Autorisations pour afficher et gérer les plans d'économies Azure

Cet article explique le fonctionnement des autorisations de plan d'économies et comment les utilisateurs peuvent afficher et gérer les plans d'économies Azure dans le portail Azure.

Qui peut gérer un plan d’économies par défaut

Deux méthodes d’autorisation différentes contrôlent la capacité d’un utilisateur à voir, gérer et déléguer des autorisations sur les plans d’économies. Il s’agit des rôles Administrateur de facturation et des rôles RBAC (contrôle d’accès en fonction du rôle) de plan d’économies.

Rôles d’administrateur de facturation

Vous pouvez voir, gérer et déléguer des autorisations sur les plans d’économies en utilisant des rôles Administrateur de facturation intégrés. Pour en savoir plus sur les rôles de facturation Contrat client Microsoft et Contrat Entreprise, consultez Présentation des rôles administratifs du Contrat client Microsoft et Gestion des rôles du Contrat Entreprise Azure.

Rôles d’administrateur de facturation requis pour les actions de plan d’économies

  • Afficher les plans d’économies :
    • Contrat client Microsoft : utilisateurs avec un rôle Lecteur de profil de facturation ou supérieur
    • Contrat Entreprise : utilisateurs avec un rôle Administrateur d’entreprise (lecture seule) ou supérieur
    • Contrat Partenaire Microsoft : non pris en charge
  • Gérer les plans d’économies (obtenus en déléguant les autorisations pour l’inscription/profil de facturation complet) :
    • Contrat client Microsoft : utilisateurs avec un rôle Contributeur de profil de facturation ou supérieur
    • Contrat Entreprise : utilisateurs avec un rôle Administrateur du Contrat Entreprise ou supérieur
    • Contrat Partenaire Microsoft : non pris en charge
  • Déléguer des autorisations de plan d’économies :
    • Contrat client Microsoft : utilisateurs avec un rôle Contributeur de profil de facturation ou supérieur
    • Contrat Entreprise : utilisateurs avec un rôle Acheteur du Contrat Entreprise ou supérieur
    • Contrat Partenaire Microsoft : non pris en charge

Afficher et gérer les plans d’économies en tant qu’administrateur de facturation

Si vous êtes utilisateur d’un rôle de facturation, suivez ces étapes pour voir et gérer tous les plans d’économies et les transactions de plans d’économies dans le portail Azure.

  1. Connectez-vous au portail Azure et accédez à Cost Management + Billing.
    • Si vous êtes sous un compte Contrat Entreprise, dans le menu de gauche, sélectionnez Étendues de facturation. Puis, dans la liste des étendues de facturation, sélectionnez-en une.
    • Si vous êtes sous un compte Contrat client Microsoft, dans le menu de gauche, sélectionnez Profils de facturation. Dans la liste des profils de facturation, sélectionnez-en un.
  2. Dans le menu de gauche, sélectionnez Produits + services>Plans d’économies. La liste complète des plans d’économies pour votre inscription Contrat Entreprise ou profil de facturation Contrat client Microsoft s’affiche.
  3. Les utilisateurs de rôle de facturation peuvent s’approprier un plan d’économies avec l’API REST Elevate – Ordre de plan d’économies pour s’accorder des rôles RBAC Azure.

Ajouter des administrateurs de facturation

Ajoutez un utilisateur en tant qu’Administrateur de facturation pour un Contrat Entreprise ou un Contrat client Microsoft dans le portail Azure.

  • Contrat Entreprise : ajoutez des utilisateurs avec le rôle Administrateur d’entreprise pour voir et gérer toutes les commandes de plan d’économies qui s’appliquent au Contrat Entreprise. Les administrateurs d’entreprise peuvent afficher et gérer les plans d'économies dans Gestion des coûts + facturation.
    • Les utilisateurs avec le rôle Administrateur d’entreprise (lecture seule) peuvent uniquement voir le plan d’économies à partir de Cost Management + Billing.
    • Les administrateurs de service et les propriétaires de compte ne peuvent pas voir les plans d’économies à moins d’être explicitement ajoutés à ceux-ci avec le Contrôle d’accès (IAM). Pour plus d’informations, consultez Gestion des rôles Azure Enterprise.
  • Contrat client Microsoft : les utilisateurs avec le rôle Propriétaire de profil de facturation ou le rôle Contributeur de profil de facturation peuvent gérer l’ensemble des achats de plan d’économies effectués en utilisant le profil de facturation.
    • Les lecteurs de profil de facturation et les gestionnaires de facture peuvent voir tous les plans d'économies qui sont réglés avec le profil de facturation. Toutefois, ils ne peuvent apporter aucune modification aux plans d'économies. Pour plus d’informations, consultez Rôles et tâches liés au profil de facturation.

Rôles RBAC du plan d’économies

Le cycle de vie du plan d’économies est indépendant d’un abonnement Azure. Les plans d'économies n’héritent pas des autorisations des abonnements après achat. Les plans d’économies sont une ressource au niveau du locataire avec leurs propres autorisations RBAC Azure.

Vue d’ensemble

Il existe quatre rôles RBAC propres au plan d’économies :

  • Administrateur de plan d’économies : permet la gestion d’un ou de plusieurs plans d’économies dans un locataire et la délégation de rôles RBAC à d’autres utilisateurs.
  • Acheteur de plan d’économies : permet d’acheter des plans d’économies avec un abonnement spécifié.
  • Contributeur de plan d’économies : permet la gestion d’un ou de plusieurs plans d’économies dans un locataire, mais pas la délégation de rôles RBAC à d’autres utilisateurs.
  • Lecteur de plan d’économies : autorise l’accès en lecture seule à un ou plusieurs plans d’économies dans un locataire.

Ces rôles peuvent être étendus à une entité de ressource spécifique (par exemple, un abonnement ou un plan d’économies) ou au locataire Microsoft Entra (annuaire). Pour plus d’informations sur Azure RBAC, consultez Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (Azure RBAC) ?.

Rôles RBAC du plan d’économies requis pour les actions de plan d’économies

  • Afficher les plans d’économies :
    • Étendue du locataire : utilisateurs avec le rôle Lecteur de plan d’économies ou supérieur.
    • Étendue du plan d’économies : Lecteur intégré ou supérieur.
  • Gérer les plans d’économies :
    • Étendue du locataire : utilisateurs avec le rôle Contributeur de plan d’économies ou supérieur.
    • Étendue du plan d’économies : rôles Contributeur ou Propriétaire intégrés, ou Contributeur de plan d’économies ou supérieur.
  • Déléguer des autorisations de plan d’économies :
    • Étendue du locataire : des droits d’Administrateur de l’accès utilisateur sont nécessaires pour accorder des rôles RBAC sur tous les plans d’économies dans le locataire. Pour obtenir ces droits, suivez les étapes indiquées dans Élever l’accès.
    • Étendue du plan d’économies : Administrateur de plan d’économies ou Administrateur de l’accès utilisateur.

Par ailleurs, les utilisateurs qui ont le rôle Propriétaire de l’abonnement au moment où l’abonnement est utilisé pour acheter un plan d’économies peuvent également voir, gérer et déléguer des autorisations pour le plan d’économies acheté.

Afficher les plans d’économies avec l’accès RBAC

Si vous avez des rôles RBAC propres au plan d’économies (Administrateur, Acheteur, Contributeur ou Lecteur de plan d’économies), que vous avez acheté des plans d’économies ou avez été ajouté comme propriétaire sur des plans d’économies, suivez ces étapes pour voir et gérer les plans d’économies dans le portail Azure.

  1. Connectez-vous au portail Azure.
  2. Sélectionnez Accueil>Plans d’économies pour lister les plans d’économies auxquels vous avez accès.

Ajouter des rôles RBAC pour les utilisateurs et les groupes

Pour en savoir plus sur la délégation des rôles RBAC de plan d’économies, consultez Déléguer des rôles RBAC de plan d’économies.

Les administrateurs d’entreprise peuvent prendre la propriété d’une commande de plan d’économies. Ils peuvent ajouter d’autres utilisateurs à un plan d’économies en utilisant Contrôle d’accès (IAM).

Accorder l’accès avec PowerShell

Les utilisateurs qui ont un accès de propriétaire pour les commandes de plan d’économies, les utilisateurs avec un accès élevé et les administrateurs de l’accès utilisateur peuvent déléguer la gestion des accès pour toutes les commandes de plan d’économies auxquelles ils ont accès.

L’accès accordé avec PowerShell n’est pas indiqué dans le portail Azure. Au lieu de cela, vous utilisez la commande get-AzRoleAssignment dans la section suivante pour afficher les rôles attribués.

Attribuer le rôle Propriétaire pour tous les plans d’économies

Pour donner à un utilisateur l’accès RBAC Azure sur toutes les commandes de plan d’économies dans son locataire Microsoft Entra (annuaire), utilisez le script Azure PowerShell suivant :

Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.BillingBenefits/savingsPlans?api-version=2022-11-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$savingsPlanObjects = $responseJSON.value

foreach ($savingsPlan in $savingsPlanObjects)
{
  $savingsPlanOrderId = $savingsPlan.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$savingsPlanOrderId
  New-AzRoleAssignment -Scope $savingsPlanOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

Quand vous utilisez le script PowerShell pour attribuer le rôle de propriétaire et qu’il s’exécute correctement, aucun message de réussite n’est renvoyé.

Paramètres

  • ObjectId : ID d’objet Microsoft Entra de l’utilisateur, du groupe ou du principal du service

    • Type : Chaîne
    • Alias : Id, PrincipalId
    • Position : nommée
    • Valeur par défaut : None
    • Accepter l’entrée de pipeline : True
    • Accepter les caractères génériques : False
  • TenantId : identificateur unique du locataire

    • Type : Chaîne
    • Position : 5
    • Valeur par défaut : None
    • Accepter l’entrée de pipeline : False
    • Accepter les caractères génériques : False

Ajouter un rôle Administrateur de plan d’économies au niveau du locataire avec le script Azure PowerShell

Pour ajouter un rôle Administrateur de plan d’économies au niveau du locataire avec PowerShell, utilisez le script Azure PowerShell suivant :

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Administrator"

Paramètres

  • ObjectId : ID d’objet Microsoft Entra de l’utilisateur, du groupe ou du principal du service

    • Type : Chaîne
    • Alias : Id, PrincipalId
    • Position : nommée
    • Valeur par défaut : None
    • Accepter l’entrée de pipeline : True
    • Accepter les caractères génériques : False
  • TenantId : identificateur unique du locataire

    • Type : Chaîne
    • Position : 5
    • Valeur par défaut : None
    • Accepter l’entrée de pipeline : False
    • Accepter les caractères génériques : False

Attribuer un rôle Contributeur de plan d’économies au niveau du locataire avec un script Azure PowerShell

Pour attribuer le rôle Contributeur de plan d’économies au niveau du locataire avec PowerShell, utilisez le script Azure PowerShell suivant :

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Contributor"

Paramètres

  • ObjectId : ID d’objet Microsoft Entra de l’utilisateur, du groupe ou du principal du service

    • Type : Chaîne
    • Alias : Id, PrincipalId
    • Position : nommée
    • Valeur par défaut : None
    • Accepter l’entrée de pipeline : True
    • Accepter les caractères génériques : False
  • TenantId : identificateur unique du locataire

    • Type : Chaîne
    • Position : 5
    • Valeur par défaut : None
    • Accepter l’entrée de pipeline : False
    • Accepter les caractères génériques : False

Attribuer un rôle Lecteur de plan d’économies au niveau du locataire avec le script Azure PowerShell

Pour attribuer le rôle Lecteur de plan d’économies au niveau du locataire avec PowerShell, utilisez le script Azure PowerShell suivant :

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Reader"

Paramètres

  • ObjectId : ID d’objet Microsoft Entra de l’utilisateur, du groupe ou du principal du service

    • Type : Chaîne
    • Alias : Id, PrincipalId
    • Position : nommée
    • Valeur par défaut : None
    • Accepter l’entrée de pipeline : True
    • Accepter les caractères génériques : False
  • TenantId : identificateur unique du locataire

    • Type : Chaîne
    • Position : 5
    • Valeur par défaut : None
    • Accepter l’entrée de pipeline : False
    • Accepter les caractères génériques : False

Étapes suivantes