مشاركة عبر

تعيين أدوار اتفاقية Enterprise لكيانات الخدمة

  • مقالة

يمكنك إدارة تسجيل اتفاقية Enterprise (EA) في مدخل Microsoft Azure. يمكنك إنشاء أدوار مختلفة لإدارة مؤسستك وعرض التكاليف وإنشاء الاشتراكات. تساعدك هذه المقالة على أتمتة بعض هذه المهام باستخدام Azure PowerShell وواجهات برمجة تطبيقات REST مع أساسيات خدمة معرف Microsoft Entra.

إشعار

إذا كان لديك عدة حسابات فوترة EA في مؤسستك، فيجب عليك منح أدوار EA لكيانات خدمة معرف Microsoft Entra بشكل فردي في كل حساب فوترة EA.

قبل أن تبدأ، تأكد من اطلاعك على المقالات التالية:

تحتاج إلى طريقة لاستدعاء واجهات برمجة تطبيقات REST. بعض الطرق الشائعة للاستعلام عن واجهة برمجة التطبيقات هي:

إنشاء كيان الخدمة الخاص بك ومصادقته

لأتمتة إجراءات EA باستخدام كيان خدمة، تحتاج إلى إنشاء هوية تطبيق Microsoft Entra، والتي يمكن بعد ذلك المصادقة بطريقة تلقائية.

اتبع الخطوات الواردة في هذه المقالات لإنشاء كيان الخدمة والمصادقة عليه.

هذا مثال على صفحة تسجيل التطبيق.

لقطة شاشة تعرض

البحث عن كيان الخدمة ومعرف المستأجر

تحتاج إلى معرف عنصر كيان الخدمة ومعرف المستأجر. تحتاج هذه المعلومات لعمليات تعيين الأذونات لاحقاً في هذه المقالة. يتم تسجيل جميع التطبيقات في معرف Microsoft Entra في المستأجر. يتم إنشاء نوعين من الكائنات عند اكتمال تسجيل التطبيق:

  • كائن التطبيق - معرف التطبيق هو ما تراه ضمن تطبيقات المؤسسة. لا تستخدم المعرف لمنح أي أدوار EA.
  • كائن كيان الخدمة - كائن كيان الخدمة هو ما تراه في نافذة تسجيل المؤسسة في معرف Microsoft Entra. يتم استخدام معرف الكائن لمنح أدوار EA إلى كيان الخدمة.

  1. افتح Microsoft Entra ID، ثم حدد Enterprise applications.

  2. ابحث عن التطبيق الخاص بك في القائمة.

    لقطة شاشة تعرض مثالاً لتطبيق مؤسسة.

  3. حدد التطبيق للعثور على معرف التطبيق ومعرف الكائن:

    لقطة شاشة تعرض معرف التطبيق ومعرف الكائن لتطبيق مؤسسة.

  4. انتقل إلى صفحة نظرة عامة على معرف Microsoft Entra للعثور على معرف المستأجر.

    لقطة شاشة تظهر معرف المستأجر.

إشعار

تبدو قيمة معرف مستأجر Microsoft Entra مثل GUID بالتنسيق التالي: 11111111-1111-1111-1111-111111111111.

الأذونات التي يمكن تعيينها إلى كيان الخدمة

لاحقا في هذه المقالة، يمكنك منح الإذن لتطبيق Microsoft Entra للعمل باستخدام دور EA. يمكنك تعيين الأدوار التالية فقط إلى كيان الخدمة، وتحتاج إلى معرف تعريف الدور، تماما كما هو موضح.

الدور الإجراءات المسموح بها معرّف تعريف الدور
EnrollmentReader يمكن لقراء التسجيل عرض البيانات في نطاقات التسجيل والقسم والحساب. تحتوي البيانات على رسوم لجميع الاشتراكات ضمن النطاقات، بما في ذلك عبر المستأجرين. يمكن عرض رصيد Azure Prepayment (المعروف سابقاً بالالتزام النقدي) المرتبط بالتسجيل. 24f8edb6-1668-4659-b5e2-40bb5f3a7d7e
EA المشتري أوامر حجز الشراء وعرض معاملات الحجز. لديه جميع أذونات EnrollmentReader، والتي لديها جميع أذونات DepartmentReader. يمكنه عرض الاستخدام والرسوم عبر جميع الحسابات والاشتراكات. يمكن عرض رصيد Azure Prepayment (المعروف سابقاً بالالتزام النقدي) المرتبط بالتسجيل. da6647fb-7651-49ee-be91-c43c4877f0c4
DepartmentReader قم بتنزيل تفاصيل الاستخدام للقسم الذي يديرونها. يمكن عرض الاستخدام والرسوم المرتبطة بالقسم الخاص بها. db609904-a47f-4794-9be8-9bd86fbffd8a
SubscriptionCreator قم بإنشاء اشتراكات جديدة في نطاق الحساب المحدد. a0bcee42-bf30-4d1b-926a-48d21664ef71
  • يمكن تعيين دور EnrollmentReader إلى كيان خدمة فقط من قبل مستخدم لديه دور كاتب تسجيل. لا يظهر دور EnrollmentReader المعين إلى كيان الخدمة في مدخل Microsoft Azure. يتم إنشاؤها بواسطة وسائل برمجية وهي للاستخدام البرمجي فقط.
  • يمكن تعيين دور DepartmentReader إلى كيان خدمة فقط من قبل مستخدم لديه دور كاتب تسجيل أو كاتب قسم.
  • يمكن تعيين دور SubscriptionCreator إلى كيان خدمة فقط من قبل مستخدم مالك حساب التسجيل (مسؤول EA). لا يظهر الدور في مدخل Microsoft Azure. يتم إنشاؤها بواسطة وسائل برمجية وهي للاستخدام البرمجي فقط.
  • لا يظهر دور مشتري EA في مدخل Microsoft Azure. يتم إنشاؤها بواسطة وسائل برمجية وهي للاستخدام البرمجي فقط.

عند منح دور EA إلى كيان خدمة، يجب عليك استخدام الخاصية billingRoleAssignmentName المطلوبة. المعلمة هي GUID فريد يجب توفيره. يمكنك إنشاء معرّف فريد باستخدام الأمر New-Guid PowerShell. يمكنك أيضاً استخدام موقع الويب Online GUID / UUID Generator لإنشاء معرّف فريد.

يمكن أن يكون لمدير الخدمة دور واحد فقط.

تعيين إذن دور حساب التسجيل إلى كيان الخدمة

  1. اقرأ مقالة Role Assignments - Put REST API. أثناء قراءة المقالة، حدد Try it to get started by using the service principal.

    لقطة شاشة تعرض الخيار

  2. استخدم بيانات اعتماد حسابك لتسجيل الدخول إلى المستأجر باستخدام إمكانية الوصول إلى التسجيل الذي تريد تعيينه.

  3. قم بتوفير المعلمات التالية كجزء من طلب واجهة برمجة التطبيقات.

    • billingAccountNameهذه المعلمة هي معرف حساب الفوترة. يمكنك العثور عليها في مدخل Microsoft Azure في صفحة نظرة عامة على Cost Management + Billing.

      لقطة شاشة تظهر معرف حساب الفوترة.

    • billingRoleAssignmentNameهذه المعلمة هي معرّف فريد يجب عليك تقديمه. يمكنك إنشاء معرّف فريد باستخدام الأمر New-Guid PowerShell. يمكنك أيضاً استخدام موقع الويب Online GUID / UUID Generator لإنشاء معرّف فريد.

    • api-version:استخدم إصدار 2019-10-01-preview. استخدم نموذج نص الطلب في Role Assignments - Put - Examples.

      يحتوي نص الطلب على كود JSON مع ثلاث معلمات يجب عليك استخدامها.

      المعلمة‬ أين يمكن العثور عليها
      properties.principalId إنها قيمة معرف الكائن. راجع البحث عن كيان الخدمة ومعرف المستأجر.
      properties.principalTenantId راجع البحث عن كيان الخدمة ومعرف المستأجر.
      properties.roleDefinitionId /providers/Microsoft.Billing/billingAccounts/{BillingAccountName}/billingRoleDefinitions/24f8edb6-1668-4659-b5e2-40bb5f3a7d7e

      اسم حساب الفوترة هو نفس المعلمة التي استخدمتها في معلمات واجهة برمجة التطبيقات. إنه معرف التسجيل الذي تراه في مدخل Microsoft Azure.

      لاحظ أن 24f8edb6-1668-4659-b5e2-40bb5f3a7d7e هو معرف تعريف دور الفوترة لـ EnrollmentReader.

  4. حدد Run لبدء تشغيل الأمر.

    لقطة شاشة تعرض مثال تعيين دور مع مثال للمعلومات الجاهزة للتشغيل.

    200 OK تظهر الاستجابة أنه تمت إضافة كيان الخدمة بنجاح.

الآن يمكنك استخدام كيان الخدمة للوصول تلقائيا إلى واجهات برمجة تطبيقات EA. يكون لمدير الخدمة دور EnrollmentReader.

تعيين إذن دور مشتري EA إلى كيان الخدمة

بالنسبة لدور المشتري اتفاقية Enterprise، استخدم نفس الخطوات لقارئ التسجيل. حدد roleDefinitionId، باستخدام المثال التالي:

"/providers/Microsoft.Billing/billingAccounts/1111111/billingRoleDefinitions/ da6647fb-7651-49ee-be91-c43c4877f0c4"

تعيين دور قارئ القسم إلى كيان الخدمة

  1. اقرأ مقالة Enrollment Department Role Assignments - Put REST API. أثناء قراءة المقال، حدد Try it.

    لقطة شاشة تعرض الخيار

  2. استخدم بيانات اعتماد حسابك لتسجيل الدخول إلى المستأجر باستخدام إمكانية الوصول إلى التسجيل الذي تريد تعيينه.

  3. قم بتوفير المعلمات التالية كجزء من طلب واجهة برمجة التطبيقات.

    • billingAccountNameهذه المعلمة هي معرف حساب الفوترة. يمكنك العثور عليها في مدخل Microsoft Azure في صفحة نظرة عامة على Cost Management + Billing.

      لقطة شاشة تظهر معرف حساب الفوترة.

    • billingRoleAssignmentNameهذه المعلمة هي معرّف فريد يجب عليك تقديمه. يمكنك إنشاء معرّف فريد باستخدام الأمر New-Guid PowerShell. يمكنك أيضاً استخدام موقع الويب Online GUID / UUID Generator لإنشاء معرّف فريد.

    • departmentName: هذه المعلمة هي معرف القسم. يمكنك مشاهدة معرفات القسم في مدخل Microsoft Azure في صفحة Cost Management + Billing>Departments.

      في هذا المثال، استخدمنا قسم ACE. معرف المثال هو 84819.

      لقطة شاشة تظهر معرف القسم المثال.

    • api-version:استخدم إصدار 2019-10-01-preview. استخدم النموذج الموجود في Enrollment Department Role Assignments - Put.

      يحتوي نص الطلب على كود JSON مع ثلاث معلمات يجب عليك استخدامها.

      المعلمة‬ أين يمكن العثور عليها
      properties.principalId إنها قيمة معرف الكائن. راجع البحث عن كيان الخدمة ومعرف المستأجر.
      properties.principalTenantId راجع البحث عن كيان الخدمة ومعرف المستأجر.
      properties.roleDefinitionId /providers/Microsoft.Billing/billingAccounts/{BillingAccountName}/billingRoleDefinitions/db609904-a47f-4794-9be8-9bd86fbffd8a

      اسم حساب الفوترة هو نفس المعلمة التي استخدمتها في معلمات واجهة برمجة التطبيقات. إنه معرف التسجيل الذي تراه في مدخل Microsoft Azure.

      معرف تعريف دور الفوترة لـ db609904-a47f-4794-9be8-9bd86fbffd8a مخصص لقارئ القسم.

  4. حدد Run لبدء تشغيل الأمر.

    لقطة شاشة تعرض مثال Enrollment Department Role Assignments – Put REST Try It مع مثال على المعلومات الجاهزة للتشغيل.

    200 OK تظهر الاستجابة أنه تمت إضافة كيان الخدمة بنجاح.

الآن يمكنك استخدام كيان الخدمة للوصول تلقائيا إلى واجهات برمجة تطبيقات EA. كيان الخدمة له دور DepartmentReader.

تعيين دور منشئ الاشتراك إلى كيان الخدمة

  1. اقرأ مقالة Enrollment Account Role Assignments - Put. أثناء قراءته، حدد Try It لتعيين دور منشئ الاشتراك إلى كيان الخدمة.

    لقطة شاشة تعرض الخيار

  2. استخدم بيانات اعتماد حسابك لتسجيل الدخول إلى المستأجر باستخدام إمكانية الوصول إلى التسجيل الذي تريد تعيينه.

  3. قم بتوفير المعلمات التالية كجزء من طلب واجهة برمجة التطبيقات. اقرأ المقالة على Enrollment Account Role Assignments - Put - URI Parameters.

    • billingAccountNameهذه المعلمة هي معرف حساب الفوترة. يمكنك العثور عليها في مدخل Microsoft Azure في صفحة نظرة عامة على Cost Management + Billing.

      لقطة شاشة تظهر معرف حساب الفوترة.

    • billingRoleAssignmentNameهذه المعلمة هي معرّف فريد يجب عليك تقديمه. يمكنك إنشاء معرّف فريد باستخدام الأمر New-Guid PowerShell. يمكنك أيضاً استخدام موقع الويب Online GUID/UUID Generator لإنشاء معرّف فريد.

    • enrollmentAccountName: هذه المعلمة هي معرف الحساب. ابحث عن معرّف الحساب لاسم الحساب في مدخل Microsoft Azure في صفحة Cost Management + Billing.

      على سبيل المثال، استخدمنا GTM Test Account. المعرف هو 196987.

      لقطة شاشة تظهر معرف الحساب.

    • api-version:استخدم إصدار 2019-10-01-preview. استخدم العينة الموجودة في Enrollment Department Role Assignments - Put - Examples.

      يحتوي نص الطلب على كود JSON مع ثلاث معلمات يجب عليك استخدامها.

      المعلمة‬ أين يمكن العثور عليها
      properties.principalId إنها قيمة معرف الكائن. راجع البحث عن كيان الخدمة ومعرف المستأجر.
      properties.principalTenantId راجع البحث عن كيان الخدمة ومعرف المستأجر.
      properties.roleDefinitionId /providers/Microsoft.Billing/billingAccounts/{BillingAccountID}/enrollmentAccounts/{enrollmentAccountID}/billingRoleDefinitions/a0bcee42-bf30-4d1b-926a-48d21664ef71

      اسم حساب الفوترة هو نفس المعلمة التي استخدمتها في معلمات واجهة برمجة التطبيقات. إنه معرف التسجيل الذي تراه في مدخل Microsoft Azure.

      إن معرف تعريف دور الفوترة لـ a0bcee42-bf30-4d1b-926a-48d21664ef71 مخصص لدور منشئ الاشتراك.

  4. حدد Run لبدء تشغيل الأمر.

    لقطة شاشة تعرض خيار Try It في مقالة Enrollment Account Role Assignments - Put.

    200 OK تظهر الاستجابة أنه تمت إضافة كيان الخدمة بنجاح.

الآن يمكنك استخدام كيان الخدمة للوصول تلقائيا إلى واجهات برمجة تطبيقات EA. كيان الخدمة له دور SubscriptionCreator.

التحقق من تعيينات الدور الأساسي للخدمة

تعيينات الدور الأساسي للخدمة غير مرئية في مدخل Microsoft Azure. يمكنك عرض تعيينات دور حساب التسجيل، بما في ذلك دور منشئ الاشتراك، مع واجهة برمجة تطبيقات Billing Role Assignments - List By Enrollment Account - REST API (Azure Billing). استخدم واجهة برمجة التطبيقات للتحقق من نجاح تعيين الدور.

استكشاف الأخطاء وإصلاحها

يجب تحديد معرف كائن تطبيق Enterprise واستخدامه حيث منحت دور اتفاقية Enterprise. إذا كنت تستخدم معرف الكائن من بعض التطبيقات الأخرى، تفشل استدعاءات واجهة برمجة التطبيقات. تحقق من أنك تستخدم معرف كائن تطبيق Enterprise الصحيح.

إذا تلقيت الخطأ التالي عند إجراء استدعاء API الخاص بك، فقد تستخدم قيمة معرف كائن كيان الخدمة الموجودة في تسجيلات التطبيقات بشكل غير صحيح. لحل هذا الخطأ، تأكد من استخدام معرف كائن كيان الخدمة من تطبيقات المؤسسة، وليس تسجيلات التطبيقات.

The provided principal Tenant Id = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx and principal Object Id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx are not valid

الخطوات التالية

ابدأ باستخدام حساب الفوترة اتفاقية Enterprise.