Partilhar via


Permissões para ver e gerir reservas do Azure

Este artigo explica como as permissões de reserva funcionam e como os usuários podem exibir e gerenciar reservas do Azure no portal do Azure e com o Azure PowerShell.

Nota

Recomendamos que utilize o módulo Azure Az do PowerShell para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.

Quem pode gerir reservas por predefinição

Por predefinição, os utilizadores seguintes podem ver e gerir as reservas:

  • A pessoa que comprar uma reserva e o administrador de conta da subscrição de faturação utilizada para a compra são adicionados à encomenda da reserva.
  • Administradores de faturação do Contrato Enterprise e do Contrato de Cliente Microsoft.
  • Utilizadores com acesso melhorado para gerir todos os grupos de gestão e subscrições do Azure
  • Um Administrador de reservas para as reservas do seu inquilino do Microsoft Entra (diretório)
  • Um Leitor de reservas tem acesso só de leitura às reservas no inquilino do Microsoft Entra (diretório)

O ciclo de vida da reserva é independente de uma subscrição do Azure, logo a reserva não é um recurso da subscrição do Azure. Em vez disso, é um recurso ao nível do inquilino com a sua própria permissão RBAC do Azure independente de subscrições. As reservas não herdam permissões de subscrições após a compra.

Ver e gerir reservas

Se você for um administrador de cobrança, use as etapas a seguir para exibir e gerenciar todas as reservas e transações de reserva no portal do Azure.

  1. Iniciar sessão no portal do Azure e navegar para Cost Management + Faturação.
    • Se for administrador EA, no menu esquerdo, selecione Âmbitos de faturação e, em seguida, selecione um na lista de âmbitos da faturação.
    • Se tiver um perfil de faturação do Contrato de Cliente Microsoft, no menu do lado esquerdo, selecione Perfis de faturação. Na lista de perfis de faturação, selecione um.
  2. No menu esquerdo, selecionar Produtos + serviços>Reservas.
  3. A lista completa de reservas da sua inscrição do EA ou perfil de faturação é apresentada.
  4. Os administradores de faturação podem obter a propriedade de uma reserva, ao selecionar uma ou mais reservas, selecionar Conceder acesso e novamente Conceder acesso na janela apresentada. Para um Contrato de Cliente Microsoft, o utilizador deve estar no mesmo inquilino (diretório) do Microsoft Entra do que a reserva.

Adicionar administradores de faturação

Adicione um utilizador como administrador de faturação a um Contrato Enterprise ou Contrato de Cliente Microsoft no portal do Azure.

  • Num Contrato Enterprise, adicione utilizadores com a função Administrador do Enterprise para ver e gerir todas as encomendas de reservas que se aplicam a esse Contrato Enterprise. Os administradores do Enterprise podem ver e gerir reservas em Cost Management + Faturação.
    • Os utilizadores com a função Administrador do Enterprise (só de leitura) só podem ver a reserva em Cost Management + Faturação.
    • Os administradores de departamentos e os proprietários de conta não podem ver as reservas, a não ser que sejam adicionados explicitamente às mesmas com o Controlo de acesso (IAM). Para obter mais informações, veja Gerir funções empresariais do Azure.
  • Num Contrato de Cliente Microsoft, os utilizadores com a função de proprietário de perfil de faturação ou a função de contribuinte de perfil de faturação podem gerir todas as compras de reservas feitas com o perfil de faturação. Os leitores de perfil de faturação e os gestores de faturas podem ver todas as reservas que são pagas com o perfil de faturação. No entanto, não podem fazer alterações às reservas. Para obter mais informações, veja Funções e tarefas do perfil de faturação.

Ver reservas com acesso ao Azure RBAC

Se comprou a reserva ou foi adicionado a uma reserva, utilize os passos a seguir para ver e gerir reservas no portal do Azure.

  1. Inicie sessão no portal do Azure.
  2. Selecione Todos os Serviços>Reservas para listar as reservas às quais tem acesso.

Gerir subscrições e grupos de gestão com acesso melhorado

Pode elevar o acesso de um utilizador para gerir todos os grupos de gestão e subscrições do Azure.

Depois de elevar o acesso:

  1. Navegue até Todos os Serviços>Reserva para ver todas as reservas que estão no inquilino.
  2. Para efetuar modificações à reserva, adicione-se como proprietário da encomenda da reserva através do Controlo de acesso (IAM).

Conceder acesso a reservas individuais

Os utilizadores com acesso de proprietário nas reservas e administradores de faturação podem delegar a gestão do acesso para uma encomenda de uma reserva individual no portal do Azure.

Para permitir que outras pessoas façam a gestão de reservas, tem duas opções:

  • Delegar a gestão do acesso para uma encomenda de uma reserva individual ao atribuir a função Proprietário a um utilizador no âmbito do recurso da encomenda de reserva. Se quiser conceder acesso limitado, selecione uma função diferente.
    Para obter os passos detalhados, veja o artigo Atribuir funções do Azure com o portal do Azure.

  • Adicionar um utilizador como administrador de faturação a um Contrato Enterprise ou Contrato de Cliente Microsoft:

    • Num Contrato Enterprise, adicione utilizadores com a função Administrador do Enterprise para ver e gerir todas as encomendas de reservas que se aplicam a esse Contrato Enterprise. Os utilizadores com a função Administrador do Enterprise (só de leitura) só podem ver a reserva. Os administradores de departamentos e os proprietários de conta não podem ver as reservas, a não ser que sejam adicionados explicitamente às mesmas com o Controlo de acesso (IAM). Para obter mais informações, veja Gerir funções empresariais do Azure.

      Os administradores Enterprise podem assumir a propriedade de uma encomenda de reserva e podem adicionar outros utilizadores a uma reserva com o Controlo de acesso (IAM).

    • Num Contrato de Cliente Microsoft, os utilizadores com a função de proprietário de perfil de faturação ou a função de contribuinte de perfil de faturação podem gerir todas as compras de reservas feitas com o perfil de faturação. Os leitores de perfil de faturação e os gestores de faturas podem ver todas as reservas que são pagas com o perfil de faturação. No entanto, não podem fazer alterações às reservas. Para obter mais informações, veja Funções e tarefas do perfil de faturação.

Conceder acesso com o PowerShell

Os usuários que têm acesso de proprietário para pedidos de reserva, usuários com acesso elevado e Administradores de Acesso de Usuário podem delegar o gerenciamento de acesso para todos os pedidos de reserva aos quais têm acesso.

O acesso concedido usando o PowerShell não é mostrado no portal do Azure. Em vez disso, use o get-AzRoleAssignment comando na seção a seguir para exibir as funções atribuídas.

Atribuir a função de proprietário para todas as reservas

Utilize o seguinte script do Azure PowerShell para dar a um utilizador RBAC do Azure acesso a todas as encomendas de reservas no inquilino do Microsoft Entra (diretório).


Import-Module Az.Accounts
Import-Module Az.Resources
 
Connect-AzAccount -Tenant <TenantId>
 
$response = Invoke-AzRestMethod -Path /providers/Microsoft.Capacity/reservations?api-version=2020-06-01 -Method GET
 
$responseJSON = $response.Content | ConvertFrom-JSON
 
$reservationObjects = $responseJSON.value
 
foreach ($reservation in $reservationObjects)
{
  $reservationOrderId = $reservation.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$reservationOrderId
  New-AzRoleAssignment -Scope $reservationOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

Quando você usa o script do PowerShell para atribuir a função de propriedade e ele é executado com êxito, uma mensagem de êxito não é retornada.

Parâmetros

-ObjectId Microsoft Entra ObjectId do usuário, grupo ou entidade de serviço.

  • Tipo: cadeia
  • Pseudónimos: Id, PrincipalId
  • Cargo: Nomeado
  • Valor padrão: Nenhum
  • Aceitar entrada de pipeline: True
  • Aceitar caracteres curinga: Falso

-Identificador exclusivo do locatário TenantId .

  • Tipo: cadeia
  • Posição: 5
  • Valor padrão: Nenhum
  • Aceitar entrada de pipeline: Falso
  • Aceitar caracteres curinga: Falso

Acesso ao nível do inquilino

Os direitos de Administrador de Acesso de Utilizador são necessários antes que possa conceder aos utilizadores ou grupos as funções de Administrador de Reservas e Leitor de Reservas no nível de inquilino. Para obter direitos de Administrador de Acesso de Utilizador no nível de inquilino, siga os passos Elevar acesso.

Adicionar uma função de Administrador de Reservas ou uma função de Leitor de Reservas no nível do inquilino

Apenas os Administradores Globais podem atribuir estas funções a partir do portal do Azure.

  1. Inicie sessão no portal do Azure e navegue para Reservas.
  2. Selecione uma reserva a que precisa de aceder.
  3. Na parte superior da página., selecione Atribuições de função.
  4. Selecione o separador Funções.
  5. Para fazer modificações, adicione um utilizador como Administrador de Reservas ou Leitor de Reservas ao utilizar o controlo de acesso.

Adicionar uma função de Administrador de Reservas no nível do locatário usando o script do Azure PowerShell

Use o seguinte script do Azure PowerShell para adicionar uma função de Administrador de Reservas no nível do locatário com o PowerShell.

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Administrator"

Parâmetros

-ObjectId Microsoft Entra ObjectId do usuário, grupo ou entidade de serviço.

  • Tipo: cadeia
  • Pseudónimos: Id, PrincipalId
  • Cargo: Nomeado
  • Valor padrão: Nenhum
  • Aceitar entrada de pipeline: True
  • Aceitar caracteres curinga: Falso

-Identificador exclusivo do locatário TenantId .

  • Tipo: cadeia
  • Posição: 5
  • Valor padrão: Nenhum
  • Aceitar entrada de pipeline: Falso
  • Aceitar caracteres curinga: Falso

Atribuir uma função de Leitor de Reservas no nível do locatário usando o script do Azure PowerShell

Use o seguinte script do Azure PowerShell para atribuir a função de Leitor de Reservas no nível do locatário com o PowerShell.


Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>

New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Reader"

Parâmetros

-ObjectId Microsoft Entra ObjectId do usuário, grupo ou entidade de serviço.

  • Tipo: cadeia
  • Pseudónimos: Id, PrincipalId
  • Cargo: Nomeado
  • Valor padrão: Nenhum
  • Aceitar entrada de pipeline: True
  • Aceitar caracteres curinga: Falso

-Identificador exclusivo do locatário TenantId .

  • Tipo: cadeia
  • Posição: 5
  • Valor padrão: Nenhum
  • Aceitar entrada de pipeline: Falso
  • Aceitar caracteres curinga: Falso

Próximos passos