Behörigheter för att visa och hantera Azure-reservationer
Den här artikeln beskriver hur reservationsbehörigheter fungerar och hur användare kan visa och hantera Azure-reservationer i Azure-portalen och med Azure PowerShell.
Kommentar
Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Information om hur du kommer igång finns i Installera Azure PowerShell. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.
Vem kan hantera en reservation som standard?
Som standard kan följande användare visa och hantera reservationer:
- Den person som köper en reservation och kontoadministratören för den faktureringsprenumeration som används för att köpa reservationen läggs till i reservationsbeställningen.
- Faktureringsadministratörer för Enterprise-avtal och Microsoft-kundavtal.
- Användare med utökad åtkomst som kan hantera alla Azure-prenumerationer och hanteringsgrupper
- En reservationsadministratör för reservationer i sin Microsoft Entra-klientorganisation (katalog)
- En reservationsläsare har skrivskyddad åtkomst till reservationer i den egna Microsoft Entra-klientorganisationen (katalogen)
Reservationslivscykeln är oberoende av en Azure-prenumeration, så reservationen är inte en resurs under Azure-prenumerationen. I stället är det en resurs på klientorganisationsnivå med en egen Azure RBAC-behörighet som är separat från prenumerationerna. Reservationer ärver inte behörigheter från prenumerationer efter köpet.
Visa och hantera reservationer
Om du är faktureringsadministratör använder du följande steg för att visa och hantera alla reservationer och reservationstransaktioner i Azure-portalen.
- Logga in på Azure-portalen och gå till Kostnadshantering och fakturering.
- Om du är EA-administratör går du till den vänstra menyn och väljer Faktureringsomfång och väljer sedan ett i listan över faktureringsomfång.
- Om du är om du är en faktureringsprofilägare i ett Microsoft-kundavtal, så välj Faktureringsprofiler på den vänstra menyn. Välj en faktureringsprofil i listan.
- Välj Produkter + tjänster>Reservationer i den vänstra menyn.
- Den fullständiga listan över reservationer för din EA-registrering eller faktureringsprofil visas.
- Faktureringsadministratörer kan bli ägare till en reservation genom att välja en eller flera reservationer, välja Bevilja åtkomst och sedan välja Bevilja åtkomst i det fönster som visas. För en Microsoft korisnički ugovor ska användaren finnas i samma Microsoft Entra-klientorganisation (katalog) som reservationen.
Lägga till faktureringsadministratörer
Lägg till en användare som faktureringsadministratör för ett Enterprise-avtal eller ett Microsoft-kundavtal i Azure Portal.
- Om du har ett Enterprise-avtal lägger du till användare med rollen Företagsadministratör så att de kan visa och hantera reservationsbeställningar under Enterprise-avtalet. Företagsadministratörer kan visa och hantera reservationer i Cost Management + Fakturering.
- Användare med rollen Företagsadministratör (skrivskyddad) kan bara visa reservationen från Cost Management + Fakturering.
- Avdelningsadministratörer och kontoägare kan inte visa reservationer om de inte uttryckligen läggs till i dem via åtkomstkontroll (IAM). Mer information finns i Hantera Azure Enterprise-roller.
- Med ett Microsoft-kundavtal kan användare med rollen som faktureringsprofilägare eller faktureringsprofildeltagare hantera alla reservationsköp som görs via faktureringsprofilen. Debiteringsprofilläsare och fakturahanterare kan visa alla reservationer som betalas via faktureringsprofilen. Däremot kan de inte göra ändringar i reservationer. Mer information finns i Roller och uppgifter för faktureringsprofiler.
Visa reservationer med Azure RBAC-åtkomst
Om du har köpt reservationen eller om du har lagts till i en reservation använder du följande steg för att visa och hantera reservationer i Azure-portalen.
- Logga in på Azure-portalen.
- Välj Alla tjänstereservationer> för att visa en lista över reservationer som du har åtkomst till.
Hantera prenumerationer och hanteringsgrupper med utökad åtkomst
Du kan utöka en användares åtkomst för att hantera alla Azure-prenumerationer och hanteringsgrupper.
När du har utökat åtkomsten:
- Gå till Alla tjänstereservationer> för att se alla reservationer som finns i klientorganisationen.
- Om du vill göra ändringar i reservationen lägger du till dig själv som ägare av reservationsbeställningen med hjälp av åtkomstkontroll (IAM).
Bevilja åtkomst till enskilda reservationer
Användare som har ägaråtkomst till reservationerna och faktureringsadministratörerna kan delegera åtkomsthantering för en enskild reservationsbeställning i Azure-portalen.
Du kan välja mellan två alternativ för att låta andra hantera reservationer:
Delegera åtkomsthantering för en enskild reservationsbeställning genom att tilldela rollen Ägare till en användare i resursomfånget för reservationsbeställningen. Du kan välja en annan roll om du vill ge begränsad åtkomst.
Läs mer om att tilldela roller i Tilldela Azure-roller via Azure Portal.Lägg till en användare som faktureringsadministratör för ett Enterprise-avtal eller ett Microsoft-kundavtal:
Om du har ett Enterprise-avtal lägger du till användare med rollen Företagsadministratör så att de kan visa och hantera reservationsbeställningar under Enterprise-avtalet. Användare med rollen Enterprise-administratör (skrivskyddad) kan bara visa reservationen. Avdelningsadministratörer och kontoägare kan inte visa reservationer om de inte uttryckligen läggs till i dem via åtkomstkontroll (IAM). Mer information finns i Hantera Azure Enterprise-roller.
Enterprise-administratörer kan bli ägare till en reservationsbeställning och kan lägga till andra användare till en reservation via åtkomstkontroll (IAM).
Med ett Microsoft-kundavtal kan användare med rollen som faktureringsprofilägare eller faktureringsprofildeltagare hantera alla reservationsköp som görs via faktureringsprofilen. Debiteringsprofilläsare och fakturahanterare kan visa alla reservationer som betalas via faktureringsprofilen. Däremot kan de inte göra ändringar i reservationer. Mer information finns i Roller och uppgifter för faktureringsprofiler.
Bevilja åtkomst med PowerShell
Användare som har ägaråtkomst för reservationsbeställningar, användare med förhöjd åtkomst och administratörer för användaråtkomst kan delegera åtkomsthantering för alla reservationsbeställningar som de har åtkomst till.
Åtkomst som beviljas med PowerShell visas inte i Azure-portalen. I stället använder get-AzRoleAssignment
du kommandot i följande avsnitt för att visa tilldelade roller.
Tilldela ägarrollen för alla reservationer
Använd följande Azure PowerShell-skript för att ge en användare Azure RBAC-åtkomst till alla reservationsbeställningar i den egna Microsoft Entra-klientorganisationen (katalogen).
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.Capacity/reservations?api-version=2020-06-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$reservationObjects = $responseJSON.value
foreach ($reservation in $reservationObjects)
{
$reservationOrderId = $reservation.id.substring(0, 84)
Write-Host "Assigning Owner role assignment to "$reservationOrderId
New-AzRoleAssignment -Scope $reservationOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}
När du använder PowerShell-skriptet för att tilldela ägarskapsrollen och den körs korrekt returneras inte något meddelande.
Parametrar
-ObjectId Microsoft Entra ObjectId för användaren, gruppen eller tjänstens huvudnamn.
- Typ: Sträng
- Alias: ID, PrincipalId
- Position: Namngiven
- Standardvärde: Ingen
- Acceptera pipelineindata: Sant
- Acceptera jokertecken: Falskt
-TenantId Unik identifierare för klientorganisation.
- Typ: Sträng
- Position: 5
- Standardvärde: Ingen
- Acceptera pipelineindata: Falskt
- Acceptera jokertecken: Falskt
Åtkomst på klientorganisationsnivå
Behörigheter som administratör för användaråtkomst krävs innan du kan bevilja användare eller grupper rollen Reservationsadministratör och Reservationsläsare på klientorganisationsnivå. För att få behörighet som administratör för användaråtkomst på klientorganisationsnivå följer du stegen för att höja åtkomsten .
Lägg till rollen Reservationsadministratör eller Reservationsläsare på klientorganisationsnivå
Endast globala administratörer kan tilldela dessa roller från Azure-portalen.
- Logga in på Azure-portalen och gå till Reservationer.
- Välj en reservation som du har åtkomst till.
- Välj Rolltilldelning överst på sidan.
- Välj fliken Roller.
- Om du vill göra ändringar lägger du till en användare som reservationsadministratör eller reservationsläsare med hjälp av åtkomstkontroll.
Lägga till en reservationsadministratörsroll på klientorganisationsnivå med hjälp av Azure PowerShell-skript
Använd följande Azure PowerShell-skript för att lägga till en reservationsadministratörsroll på klientorganisationsnivå med PowerShell.
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Administrator"
Parametrar
-ObjectId Microsoft Entra ObjectId för användaren, gruppen eller tjänstens huvudnamn.
- Typ: Sträng
- Alias: ID, PrincipalId
- Position: Namngiven
- Standardvärde: Ingen
- Acceptera pipelineindata: Sant
- Acceptera jokertecken: Falskt
-TenantId Unik identifierare för klientorganisation.
- Typ: Sträng
- Position: 5
- Standardvärde: Ingen
- Acceptera pipelineindata: Falskt
- Acceptera jokertecken: Falskt
Tilldela en roll för reservationsläsare på klientorganisationsnivå med hjälp av Azure PowerShell-skript
Använd följande Azure PowerShell-skript för att tilldela rollen Reservationsläsare på klientorganisationsnivå med PowerShell.
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Reader"
Parametrar
-ObjectId Microsoft Entra ObjectId för användaren, gruppen eller tjänstens huvudnamn.
- Typ: Sträng
- Alias: ID, PrincipalId
- Position: Namngiven
- Standardvärde: Ingen
- Acceptera pipelineindata: Sant
- Acceptera jokertecken: Falskt
-TenantId Unik identifierare för klientorganisation.
- Typ: Sträng
- Position: 5
- Standardvärde: Ingen
- Acceptera pipelineindata: Falskt
- Acceptera jokertecken: Falskt