Uprawnienia do wyświetlania rezerwacji platformy Azure i zarządzania nimi.
W tym artykule wyjaśniono, jak działają uprawnienia rezerwacji oraz jak użytkownicy mogą wyświetlać rezerwacje platformy Azure i zarządzać nimi w witrynie Azure Portal oraz za pomocą programu Azure PowerShell.
Uwaga
Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.
Kto może domyślnie zarządzać rezerwacją
Domyślnie rezerwacje mogą wyświetlać i zarządzać nimi następujący użytkownicy:
- Do zamówienia rezerwacji jest dodawana osoba, która kupuje rezerwację, i administrator konta subskrypcji rozliczeniowej używanej do zakupu rezerwacji.
- Administratorzy rozliczeń w umowie Enterprise Agreement i umowie klienta firmy Microsoft.
- Użytkownicy z podniesionym poziomem dostępu do zarządzania wszystkimi subskrypcjami platformy Azure i grupami zarządzania.
- Administrator rezerwacji dla rezerwacji w dzierżawie (katalogu) usługi Microsoft Entra
- Czytelnik rezerwacji ma dostęp tylko do odczytu do rezerwacji w dzierżawie (katalogu) usługi Microsoft Entra
Cykl życia rezerwacji jest niezależny od subskrypcji platformy Azure, a więc rejestracja nie jest zasobem w ramach subskrypcji platformy Azure. Jest to zasób na poziomie dzierżawy z własnym uprawnieniem kontroli dostępu na podstawie ról platformy Azure oddzielonym od subskrypcji. Rezerwacje nie dziedziczą uprawnień z subskrypcji po zakupie.
Wyświetlanie rezerwacji i zarządzanie nimi
Jeśli jesteś administratorem rozliczeń, wykonaj następujące kroki, aby wyświetlić wszystkie rezerwacje i transakcje rezerwacji oraz zarządzać nimi w witrynie Azure Portal.
- Zaloguj się do witryny Azure Portal i przejdź do strony Cost Management + Billing.
- Jeśli jesteś administratorem umowy EA, z menu po lewej stronie wybierz pozycję Zakresy rozliczeniowe, a następnie wybierz jeden z zakresów rozliczeniowych z listy.
- Jeśli jesteś właścicielem profilu rozliczeniowego Umowy z Klientem Microsoft, w menu po lewej stronie wybierz pozycję Profile rozliczeniowe. Na liście profilów rozliczeniowych wybierz jeden z nich.
- W menu po lewej stronie wybierz pozycję Produkty i usługi>Rezerwacje.
- Zostanie wyświetlona pełna lista rezerwacji dla Twoje rejestracji EA lub profilu rozliczeniowego.
- Administratorzy rozliczeń mogą przejąc rezerwację na własność, wybierając jedną z wielu rezerwacji, wybierając pozycję Udzielenie dostępu i wybierając pozycję Udziel dostępu w oknie, które zostanie wyświetlone. W przypadku Umowy z Klientem Microsoft użytkownik powinien znajdować się w tej samej dzierżawie (katalogu) Microsoft Entra co rezerwacja.
Dodawanie administratorów rozliczeń
Dodaj użytkownika jako administratora rozliczeń do umowy Enterprise Agreement lub Umowy z Klientem Microsoft w witrynie Azure Portal.
- W przypadku umowy Enterprise Agreement dodaj użytkowników z rolą Administrator przedsiębiorstwa, aby wyświetlać wszystkie zamówienia rezerwacji dotyczące umowy Enterprise Agreement i zarządzać nimi. Administratorzy przedsiębiorstwa mogą wyświetlać rezerwacje i zarządzać nimi w obszarze Cost Management + Billing.
- Użytkownicy w roli Administratora Enterprise (tylko do odczytu) mogą tylko wyświetlać rezerwację z sekcji Cost Management + Billing.
- Administratorzy działu i właściciele kont nie mogą wyświetlać rezerwacji, o ile nie zostali do nich jawnie dodani przy użyciu funkcji kontroli dostępu (IAM). Aby uzyskać więcej informacji, zobacz Zarządzanie rolami w usłudze Azure Enterprise.
- W przypadku umowy klienta firmy Microsoft użytkownicy z rolą właściciela profilu rozliczeniowego lub współautora profilu rozliczeniowego mogą zarządzać wszystkimi zakupami rezerwacji dokonanymi przy użyciu profilu rozliczeniowego. Czytelnicy profilów rozliczeniowych i menedżerowie faktur mogą wyświetlać wszystkie rezerwacje opłacane za pomocą profilu rozliczeniowego. Jednak nie mogą wprowadzać zmian w rezerwacjach. Aby uzyskać więcej informacji, zobacz Zadania i role profilu rozliczeniowego.
Wyświetlanie rezerwacji przy użyciu dostępu opartym na rolach platformy Azure (Azure RBAC)
Jeśli zakupiono rezerwację lub dodano Cię do rezerwacji, wykonaj następujące kroki, aby wyświetlić rezerwacje i zarządzać nimi w witrynie Azure Portal.
- Zaloguj się w witrynie Azure Portal.
- Wybierz pozycję Wszystkie usługi>Rezerwacje w celu wyświetlenia listy rezerwacji, do których masz dostęp.
Zarządzanie subskrypcjami i grupami zarządzania z podwyższonym poziomem dostępu
Możesz podwyższyć poziom dostępu użytkownika, aby zarządzać wszystkimi subskrypcjami platformy Azure i grupami zarządzania.
Po podwyższeniu poziomu dostępu:
- Przejdź do obszaru Wszystkie usługi>Rezerwacja, aby wyświetlić wszystkie rezerwacje, które znajdują się w dzierżawie.
- Aby wprowadzić modyfikacje rezerwacji, dodaj siebie jako właściciela zamówienia rezerwacji przy użyciu Kontroli dostępu (Zarządzanie dostępem i tożsamościami).
Udzielanie dostępu do poszczególnych rezerwacji
Użytkownicy z dostępem właściciela do rezerwacji oraz administratorzy rozliczeń mogą delegować zarządzanie dostępem do indywidualnego zamówienia rezerwacji w witrynie Azure Portal.
Jeśli chcesz umożliwić innym osobom zarządzanie rezerwacjami, masz dwie możliwości:
Delegowanie zarządzania dostępem dla indywidualnego zamówienia rezerwacji przez przypisanie roli właściciela do użytkownika w zakresie zasobów zamówienia rezerwacji. Jeśli chcesz nadać ograniczony dostęp, wybierz inną rolę.
Aby uzyskać szczegółowe instrukcje, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.Dodaj użytkownika jako administratora rozliczeń do umowy Enterprise Agreement lub umowy klienta firmy Microsoft:
W przypadku umowy Enterprise Agreement dodaj użytkowników z rolą Administrator przedsiębiorstwa, aby wyświetlać wszystkie zamówienia rezerwacji dotyczące umowy Enterprise Agreement i zarządzać nimi. Użytkownicy z rolą Administrator przedsiębiorstwa (tylko do odczytu) mogą jedynie wyświetlać rezerwację. Administratorzy działu i właściciele kont nie mogą wyświetlać rezerwacji, o ile nie zostali do nich jawnie dodani przy użyciu funkcji kontroli dostępu (IAM). Aby uzyskać więcej informacji, zobacz Zarządzanie rolami w usłudze Azure Enterprise.
Administratorzy przedsiębiorstwa mogą przejąć na własność zamówienie rezerwacji i dodać do rezerwacji innych użytkowników przy użyciu funkcji kontroli dostępu (IAM).
W przypadku umowy klienta firmy Microsoft użytkownicy z rolą właściciela profilu rozliczeniowego lub współautora profilu rozliczeniowego mogą zarządzać wszystkimi zakupami rezerwacji dokonanymi przy użyciu profilu rozliczeniowego. Czytelnicy profilów rozliczeniowych i menedżerowie faktur mogą wyświetlać wszystkie rezerwacje opłacane za pomocą profilu rozliczeniowego. Jednak nie mogą wprowadzać zmian w rezerwacjach. Aby uzyskać więcej informacji, zobacz Zadania i role profilu rozliczeniowego.
Udzielanie dostępu za pomocą programu PowerShell
Użytkownicy, którzy mają dostęp właściciela do zamówień rezerwacji, użytkowników z podwyższonym poziomem dostępu, a administratorzy dostępu użytkowników mogą delegować zarządzanie dostępem dla wszystkich zamówień rezerwacji, do których mają dostęp.
Dostęp udzielony przy użyciu programu PowerShell nie jest wyświetlany w witrynie Azure Portal. Zamiast tego użyjesz get-AzRoleAssignment
polecenia w poniższej sekcji, aby wyświetlić przypisane role.
Przypisywanie roli właściciela dla wszystkich rezerwacji
Użyj poniższego skryptu usługi Azure PowerShell, aby udzielić użytkownikowi dostępu Azure RBAC do wszystkich zamówień rezerwacji w dzierżawie (katalogu) usługi Microsoft Entra.
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.Capacity/reservations?api-version=2020-06-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$reservationObjects = $responseJSON.value
foreach ($reservation in $reservationObjects)
{
$reservationOrderId = $reservation.id.substring(0, 84)
Write-Host "Assigning Owner role assignment to "$reservationOrderId
New-AzRoleAssignment -Scope $reservationOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}
Gdy używasz skryptu programu PowerShell do przypisywania roli własności i jest ona uruchamiana pomyślnie, komunikat o powodzeniu nie zostanie zwrócony.
Parametry
-ObjectId Microsoft Entra ObjectId użytkownika, grupy lub jednostki usługi.
- Typ: ciąg
- Aliasy: Id, PrincipalId
- Pozycja: nazwane
- Wartość domyślna: Brak
- Akceptowanie danych wejściowych potoku: prawda
- Zaakceptuj symbole wieloznaczne: Fałsz
-TenantId Unikatowy identyfikator dzierżawy.
- Typ: ciąg
- Pozycja: 5
- Wartość domyślna: Brak
- Akceptowanie danych wejściowych potoku: Fałsz
- Zaakceptuj symbole wieloznaczne: Fałsz
Dostęp na poziomie dzierżawy
Uprawnienia administratora dostępu użytkowników są wymagane przed udzieleniem użytkownikom lub grupom ról Administratora rezerwacji i Czytelnika rezerwacji na poziomie dzierżawy. Aby uzyskać prawa administratora dostępu użytkowników na poziomie dzierżawy, wykonaj kroki Podniesienia dostępu.
Dodawanie roli Administratora rezerwacji lub Czytelnik rezerwacji na poziomie dzierżawy
Tylko administratorzy globalni mogą przypisywać te role z witryny Azure Portal.
- Zaloguj się do witryny Azure Portal i przejdź do obszaru Rezerwacje.
- Wybierz rezerwację, do której masz dostęp.
- Wybierz pozycję Przypisanie roli w górnej części strony.
- Wybierz kartę Role.
- Aby wprowadzić modyfikacje, dodaj użytkownika jako Administratora rezerwacji lub Czytelnika rezerwacji przy użyciu Access Control.
Dodawanie roli Administrator rezerwacji na poziomie dzierżawy przy użyciu skryptu programu Azure PowerShell
Użyj następującego skryptu programu Azure PowerShell, aby dodać rolę administratora rezerwacji na poziomie dzierżawy za pomocą programu PowerShell.
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Administrator"
Parametry
-ObjectId Microsoft Entra ObjectId użytkownika, grupy lub jednostki usługi.
- Typ: ciąg
- Aliasy: Id, PrincipalId
- Pozycja: nazwane
- Wartość domyślna: Brak
- Akceptowanie danych wejściowych potoku: prawda
- Zaakceptuj symbole wieloznaczne: Fałsz
-TenantId Unikatowy identyfikator dzierżawy.
- Typ: ciąg
- Pozycja: 5
- Wartość domyślna: Brak
- Akceptowanie danych wejściowych potoku: Fałsz
- Zaakceptuj symbole wieloznaczne: Fałsz
Przypisywanie roli Czytelnik rezerwacji na poziomie dzierżawy przy użyciu skryptu programu Azure PowerShell
Użyj następującego skryptu programu Azure PowerShell, aby przypisać rolę Czytelnik rezerwacji na poziomie dzierżawy za pomocą programu PowerShell.
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Reader"
Parametry
-ObjectId Microsoft Entra ObjectId użytkownika, grupy lub jednostki usługi.
- Typ: ciąg
- Aliasy: Id, PrincipalId
- Pozycja: nazwane
- Wartość domyślna: Brak
- Akceptowanie danych wejściowych potoku: prawda
- Zaakceptuj symbole wieloznaczne: Fałsz
-TenantId Unikatowy identyfikator dzierżawy.
- Typ: ciąg
- Pozycja: 5
- Wartość domyślna: Brak
- Akceptowanie danych wejściowych potoku: Fałsz
- Zaakceptuj symbole wieloznaczne: Fałsz