania.

Po podwyższeniu poziomu dostępu:

1. Przejdź do obszaru Wszystkie usługi>Rezerwacja, aby wyświetlić wszystkie rezerwacje, które znajdują się w dzierżawie.
2. Aby wprowadzić modyfikacje rezerwacji, dodaj siebie jako właściciela zamówienia rezerwacji przy użyciu kontroli dostępu (IAM).

Udzielanie dostępu do poszczególnych rezerwacji

Użytkownicy, którzy mają dostęp właściciela do rezerwacji i administratorów rozliczeń, mogą delegować zarządzanie dostępem dla indywidualnego zamówienia rezerwacji w witrynie Azure Portal.

Jeśli chcesz umożliwić innym osobom zarządzanie rezerwacjami, masz dwie możliwości:

• Delegowanie zarządzania dostępem dla indywidualnego zamówienia rezerwacji przez przypisanie roli Właściciela użytkownikowi w zakresie zasobów zamówienia rezerwacji. Jeśli chcesz nadać ograniczony dostęp, wybierz inną rolę.
  Aby uzyskać szczegółowe instrukcje, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

• Dodaj użytkownika jako administratora rozliczeń do umowy Enterprise Agreement lub umowy klienta firmy Microsoft:

  • W przypadku umowy Enterprise Agreement dodaj użytkowników z rolą Administrator przedsiębiorstwa, aby wyświetlać wszystkie zamówienia rezerwacji dotyczące umowy Enterprise Agreement i zarządzać nimi. Użytkownicy z rolą Administrator przedsiębiorstwa (tylko do odczytu) mogą jedynie wyświetlać rezerwację. Administratorzy działu i właściciele kont nie mogą wyświetlać rezerwacji, o ile nie zostali do nich jawnie dodani przy użyciu funkcji kontroli dostępu (IAM). Aby uzyskać więcej informacji, zobacz Zarządzanie rolami w usłudze Azure Enterprise.

    Administratorzy przedsiębiorstwa mogą przejąć na własność zamówienie rezerwacji i dodać do rezerwacji innych użytkowników przy użyciu funkcji kontroli dostępu (IAM).

  • W przypadku umowy klienta firmy Microsoft użytkownicy z rolą właściciela profilu rozliczeniowego lub współautora profilu rozliczeniowego mogą zarządzać wszystkimi zakupami rezerwacji dokonanymi przy użyciu profilu rozliczeniowego. Czytelnicy profilów rozliczeniowych i menedżerowie faktur mogą wyświetlać wszystkie rezerwacje opłacane za pomocą profilu rozliczeniowego. Jednak nie mogą wprowadzać zmian w rezerwacjach. Aby uzyskać więcej informacji, zobacz Zadania i role profilu rozliczeniowego.

Udzielanie dostępu za pomocą programu PowerShell

Użytkownicy, którzy mają dostęp właściciela do zamówień rezerwacji, użytkowników z podwyższonym poziomem dostępu, a administratorzy dostępu użytkowników mogą delegować zarządzanie dostępem dla wszystkich zamówień rezerwacji, do których mają dostęp.

Dostęp udzielony przy użyciu programu PowerShell nie jest wyświetlany w witrynie Azure Portal. Zamiast tego użyjesz get-AzRoleAssignment polecenia w poniższej sekcji, aby wyświetlić przypisane role.

Przypisywanie roli właściciela dla wszystkich rezerwacji

Użyj poniższego skryptu usługi Azure PowerShell, aby udzielić użytkownikowi dostępu Azure RBAC do wszystkich zamówień rezerwacji w dzierżawie (katalogu) usługi Microsoft Entra.

Import-Module Az.Accounts
Import-Module Az.Resources
 
Connect-AzAccount -Tenant <TenantId>
 
$response = Invoke-AzRestMethod -Path /providers/Microsoft.Capacity/reservations?api-version=2020-06-01 -Method GET
 
$responseJSON = $response.Content | ConvertFrom-JSON
 
$reservationObjects = $responseJSON.value
 
foreach ($reservation in $reservationObjects)
{
  $reservationOrderId = $reservation.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$reservationOrderId
  New-AzRoleAssignment -Scope $reservationOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

Gdy używasz skryptu programu PowerShell do przypisywania roli własności i jest ona uruchamiana pomyślnie, komunikat o powodzeniu nie zostanie zwrócony.

Parametry

-ObjectId Microsoft Entra ObjectId użytkownika, grupy lub jednostki usługi.

• Typ: ciąg
• Aliasy: Id, PrincipalId
• Pozycja: nazwane
• Wartość domyślna: Brak
• Akceptowanie danych wejściowych potoku: prawda
• Zaakceptuj symbole wieloznaczne: Fałsz

-TenantId Unikatowy identyfikator dzierżawy.

• Typ: ciąg
• Pozycja: 5
• Wartość domyślna: Brak
• Akceptowanie danych wejściowych potoku: Fałsz
• Zaakceptuj symbole wieloznaczne: Fałsz

Dostęp na poziomie dzierżawy

Uprawnienia administratora dostępu użytkowników są wymagane przed udzieleniem użytkownikom lub grupom ról Administratora rezerwacji i Czytelnika rezerwacji na poziomie dzierżawy. Aby uzyskać prawa administratora dostępu użytkowników na poziomie dzierżawy, wykonaj kroki Podniesienia dostępu.

Dodawanie roli administratora rezerwacji lub roli Czytelnik rezerwacji na poziomie dzierżawy

Tylko administratorzy globalni mogą przypisywać te role z witryny Azure Portal.

1. Zaloguj się do witryny Azure Portal i przejdź do obszaru Rezerwacje.
2. Wybierz rezerwację, do której masz dostęp.
3. Wybierz pozycję Przypisanie roli w górnej części strony.
4. Wybierz kartę Role.
5. Aby wprowadzić modyfikacje, dodaj użytkownika jako Administratora rezerwacji lub Czytelnika rezerwacji przy użyciu Access Control.

Dodawanie roli Administrator rezerwacji na poziomie dzierżawy przy użyciu skryptu programu Azure PowerShell

Użyj następującego skryptu programu Azure PowerShell, aby dodać rolę administratora rezerwacji na poziomie dzierżawy za pomocą programu PowerShell.

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Administrator"

Parametry

-ObjectId Microsoft Entra ObjectId użytkownika, grupy lub jednostki usługi.

• Typ: ciąg
• Aliasy: Id, PrincipalId
• Pozycja: nazwane
• Wartość domyślna: Brak
• Akceptowanie danych wejściowych potoku: prawda
• Zaakceptuj symbole wieloznaczne: Fałsz

-TenantId Unikatowy identyfikator dzierżawy.

• Typ: ciąg
• Pozycja: 5
• Wartość domyślna: Brak
• Akceptowanie danych wejściowych potoku: Fałsz
• Zaakceptuj symbole wieloznaczne: Fałsz

Przypisywanie roli Czytelnik rezerwacji na poziomie dzierżawy przy użyciu skryptu programu Azure PowerShell

Użyj następującego skryptu programu Azure PowerShell, aby przypisać rolę Czytelnik rezerwacji na poziomie dzierżawy za pomocą programu PowerShell.

Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>

New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Reader"

Parametry

-ObjectId Microsoft Entra ObjectId użytkownika, grupy lub jednostki usługi.

• Typ: ciąg
• Aliasy: Id, PrincipalId
• Pozycja: nazwane
• Wartość domyślna: Brak
• Akceptowanie danych wejściowych potoku: prawda
• Zaakceptuj symbole wieloznaczne: Fałsz

-TenantId Unikatowy identyfikator dzierżawy.

• Typ: ciąg
• Pozycja: 5
• Wartość domyślna: Brak
• Akceptowanie danych wejściowych potoku: Fałsz
• Zaakceptuj symbole wieloznaczne: Fałsz

Następne kroki

• Zarządzanie rezerwacjami platformy Azure.