مشاركة عبر

تعيين أدوار اتفاقية Enterprise لكيانات الخدمة

يمكنك إدارة تسجيل اتفاقية Enterprise (EA) في مدخل Microsoft Azure. يمكنك إنشاء أدوار مختلفة لإدارة مؤسستك وعرض التكاليف وإنشاء الاشتراكات. تساعدك هذه المقالة على أتمتة بعض هذه المهام باستخدام Azure PowerShell وواجهات برمجة تطبيقات REST مع أساسيات خدمة معرف Microsoft Entra.

إشعار

إذا كان لديك عدة حسابات فوترة EA في مؤسستك، فيجب عليك منح أدوار EA لكيانات خدمة معرف Microsoft Entra بشكل فردي في كل حساب فوترة EA.

قبل أن تبدأ، تأكد من اطلاعك على المقالات التالية:

تحتاج إلى طريقة لاستدعاء واجهات برمجة تطبيقات REST. بعض الطرق الشائعة للاستعلام عن واجهة برمجة التطبيقات هي:

إنشاء كيان الخدمة الخاص بك ومصادقته

لأتمتة إجراءات EA باستخدام كيان خدمة، تحتاج إلى إنشاء هوية تطبيق Microsoft Entra، والتي يمكن بعد ذلك المصادقة بطريقة تلقائية.

اتبع الخطوات الواردة في هذه المقالات لإنشاء كيان الخدمة والمصادقة عليه.

هذا مثال على صفحة تسجيل التطبيق.

لقطة شاشة تعرض

البحث عن كيان الخدمة ومعرف المستأجر

تحتاج إلى معرف عنصر كيان الخدمة ومعرف المستأجر. تحتاج هذه المعلومات لعمليات تعيين الأذونات لاحقاً في هذه المقالة. يتم تسجيل جميع التطبيقات في معرف Microsoft Entra في المستأجر. يتم إنشاء نوعين من الكائنات عند اكتمال تسجيل التطبيق:

  • كائن التطبيق - معرف التطبيق هو ما تراه ضمن تطبيقات المؤسسة. لا تستخدم المعرف لمنح أي أدوار EA.
  • كائن كيان الخدمة - كائن كيان الخدمة هو ما تراه في نافذة تسجيل المؤسسة في معرف Microsoft Entra. يتم استخدام معرف الكائن لمنح أدوار EA إلى كيان الخدمة.

  1. افتح Microsoft Entra ID، ثم حدد Enterprise applications.

  2. ابحث عن التطبيق الخاص بك في القائمة.

    لقطة شاشة تعرض مثالاً لتطبيق مؤسسة.

  3. حدد التطبيق للعثور على معرف التطبيق ومعرف الكائن:

    لقطة شاشة تعرض معرف التطبيق ومعرف الكائن لتطبيق مؤسسة.

  4. انتقل إلى صفحة نظرة عامة على معرف Microsoft Entra للعثور على معرف المستأجر.

    لقطة شاشة تظهر معرف المستأجر.

إشعار

تبدو قيمة معرف مستأجر Microsoft Entra مثل GUID بالتنسيق التالي: aaaabbbb-0000-cccc-1111-dddd2222eeee.

الأذونات التي يمكن تعيينها إلى كيان الخدمة

لاحقا في هذه المقالة، يمكنك منح الإذن لتطبيق Microsoft Entra للعمل باستخدام دور EA. يمكنك تعيين الأدوار التالية فقط إلى كيان الخدمة، وتحتاج إلى معرف تعريف الدور، تماما كما هو موضح.

الدور الإجراءات المسموح بها معرّف تعريف الدور
EnrollmentReader عرض البيانات في نطاقات التسجيل والقسم والحساب. تحتوي البيانات على رسوم لجميع الاشتراكات ضمن النطاقات، بما في ذلك عبر المستأجرين. يمكن عرض رصيد Azure Prepayment (المعروف سابقاً بالالتزام النقدي) المرتبط بالتسجيل. 24f8edb6-1668-4659-b5e2-40bb5f3a7d7e
EA المشتري أوامر حجز الشراء وعرض معاملات الحجز. لديه جميع أذونات EnrollmentReader، والتي لديها جميع أذونات DepartmentReader. يمكنه عرض الاستخدام والرسوم عبر جميع الحسابات والاشتراكات. يمكن عرض رصيد Azure Prepayment (المعروف سابقاً بالالتزام النقدي) المرتبط بالتسجيل. da6647fb-7651-49ee-be91-c43c4877f0c4
قارئ القسم قم بتنزيل تفاصيل الاستخدام للقسم الذي يديرونها. يمكن عرض الاستخدام والرسوم المرتبطة بالقسم الخاص بها. db609904-a47f-4794-9be8-9bd86fbffd8a
SubscriptionCreator قم بإنشاء اشتراكات جديدة في نطاق الحساب المحدد. a0bcee42-bf30-4d1b-926a-48d21664ef71
قارئ مسؤول الشريك عرض البيانات لجميع التسجيلات ضمن المؤسسة الشريكة. يتوفر هذا الدور فقط لواجهات برمجة التطبيقات التالية:
- موازين
- تصدير الإصدار 2 (api-version 2025-03-01 فقط)
- إنشاء تقرير تفاصيل التكلفة
- الاسواق
- ورقة أسعار الاستهلاك
- تنزيل ورقة أسعار إدارة التكلفة
- إنشاء تقرير تفاصيل الحجز
- ملخصات الحجز
- توصيات الحجز
- عمليات الحجز		 4f6144c0-a809-4c55-b3c8-7f9b7b15a1bf

مطلوب أدوار المستخدم التالية لتعيين كل دور أساسي للخدمة:

  • EnrollmentReader: يجب أن يكون لتعيين المستخدم دور كاتب التسجيل .
  • DepartmentReader: يجب أن يكون لتعيين المستخدم دور كاتب التسجيل أو كاتب القسم .
  • SubscriptionCreator: يجب أن يكون تعيين المستخدم هو مالك حساب التسجيل (مسؤول EA).
  • مشتري EA: يجب أن يكون لتعيين المستخدم دور كاتب التسجيل .
  • قارئ مسؤول الشريك: يجب أن يكون لتعيين المستخدم دور مسؤول شريك .

يتم إنشاء كل هذه الأدوار بالوسائل البرمجية، ولا تظهر في مدخل Microsoft Azure، وهي للاستخدام البرمجي فقط.

عند منح دور EA إلى كيان خدمة، يجب عليك استخدام الخاصية billingRoleAssignmentName المطلوبة. المعلمة هي GUID فريد يجب توفيره. يمكنك إنشاء معرّف فريد باستخدام الأمر New-Guid PowerShell. يمكنك أيضاً استخدام موقع الويب Online GUID / UUID Generator لإنشاء معرّف فريد.

يمكن أن يكون لمدير الخدمة دور واحد فقط.

تعيين دور إلى كيان الخدمة

اتبع هذه الخطوات لتعيين أي من الأدوار المدعومة إلى كيان الخدمة:

  1. استخدم تعيينات الدور المناسبة ضع واجهة برمجة تطبيقات REST وحدد جربها. ابحث عن واجهة برمجة التطبيقات الصحيحة لاستخدامها في الجدول أدناه. لقطة شاشة تعرض الخيار

  2. سجل الدخول إلى المستأجر بالوصول المطلوب.

  3. قم بتوفير المعلمات التالية في طلب API الخاص بك:

    • billingAccountName: معرف حساب الفوترة. بالنسبة لدور قارئ مسؤول الشريك، استخدم التنسيق pcn.{PCN} (حيث {PCN} هو رقم عميل الشريك). بالنسبة لجميع الأدوار الأخرى، استخدم معرف حساب الفوترة القياسي من مدخل Microsoft Azure.

    لقطة شاشة تظهر معرف حساب الفوترة.

    • billingRoleAssignmentName: معرف فريد فريد تقوم بإنشاء (راجع New-Guid).
    • api-version: استخدم 2019-10-01-preview ما لم تتم الإشارة إلى خلاف ذلك.
    • طلب معلمات النص الأساسي:
      • properties.principalId: معرف الكائن الخاص بكيان الخدمة.
      • properties.principalTenantId: معرف المستأجر.
      • properties.roleDefinitionId: استخدم القيمة من الجدول أدناه.
الدور دور المستخدم المطلوب لتعيينه معرّف تعريف الدور مرجع API ملاحظات
EnrollmentReader كاتب التسجيل 24f8edb6-1668-4659-b5e2-40bb5f3a7d7e تعيينات الأدوار - وضع
EA المشتري كاتب التسجيل da6647fb-7651-49ee-be91-c43c4877f0c4 تعيينات الأدوار - وضع
قارئ القسم كاتب التسجيل أو كاتب القسم db609904-a47f-4794-9be8-9bd86fbffd8a تعيينات دور قسم التسجيل - وضع استخدم معلمة departmentName.
SubscriptionCreator مالك حساب التسجيل (مسؤول EA) a0bcee42-bf30-4d1b-926a-48d21664ef71 تعيينات دور حساب التسجيل - وضع استخدم معلمة enrollmentAccountName.
قارئ مسؤول الشريك مسؤول الشريك 4f6144c0-a809-4c55-b3c8-7f9b7b15a1bf تعيينات الأدوار - وضع استخدم pcn.{PCN} للفوترةAccountName.
  1. حدد Run لتنفيذ الأمر.

لقطة شاشة تعرض مثال تعيين دور مع مثال للمعلومات الجاهزة للتشغيل.

  1. 200 OK تعني الاستجابة أنه تم تعيين الدور بنجاح لمدير الخدمة.

التحقق من تعيينات الدور الأساسي للخدمة

تعيينات الدور الأساسي للخدمة غير مرئية في مدخل Microsoft Azure. يمكنك عرض تعيينات دور حساب التسجيل، بما في ذلك دور منشئ الاشتراك، مع واجهة برمجة تطبيقات Billing Role Assignments - List By Enrollment Account - REST API (Azure Billing). استخدم واجهة برمجة التطبيقات للتحقق من نجاح تعيين الدور.

استكشاف الأخطاء وإصلاحها

يجب تحديد معرف كائن تطبيق Enterprise واستخدامه حيث منحت دور اتفاقية Enterprise. إذا كنت تستخدم معرف الكائن من بعض التطبيقات الأخرى، تفشل استدعاءات واجهة برمجة التطبيقات. تحقق من أنك تستخدم معرف كائن تطبيق Enterprise الصحيح.

إذا تلقيت الخطأ التالي عند إجراء استدعاء API الخاص بك، فقد تستخدم قيمة معرف كائن كيان الخدمة الموجودة في تسجيلات التطبيقات بشكل غير صحيح. لحل هذا الخطأ، تأكد من استخدام معرف كائن كيان الخدمة من تطبيقات المؤسسة، وليس تسجيلات التطبيقات.

The provided principal Tenant Id = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx and principal Object Id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx are not valid

الخطوات التالية

ابدأ باستخدام حساب الفوترة اتفاقية Enterprise.