Berechtigungen zum Anzeigen und Verwalten von Azure-Sparplänen

In diesem Artikel wird erläutert, wie Sparplanberechtigungen funktionieren und wie Benutzer*innen Azure-Sparpläne im Azure-Portal anzeigen und verwalten können.

Wer kann standardmäßig einen Sparplan verwalten?

Zwei unterschiedliche Autorisierungsmethoden steuern die Fähigkeit eines Benutzers, Berechtigungen für Sparpläne anzuzeigen, zu verwalten und zu delegieren. Diese sind Abrechnungsadministratorrollen und rollenbasierte Zugriffssteuerungsrollen (RBAC).

Rollen für Abrechnungsadministratoren

Sie können Berechtigungen für Sparpläne mithilfe integrierter Rollen für Abrechnungsadministratoren anzeigen, verwalten und delegieren. Weitere Informationen zu Microsoft-Kundenvereinbarung und Enterprise Agreement-Abrechnungsrollen finden Sie unter Grundlegendes zu Administratorrollen des Microsoft-Kundenvertrags in Azure bzw. Verwalten von Azure Enterprise Agreement-Rollen.

Für Sparplanaktionen erforderliche Abrechnungsadministratorrollen

  • Anzeigen von Sparplänen:
    • Microsoft-Kundenvereinbarung: Benutzer mit Leseprogramm für Abrechnungsprofilen oder höher
    • Enterprise Agreement: Benutzer mit Unternehmensadministrator (schreibgeschützt) oder höher
    • Microsoft Partner-Vereinbarung: Nicht unterstützt
  • Verwalten von Sparplänen (durch Delegieren von Berechtigungen für das vollständige Abrechnungsprofil/die Registrierung):
    • Microsoft-Kundenvereinbarung: Benutzer mit Abrechnungsprofilmitwirkender oder höher
    • Enterprise Agreement: Benutzer mit Enterprise Agreement-Administrator oder höher
    • Microsoft Partner-Vereinbarung: Nicht unterstützt
  • Berechtigungen des Sparplans delegieren:
    • Microsoft-Kundenvereinbarung: Benutzer mit Abrechnungsprofilmitwirkender oder höher
    • Enterprise Agreement: Benutzer mit Enterprise Agreement-Käufer oder höher
    • Microsoft Partner-Vereinbarung: Nicht unterstützt

Anzeigen und Verwalten von Sparplänen als Abrechnungsadministrator

Führen Sie als Benutzer von Abrechnungsrollen diese Schritte aus, um alle Sparpläne und Sparplantransaktionen im Azure-Portal anzuzeigen und zu verwalten.

  1. Melden Sie sich beim Azure-Portal an, und wechseln Sie zu Kostenverwaltung + Abrechnung.
    • Wenn Sie sich unter einem Enterprise Agreement-Konto befinden, wählen Sie im linken Menü Abrechnungsbereiche aus. Wählen Sie dann in der Liste der Abrechnungsbereiche einen aus.
    • Wenn Sie sich unter einem Microsoft-Kundenvertragskonto befinden, wählen Sie im linken Menü Abrechnungsprofile aus. Wählen Sie in der Liste der Abrechnungsprofile ein Profil aus.
  2. Wählen Sie im Menü auf der linken Seite Produkte und Dienste>Sparpläne aus. Die vollständige Liste der Sparpläne für die Registrierung Ihres Enterprise Agreement oder des Abrechnungsprofils für Microsoft-Kundenvereinbarungen wird angezeigt.
  3. Benutzer von Abrechnungsrollen können den Besitz eines Sparplans mit der Sparplanreihenfolge – Erhöhen der REST-API übernehmen, um sich Azure RBAC-Rollen zu geben.

Hinzufügen von Abrechnungsadministrator*innen

Fügen Sie als Abrechnungsadministrator*in im Azure-Portal Benutzer*innen zu einem Enterprise Agreement oder einer Microsoft-Kundenvereinbarung hinzu.

  • Enterprise Agreement: Fügen Sie Benutzer*innen mit der Rolle Unternehmensadministrator hinzu, um alle für diesen Vertrag geltenden Sparplanaufträge anzuzeigen und zu verwalten. Unternehmensadministrator*innen können Sparpläne in Kostenverwaltung + Abrechnung anzeigen und verwalten.
    • Benutzer*innen mit der Rolle Unternehmensadministrator (schreibgeschützt) können die Sparpläne in Kostenverwaltung + Abrechnung nur anzeigen.
    • Abteilungsadministrator*innen und Kontobesitzer*innen können Sparpläne nur anzeigen, wenn sie ihnen mithilfe der Zugriffssteuerung (Access Control, IAM) explizit hinzugefügt werden. Weitere Informationen finden Sie unter Verwalten von Azure Enterprise-Rollen.
  • Microsoft-Kundenvereinbarung: Benutzer*innen mit der Rolle „Besitzer des Abrechnungsprofils“ oder „Mitwirkender am Abrechnungsprofil“ können alle mit dem Abrechnungsprofil getätigten Sparplankäufe verwalten.
    • Benutzer*innen mit Leseberechtigung für das Abrechnungsprofil und Rechnungs-Manager*innen können alle Sparpläne anzeigen, die für das Abrechnungsprofil bezahlt wurden. Sie können allerdings keine Änderungen an den Sparplänen vornehmen. Weitere Informationen finden Sie unter Rollen und Aufgaben für ein Abrechnungsprofil.

RBAC-Rollen für Sparpläne

Der Lebenszyklus des Sparplans ist unabhängig von einem Azure-Abonnement. Sparpläne erben nach dem Kauf keine Berechtigungen von Abonnements. Sparpläne sind eine Ressource auf Mandantenebene mit eigenen Azure RBAC-Berechtigungen.

Übersicht

Es gibt vier sparplanspezifische RBAC-Rollen:

  • Sparplanadministrator: Ermöglicht die Verwaltung eines oder mehrerer Sparpläne in einem Mandanten und die Delegierung von RBAC-Rollen an andere Benutzer.
  • Sparplankäufer: Ermöglicht den Kauf von Sparplänen mit einem bestimmten Abonnement.
  • Mitwirkender des Sparplans: Ermöglicht die Verwaltung von einem oder mehreren Sparplänen in einem Mandanten, aber nicht die Delegierung von RBAC-Rollen an andere Benutzer.
  • Sparplanleser: Ermöglicht schreibgeschützten Zugriff auf einen oder mehrere Sparpläne in einem Mandanten.

Diese Rollen können entweder auf eine bestimmte Ressourcenentität (z. B. Abonnement oder Sparplan) oder den Microsoft Entra-Mandanten (Verzeichnis) festgelegt werden. Weitere Informationen zur Azure RBAC finden Sie im Artikel Was ist die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC)?.

RBAC-Rollen für Sparpläne, die für Sparplanaktionen erforderlich sind

  • Anzeigen von Sparplänen:
    • Mandantenbereich: Benutzer mit der Rolle Sparplanleser oder höher.
    • Sparplanbereich: Integrierter Leser oder höher.
  • Verwalten von Sparplänen:
    • Mandantenbereich: Benutzer mit der Rolle Mitwirkender des Sparplans oder höher.
    • Sparplanbereich: Integrierte Mitwirkender- oder Besitzerrollen, oder die Rolle Mitwirkender des Sparplans oder höher.
  • Berechtigungen des Sparplans delegieren:

Darüber hinaus können Benutzer, welche die Rolle des Abonnementbesitzers beim Kauf eines Sparplans verwendet haben, auch Berechtigungen für den erworbenen Sparplan anzeigen, verwalten und delegieren.

Anzeigen von Sparplänen mit RBAC-Zugriff

Wenn Sie über sparplanspezifische RBAC-Rollen (Sparplanadministrator, -käufer, -mitwirkender oder -leser) verfügen, Sparpläne erworben haben oder als Besitzer zu Sparplänen hinzugefügt wurden, führen Sie diese Schritte aus, um Sparpläne im Azure-Portal anzuzeigen und zu verwalten.

  1. Melden Sie sich beim Azure-Portal an.
  2. Wählen Sie Startseite>Sparpläne aus, um die Sparpläne aufzulisten, auf die Sie Zugriff haben.

Hinzufügen von RBAC-Rollen zu Benutzern und Gruppen

Weitere Informationen zum Delegieren von RBAC-Rollen für Sparpläne finden Sie unter Delegieren von RBAC-Rollen für Sparpläne.

Unternehmensadministratoren können den Besitz eines Sparplanauftrags übernehmen. Sie können andere Benutzer zu einem Sparplan hinzufügen, indem sie Folgendes verwenden: Zugriffssteuerung (IAM)

Gewähren des Zugriffs mit PowerShell

Benutzer mit Besitzerzugriff für Sparplanaufträge, Benutzer mit erhöhten Zugriffsberechtigungen und Benutzerzugriffsadministratoren können die Zugriffsverwaltung für alle Sparplanaufträge delegieren, auf die sie Zugriff haben.

Zugriff, der mithilfe von PowerShell gewährt wurde, wird im Azure-Portal nicht angezeigt. Verwenden Sie stattdessen den Befehl get-AzRoleAssignment im folgenden Abschnitt, um zugewiesene Rollen anzuzeigen.

Zuweisen der Besitzerrolle für alle Sparpläne

Verwenden Sie das folgende Azure PowerShell-Skript, um Benutzern RBAC-Zugriff in Azure auf alle Sparplanaufträge in ihren Microsoft Entra-Mandanten (Verzeichnis) zu gewähren:

Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.BillingBenefits/savingsPlans?api-version=2022-11-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$savingsPlanObjects = $responseJSON.value

foreach ($savingsPlan in $savingsPlanObjects)
{
  $savingsPlanOrderId = $savingsPlan.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$savingsPlanOrderId
  New-AzRoleAssignment -Scope $savingsPlanOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

Wenn Sie das PowerShell-Skript zum Zuweisen der Besitzrolle verwenden, und dies erfolgreich ausgeführt wird, wird keine Erfolgsmeldung zurückgegeben.

Parameter

  • ObjectId: Dies ist die Microsoft Entra-Objekt-ID von Benutzer*innen, der Gruppe oder des Dienstprinzipals

    • Typ: Zeichenfolge
    • Aliase: Id, PrincipalId
    • Position: Benannt
    • Standardwert: keiner
    • Pipelineeingabe akzeptieren: TRUE
    • Platzhalterzeichen akzeptieren: FALSE
  • TenantId Eindeutiger Bezeichner von Mandant*innen

    • Typ: Zeichenfolge
    • Position: 5
    • Standardwert: keiner
    • Pipelineeingabe akzeptieren: FALSE
    • Platzhalterzeichen akzeptieren: FALSE

Hinzufügen der Rolle „Sparplanadministrator“ auf Mandantenebene mithilfe eines Azure PowerShell-Skripts

Verwenden Sie das folgende Azure PowerShell-Skript, um die Rolle „Sparplanadministrator“ mit PowerShell auf Mandantenebene hinzuzufügen:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Administrator"

Parameter

  • ObjectId: Dies ist die Microsoft Entra-Objekt-ID von Benutzer*innen, der Gruppe oder des Dienstprinzipals

    • Typ: Zeichenfolge
    • Aliase: Id, PrincipalId
    • Position: Benannt
    • Standardwert: keiner
    • Pipelineeingabe akzeptieren: TRUE
    • Platzhalterzeichen akzeptieren: FALSE
  • TenantId Eindeutiger Bezeichner von Mandant*innen

    • Typ: Zeichenfolge
    • Position: 5
    • Standardwert: keiner
    • Pipelineeingabe akzeptieren: FALSE
    • Platzhalterzeichen akzeptieren: FALSE

Zuweisen der Rolle „Mitwirkender des Sparplans“ auf Mandantenebene mithilfe eines Azure PowerShell-Skripts

Verwenden Sie das folgende Azure PowerShell-Skript, um die Rolle „Mitwirkender des Sparplans“ mit PowerShell auf Mandantenebene zuzuweisen:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Contributor"

Parameter

  • ObjectId: Dies ist die Microsoft Entra-Objekt-ID von Benutzer*innen, der Gruppe oder des Dienstprinzipals

    • Typ: Zeichenfolge
    • Aliase: Id, PrincipalId
    • Position: Benannt
    • Standardwert: keiner
    • Pipelineeingabe akzeptieren: TRUE
    • Platzhalterzeichen akzeptieren: FALSE
  • TenantId Eindeutiger Bezeichner von Mandant*innen

    • Typ: Zeichenfolge
    • Position: 5
    • Standardwert: keiner
    • Pipelineeingabe akzeptieren: FALSE
    • Platzhalterzeichen akzeptieren: FALSE

Zuweisen der Rolle „Sparplanleser“ auf Mandantenebene mithilfe eines Azure PowerShell-Skripts

Verwenden Sie das folgende Azure PowerShell-Skript, um die Rolle „Sparplanleser“ mit PowerShell auf Mandantenebene zuzuweisen:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Reader"

Parameter

  • ObjectId: Dies ist die Microsoft Entra-Objekt-ID von Benutzer*innen, der Gruppe oder des Dienstprinzipals

    • Typ: Zeichenfolge
    • Aliase: Id, PrincipalId
    • Position: Benannt
    • Standardwert: keiner
    • Pipelineeingabe akzeptieren: TRUE
    • Platzhalterzeichen akzeptieren: FALSE
  • TenantId Eindeutiger Bezeichner von Mandant*innen

    • Typ: Zeichenfolge
    • Position: 5
    • Standardwert: keiner
    • Pipelineeingabe akzeptieren: FALSE
    • Platzhalterzeichen akzeptieren: FALSE

Nächste Schritte