Behörigheter för att visa och hantera Azure-reservationer.

Den här artikeln beskriver hur reservationsbehörigheter fungerar och hur användare kan visa och hantera Azure-reservationer i Azure Portal och med Azure PowerShell.

Kommentar

Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Se Installera Azure PowerShell för att komma igång. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Vem kan hantera en reservation som standard?

Som standard kan följande användare visa och hantera reservationer:

• Den person som köper en reservation och kontoadministratören för den faktureringsprenumeration som används för att köpa reservationen läggs till i reservationsbeställningen.
• Faktureringsadministratörer för Enterprise-avtal och Microsoft-kundavtal.
• Användare med utökad åtkomst som kan hantera alla Azure-prenumerationer och hanteringsgrupper
• En reservationsadministratör för reservationer i sin Microsoft Entra-klientorganisation (katalog)
• En reservationsläsare har skrivskyddad åtkomst till reservationer i den egna Microsoft Entra-klientorganisationen (katalogen)

Reservationens livscykel är oberoende av en Azure-prenumeration, så reservationen är inte en resurs under Azure-prenumerationen. I stället är det en resurs på klientorganisationsnivå med en egen Azure RBAC-behörighet som är separat från prenumerationerna. Reservationer ärver inte behörigheter från prenumerationer efter köpet.

Visa och hantera reservationer

Om du är faktureringsadministratör använder du följande steg för att visa och hantera alla reservationer och reservationstransaktioner i Azure Portal.

1. Logga in på Azure-portalen och gå till Kostnadshantering och fakturering.
   • Om du är EA-admin väljer du Faktureringsomfång på den vänstra menyn och sedan ett faktureringsomfång i listan.
   • Om du är om du är en faktureringsprofilägare i ett Microsoft-kundavtal, så välj Faktureringsprofiler på den vänstra menyn. Välj en faktureringsprofil i listan.
2. Välj Produkter + tjänster>Reservationer i den vänstra menyn.
3. Den fullständiga listan över reservationer för din EA-registrering eller faktureringsprofil visas.
4. Faktureringsadministratörer kan bli ägare till en reservation genom att välja en eller flera reservationer, välja Bevilja åtkomst och sedan välja Bevilja åtkomst i det fönster som visas. För ett Microsoft-kundavtal ska användaren finnas i samma Microsoft Entra-klientorganisation (katalog) som reservationen.

Lägg till faktureringsadministratörer

Lägg till en användare som faktureringsadministratör för ett Enterprise-avtal eller ett Microsoft-kundavtal i Azure Portal.

• Om du har ett Enterprise-avtal lägger du till användare med rollen Företagsadministratör så att de kan visa och hantera reservationsbeställningar under Enterprise-avtalet. Enterprise-administratörer kan visa och hantera reservationer i Cost Management och fakturering.
  • Användare med rollen Enterprise-administratör (skrivskyddad) kan bara visa reservationen från Cost Management + Billing.
  • Avdelningsadministratörer och kontoägare kan inte visa reservationer om de inte uttryckligen läggs till i dem via åtkomstkontroll (IAM). Mer information finns i Hantera Azure Enterprise-roller.
• Med ett Microsoft-kundavtal kan användare med rollen som faktureringsprofilägare eller faktureringsprofildeltagare hantera alla reservationsköp som görs via faktureringsprofilen. Debiteringsprofilläsare och fakturahanterare kan visa alla reservationer som betalas via faktureringsprofilen. Däremot kan de inte göra ändringar i reservationer. Mer information finns i Roller och uppgifter för faktureringsprofiler.

Visa reservationer med Azure RBAC-åtkomst

Om du har köpt reservationen eller om du har lagts till i en reservation använder du följande steg för att visa och hantera reservationer i Azure Portal.

1. Logga in på Azure-portalen.
2. Välj Alla tjänster>Reservationer för att lista de reservationer du har åtkomst till.

Hantera prenumerationer och hanteringsgrupper med utökad åtkomst

Du kan utöka en användares åtkomst för att hantera alla Azure-prenumerationer och hanteringsgrupper.

När du har utökat åtkomsten:

1. Gå till Alla tjänster>Reservation för att se alla reservationer som finns i klientorganisationen.
2. Om du vill göra ändringar i reservationen så lägg till dig själv som ägare till reservationen med hjälp av åtkomstkontroll (IAM).

Bevilja åtkomst till enskilda reservationer

Användare som har ägaråtkomst på reservationer och faktureringsadministratörer kan delegera åtkomsthantering för en enskild reservation i Azure Portal.

Du kan välja mellan två alternativ för att låta andra hantera reservationer:

• Delegera åtkomsthantering för en enskild reservationsorder genom att tilldela en användare i reservationsorderns resursomfång rollen Ägare. Du kan välja en annan roll om du vill ge begränsad åtkomst.
  Läs mer om att tilldela roller i Tilldela Azure-roller via Azure Portal.

• Lägg till en användare som faktureringsadministratör för ett Enterprise-avtal eller ett Microsoft-kundavtal:

  • Om du har ett Enterprise-avtal lägger du till användare med rollen Företagsadministratör så att de kan visa och hantera reservationsbeställningar under Enterprise-avtalet. Användare med rollen Enterprise-administratör (skrivskyddad) kan bara visa reservationen. Avdelningsadministratörer och kontoägare kan inte visa reservationer om de inte uttryckligen läggs till i dem via åtkomstkontroll (IAM). Mer information finns i Hantera Azure Enterprise-roller.

    Enterprise-administratörer kan bli ägare till en reservationsbeställning och kan lägga till andra användare till en reservation via åtkomstkontroll (IAM).

  • Med ett Microsoft-kundavtal kan användare med rollen som faktureringsprofilägare eller faktureringsprofildeltagare hantera alla reservationsköp som görs via faktureringsprofilen. Debiteringsprofilläsare och fakturahanterare kan visa alla reservationer som betalas via faktureringsprofilen. Däremot kan de inte göra ändringar i reservationer. Mer information finns i Roller och uppgifter för faktureringsprofiler.

Bevilja åtkomst med PowerShell

Användare som har ägaråtkomst för reservationsbeställningar, användare med förhöjd åtkomst och administratörer för användaråtkomst kan delegera åtkomsthantering för alla reservationsbeställningar som de har åtkomst till.

Åtkomst som beviljas med PowerShell visas inte i Azure Portal. I stället använder get-AzRoleAssignment du kommandot i följande avsnitt för att visa tilldelade roller.

Tilldela ägarrollen för alla reservationer

Använd följande Azure PowerShell-skript för att ge en användare Azure RBAC-åtkomst till alla reservationsbeställningar i den egna Microsoft Entra-klientorganisationen (katalogen).

Import-Module Az.Accounts
Import-Module Az.Resources
 
Connect-AzAccount -Tenant <TenantId>
 
$response = Invoke-AzRestMethod -Path /providers/Microsoft.Capacity/reservations?api-version=2020-06-01 -Method GET
 
$responseJSON = $response.Content | ConvertFrom-JSON
 
$reservationObjects = $responseJSON.value
 
foreach ($reservation in $reservationObjects)
{
  $reservationOrderId = $reservation.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$reservationOrderId
  New-AzRoleAssignment -Scope $reservationOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

När du använder PowerShell-skriptet för att tilldela ägarskapsrollen och den körs korrekt returneras inte något meddelande.

Parametrar

-ObjectId Microsoft Entra ObjectId för användaren, gruppen eller tjänstens huvudnamn.

• Typ: Sträng
• Alias: ID, PrincipalId
• Position: Namngiven
• Standardvärde: Ingen
• Acceptera pipelineindata: Sant
• Acceptera jokertecken: Falskt

-TenantId Unik identifierare för klientorganisation.

• Typ: Sträng
• Position: 5
• Standardvärde: Ingen
• Acceptera pipelineindata: Falskt
• Acceptera jokertecken: Falskt

Åtkomst på klientorganisationsnivå

Behörigheter som administratör för användaråtkomst krävs innan du kan bevilja användare eller grupper rollen Reservationsadministratör och Reservationsläsare på klientorganisationsnivå. För att få behörighet som administratör för användaråtkomst på klientorganisationsnivå följer du stegen för att höja åtkomsten .

Lägg till rollen Reservationsadministratör eller Reservationsläsare på klientorganisationsnivå

Endast globala administratörer kan tilldela dessa roller från Azure Portal.

1. Logga in på Azure-portalen och gå till Reservationer.
2. Välj en reservation som du har åtkomst till.
3. Välj Rolltilldelning överst på sidan.
4. Välj fliken Roller.
5. Om du vill göra ändringar lägger du till en användare som reservationsadministratör eller reservationsläsare med hjälp av åtkomstkontroll.

Lägga till en reservationsadministratörsroll på klientorganisationsnivå med hjälp av Azure PowerShell-skript

Använd följande Azure PowerShell-skript för att lägga till en reservationsadministratörsroll på klientorganisationsnivå med PowerShell.

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Administrator"

Parametrar

-ObjectId Microsoft Entra ObjectId för användaren, gruppen eller tjänstens huvudnamn.

• Typ: Sträng
• Alias: ID, PrincipalId
• Position: Namngiven
• Standardvärde: Ingen
• Acceptera pipelineindata: Sant
• Acceptera jokertecken: Falskt

-TenantId Unik identifierare för klientorganisation.

• Typ: Sträng
• Position: 5
• Standardvärde: Ingen
• Acceptera pipelineindata: Falskt
• Acceptera jokertecken: Falskt

Tilldela en roll för reservationsläsare på klientorganisationsnivå med hjälp av Azure PowerShell-skript

Använd följande Azure PowerShell-skript för att tilldela rollen Reservationsläsare på klientorganisationsnivå med PowerShell.

Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>

New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Reader"

Parametrar

-ObjectId Microsoft Entra ObjectId för användaren, gruppen eller tjänstens huvudnamn.

• Typ: Sträng
• Alias: ID, PrincipalId
• Position: Namngiven
• Standardvärde: Ingen
• Acceptera pipelineindata: Sant
• Acceptera jokertecken: Falskt

-TenantId Unik identifierare för klientorganisation.

• Typ: Sträng
• Position: 5
• Standardvärde: Ingen
• Acceptera pipelineindata: Falskt
• Acceptera jokertecken: Falskt

Nästa steg

• Hantera Azure-reservationer.