Bevilja åtkomst för att skapa Azure Enterprise-prenumerationer (äldre)
Som Azure-kund med ett Enterprise-avtal (EA) kan du ge en annan användare eller ett tjänsthuvudnamn behörighet att skapa prenumerationer som debiteras ditt konto. I den här artikeln får du lära dig hur du använder rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att dela möjligheten att skapa prenumerationer och hur du granskar skapande av prenumerationer. Du måste ha ägarrollen för det konto som du vill dela.
Kommentar
- Detta API fungerar bara med äldre API:er för prenumerationsskapande.
- Om du inte har ett specifikt behov av att använda äldre API:er bör du använda informationen för den senaste GA-versionen om den senaste API-versionen. Se Rolltilldelningar för registreringskonto – Tilldela behörighet att skapa EA-prenumerationer med det senaste API:et.
- Om du migrerar till användning av de nyare API:erna måste du bevilja ägarbehörigheter igen med 2019-10-01-preview. Din tidigare konfiguration som använder följande API:er konverteras inte automatiskt för användning med nyare API:er.
Kommentar
Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Se Installera Azure PowerShell för att komma igång. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.
Bevilja åtkomst
För att kunna skapa prenumerationer under ett registreringskonto måste användarna ha rollen Azure RBAC-ägare för det kontot. Så här ger du en användare eller en grupp av användare rollen Azure RBAC-ägare för ett registreringskonto:
Hämta objekt-ID:t för det registreringskonto som du vill bevilja åtkomst till
Om du vill ge andra rollen Azure RBAC-ägare för ett registreringskonto måste du vara antingen kontoägare eller Azure RBAC-ägare för kontot.
Begära en lista över alla registreringskonton som du har åtkomst till:
GET https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts?api-version=2018-03-01-previewAzure svarar med en lista över alla registreringskonton som du har åtkomst till:
{ "value": [ { "id": "/providers/Microsoft.Billing/enrollmentAccounts/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb", "name": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb", "type": "Microsoft.Billing/enrollmentAccounts", "properties": { "principalName": "SignUpEngineering@contoso.com" } }, { "id": "/providers/Microsoft.Billing/enrollmentAccounts/4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "name": "4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "type": "Microsoft.Billing/enrollmentAccounts", "properties": { "principalName": "BillingPlatformTeam@contoso.com" } } ] }Använd egenskapen
principalNameför att identifiera det konto som du vill bevilja Azure RBAC-ägaråtkomst till. Kopieranameför det kontot. Om du till exempel vill bevilja Azure RBAC-ägaråtkomst till registreringskontot SignUpEngineering@contoso.com kopierar duaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb. Det här är objekt-ID:t för registreringskontot. Klistra in det här värdet någonstans så att du kan använda det somenrollmentAccountObjectIdi nästa steg.Använd egenskapen
principalNameför att identifiera det konto som du vill bevilja Azure RBAC-ägaråtkomst till. Kopieranameför det kontot. Om du till exempel vill bevilja Azure RBAC-ägaråtkomst till registreringskontot SignUpEngineering@contoso.com kopierar duaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb. Det här är objekt-ID:t för registreringskontot. Klistra in det här värdet någonstans så att du kan använda det somenrollmentAccountObjectIdi nästa steg.Hämta objekt-ID för den användare eller grupp som du vill ge rollen Azure RBAC-ägare
- I Azure-portalen söker du efter Microsoft Entra ID.
- Om du vill ge en användare åtkomst väljer du Användare på menyn till vänster. Om du vill ge åtkomst till en grupp väljer du Grupper.
- Välj den användare eller grupp som du vill ge rollen Azure RBAC-ägare.
- Om du har valt en användare hittar du objekt-ID:t på profilsidan. Om du har valt en grupp visas objekt-ID:t på översiktssidan. Kopiera ObjectID genom att välja ikonen till höger om textrutan. Klistra in det här värdet någonstans så att du kan använda det som
userObjectIdi nästa steg.
Bevilja användaren eller gruppen rollen Azure RBAC-ägare för registreringskontot
Använd de värden som du samlade in i de första två stegen och ge användaren eller gruppen rollen Azure RBAC-ägare för registreringskontot.
Gör följande kommando och ersätt
<enrollmentAccountObjectId>med värdet förnamesom du kopierade i det första steget (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb). Ersätt<userObjectId>med det objekt-ID som du kopierade från det andra steget.PUT https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleAssignments/<roleAssignmentGuid>?api-version=2015-07-01 { "properties": { "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>", "principalId": "<userObjectId>" } }När ägarrollen har tilldelats för omfånget Registreringskonto svarar Azure med information om rolltilldelningen:
{ "properties": { "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>", "principalId": "<userObjectId>", "scope": "/providers/Microsoft.Billing/enrollmentAccounts/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb", "createdOn": "2018-03-05T08:36:26.4014813Z", "updatedOn": "2018-03-05T08:36:26.4014813Z", "createdBy": "<assignerObjectId>", "updatedBy": "<assignerObjectId>" }, "id": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>", "type": "Microsoft.Authorization/roleAssignments", "name": "<roleAssignmentGuid>" }
Granska vem som har skapat prenumerationer med hjälp av aktivitetsloggar
Om du vill spåra prenumerationer som har skapats via det här API:et använder du API:et för klientaktivitetsloggen. Det är för närvarande inte möjligt att använda PowerShell, CLI eller Azure-portalen för att spåra skapande av prenumerationer.
Som klientadministratör för Microsoft Entra-klientorganisationen höjer du åtkomsten och tilldelar sedan en läsarroll till granskningsanvändaren över omfånget
/providers/microsoft.insights/eventtypes/management. Den här åtkomsten är tillgänglig i rollen läsare, övervakningsdeltagare eller en anpassad roll.Som granskningsanvändare anropar du API:et för klientaktivitetsloggen för att visa aktiviteter för skapande av prenumerationer. Exempel:
GET "/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '{greaterThanTimeStamp}' and eventTimestamp le '{lessThanTimestamp}' and eventChannels eq 'Operation' and resourceProvider eq 'Microsoft.Subscription'"
Du kan anropa det här API:et från kommandoraden med hjälp av ARMClient.
Relaterat innehåll
- Nu när användaren eller tjänsthuvudnamnet har behörighet att skapa en prenumeration kan du använda den identiteten för att skapa Azure Enterprise-prenumerationer programmatiskt.
- Ett exempel på hur du skapar prenumerationer med .NET finns i exempelkod på GitHub.
- Mer information om Azure Resource Manager och dess API:er finns i översikten över Azure Resource Manager.
- Mer information om hur du hanterar ett stort antal prenumerationer med hanteringsgrupper finns i Ordna resurser med hanteringsgrupper i Azure
- Omfattande metodtips angående prenumerationsåtgärder för stora företag finns i Azure enterprise-kodskelett – förebyggande prenumerationsåtgärder