Zuweisen von Rollen zu Azure Enterprise Agreement-Dienstprinzipalnamen

  • Artikel
  • 7 Minuten Lesedauer

Sie können Ihre EA-Registrierung (Enterprise Agreement) im Azure Enterprise Portal verwalten. Direkte Enterprise-Kund*innen können jetzt die EA-Registrierung (Enterprise Agreement) im Azure-Portal verwalten. Sie können verschiedene Rollen erstellen, um Ihre Organisation zu verwalten, Kosten anzuzeigen und Abonnements zu erstellen. Dieser Artikel unterstützt Sie bei der Automatisierung einiger dieser Aufgaben durch die Verwendung von Azure PowerShell und REST-APIs mit Azure-Dienstprinzipalnamen (Service Prinzipal Names, SPNs).

Bevor Sie beginnen, stellen Sie sicher, dass Sie den Inhalt der folgenden Artikel kennen:

Erstellen und Authentifizieren des Dienstprinzipals

Zum Automatisieren von EA-Aktionen mithilfe eines SPN müssen Sie eine Azure AD-Anwendung (Azure Active Directory) erstellen. Die Authentifizierung kann automatisiert erfolgen.

Führen Sie die Schritte in diesen Artikeln aus, um Ihren Dienstprinzipal zu erstellen und zu authentifizieren.

Hier sehen Sie ein Beispiel für die Seite für die Anwendungsregistrierung:

Screenshot: Registrieren einer Anwendung

Suchen des SPN und der Mandanten-ID

Außerdem benötigen Sie die Objekt-ID des SPN und die Mandanten-ID der Anwendung. Sie benötigen diese Informationen für Berechtigungszuweisungen weiter unten in diesem Artikel.

  1. Öffnen Sie Azure Active Directory, und wählen Sie Unternehmensanwendungen aus.

  2. Suchen Sie Ihre App in der Liste.

    Screenshot: Beispiel für eine Unternehmensanwendung

  3. Wählen Sie die App aus, um die Anwendungs-ID und Objekt-ID zu ermitteln:

    Screenshot: Eine Anwendungs-ID und Objekt-ID für eine Unternehmensanwendung

  4. Die Mandanten-ID finden Sie auf der Seite Übersicht von Microsoft Azure AD.

    Screenshot: Mandanten-ID

Hinweis

Ihre Mandanten-ID kann an anderen Stellen als Prinzipal-ID, SPN oder Objekt-ID bezeichnet werden. Der Wert der Azure AD-Mandanten-ID ähnelt einer GUID mit dem folgenden Format: 11111111-1111-1111-1111-111111111111.

Berechtigungen, die dem SPN zugewiesen werden können

Später in diesem Artikel erteilen Sie der Azure AD-App Berechtigungen zum Ausführen von Aktionen mit einer EA-Rolle. Sie können dem SPN nur die folgenden Rollen zuweisen, und Sie benötigen die genaue Rollendefinitions-ID wie hier gezeigt:

Rolle Zulässige Aktionen Rollendefinitions-ID
EnrollmentReader Registrierungsleser können Daten im Registrierungs-, Abteilungs- und Kontobereich anzeigen. Die Daten enthalten Gebühren für alle Abonnements in den Bereichen, einschließlich aller Mandanten. Kann den Saldo der Azure-Vorauszahlung (früher als Mindestverbrauch bezeichnet) für die Registrierung anzeigen. 24f8edb6-1668-4659-b5e2-40bb5f3a7d7e
EA purchaser (EA-Einkäufer) Kann Reservierungsaufträge erwerben und Reservierungstransaktionen anzeigen. Es hat alle Berechtigungen von EnrollmentReader, das wiederum alle Berechtigungen von DepartmentReader hat. Es kann Nutzung und Gebühren für alle Konten und Abonnements anzeigen. Kann den Saldo der Azure-Vorauszahlung (früher als Mindestverbrauch bezeichnet) für die Registrierung anzeigen. da6647fb-7651-49ee-be91-c43c4877f0c4
DepartmentReader Herunterladen der Nutzungsdetails für die verwaltete Abteilung. Kann die Nutzung und die Gebühren für die Abteilung anzeigen. db609904-a47f-4794-9be8-9bd86fbffd8a
SubscriptionCreator Erstellen neuer Abonnements im angegebenen Kontobereich. a0bcee42-bf30-4d1b-926a-48d21664ef71
  • Die Rolle „EnrollmentReader“ kann einem SPN nur von einem Benutzer zugewiesen werden, der über die Rolle „EnrollmentWriter“ verfügt.
  • Die Rolle „DepartmentReader“ kann einem SPN nur von einem Benutzer zugewiesen werden, der über die Rolle „EnrollmentWriter“ oder „DepartmentWriter“ verfügt.
  • Die Rolle „SubscriptionCreator“ kann einem SPN nur von einem Benutzer zugewiesen werden, der als Besitzer des Registrierungskontos fungiert (EA-Administrator). Die Rolle wird im EA-Portal nicht angezeigt. Sie wird programmgesteuert erstellt und dient nur zur programmgesteuerten Verwendung.
  • Die Rolle des EA-Einkäufers wird im EA-Portal nicht angezeigt. Sie wird programmgesteuert erstellt und dient nur zur programmgesteuerten Verwendung.

Ein SPN kann nur eine Rolle haben.

Zuweisen der Registrierungskonto-Rollenberechtigung zum SPN

  1. Lesen Sie den REST-API-Artikel Rollenzuweisungen – PUT. Klicken Sie im Artikel auf Jetzt ausprobieren, um mit der Verwendung des SPN zu beginnen.

    Screenshot der Option „Jetzt testen“ im Artikel „Rollenzuweisungen – PUT“

  2. Melden Sie sich mit Ihren Kontoanmeldeinformationen beim Mandanten mit dem Registrierungszugriff an, den Sie zuweisen möchten.

  3. Geben Sie in der API-Anforderung die folgenden Parameter an.

    • billingAccountName: Dieser Parameter ist die Abrechnungskonto-ID. Sie finden ihn im Azure-Portal auf der Übersichtsseite Kostenverwaltung + Abrechnung.

      Screenshot der ID des Abrechnungskontos

    • billingRoleAssignmentName: Dieser Parameter ist eine eindeutige GUID, die Sie angeben müssen. Eine GUID kann mit dem PowerShell-Befehl New-Guid erstellt werden. Sie können eine eindeutige GUID auch über die Website Online-Generator für GUIDs/UUIDs generieren.

    • api-version: Verwenden Sie die Version 2019-10-01-preview. Verwenden Sie den Beispielanforderungstext in Rollenzuweisungen – PUT – Beispiele.

      Der Anforderungstext enthält JSON-Code mit drei Parametern, die Sie verwenden müssen.

      Parameter Ort
      properties.principalId Dies ist der Wert der Objekt-ID. Siehe Suchen des SPN und der Mandanten-ID.
      properties.principalTenantId Siehe Suchen des SPN und der Mandanten-ID.
      properties.roleDefinitionId /providers/Microsoft.Billing/billingAccounts/{BillingAccountName}/billingRoleDefinitions/24f8edb6-1668-4659-b5e2-40bb5f3a7d7e

      Der Name des Abrechnungskontos ist der Parameter, den Sie in den API-Parametern verwendet haben. Dabei handelt es sich um die Registrierungs-ID, die im EA-Portal und Azure-Portal angezeigt wird.

      Beachten Sie, dass 24f8edb6-1668-4659-b5e2-40bb5f3a7d7e die ID der Abrechnungsrollendefinition für einen Benutzer mit der Rolle „EnrollmentReader“ ist.

  4. Klicken Sie auf Ausführen, um den Befehl zu starten.

    Screenshot: Beispiel für eine Rollenzuweisung mit „PUT“ nach Klicken auf „Jetzt testen“ mit Beispielinformationen zum Ausführen des Befehls

    Die Antwort 200 OK bedeutet, dass der SPN erfolgreich hinzugefügt wurde.

Jetzt können Sie den SPN verwenden, um automatisch auf EA-APIs zuzugreifen. Der SPN verfügt über die Rolle „EnrollmentReader“.

Zuweisen der Rollenberechtigung „EA Purchaser“ (EA-Einkäufer) zum SPN

Führen Sie für die Rolle „EA Purchaser“ (EA-Einkäufer) die gleichen Schritte wie für „EnrollmentReader“ aus. Geben Sie roleDefinitionId an, indem Sie das folgende Beispiel verwenden:

"/providers/Microsoft.Billing/billingAccounts/1111111/billingRoleDefinitions/ da6647fb-7651-49ee-be91-c43c4877f0c4"

Zuweisen der Rolle „DepartmentReader“ zum SPN

  1. Lesen Sie den REST-API-Artikel Zuweisen von Registrierungsrollen für Abteilungen – PUT. Klicken Sie im Artikel auf Jetzt ausprobieren.

    Screenshot: Die Option „Jetzt testen“ im Artikel „Zuweisen von Registrierungsrollen für Abteilungen – PUT“

  2. Melden Sie sich mit Ihren Kontoanmeldeinformationen beim Mandanten mit dem Registrierungszugriff an, den Sie zuweisen möchten.

  3. Geben Sie in der API-Anforderung die folgenden Parameter an.

    • billingAccountName: Dieser Parameter ist die Abrechnungskonto-ID. Sie finden ihn im Azure-Portal auf der Übersichtsseite Kostenverwaltung + Abrechnung.

      Screenshot der ID des Abrechnungskontos

    • billingRoleAssignmentName: Dieser Parameter ist eine eindeutige GUID, die Sie angeben müssen. Eine GUID kann mit dem PowerShell-Befehl New-Guid erstellt werden. Sie können eine eindeutige GUID auch über die Website Online-Generator für GUIDs/UUIDs generieren.

    • departmentName: Dieser Parameter ist die Abteilungs-ID. Abteilungs-IDs werden im Azure-Portal auf der Seite Kostenverwaltung + Abrechnung>Abteilungen angezeigt.

      In diesem Beispiel wurde die Abteilung „ACE“ verwendet. Die ID im Beispiel lautet 84819.

      Screenshot: Beispiel für eine Abteilungs-ID

    • api-version: Verwenden Sie die Version 2019-10-01-preview. Verwenden Sie das Beispiel in Zuweisen von Registrierungsrollen für Abteilungen – PUT.

      Der Anforderungstext enthält JSON-Code mit drei Parametern, die Sie verwenden müssen.

      Parameter Ort
      properties.principalId Dies ist der Wert der Objekt-ID. Siehe Suchen des SPN und der Mandanten-ID.
      properties.principalTenantId Siehe Suchen des SPN und der Mandanten-ID.
      properties.roleDefinitionId /providers/Microsoft.Billing/billingAccounts/{BillingAccountName}/billingRoleDefinitions/db609904-a47f-4794-9be8-9bd86fbffd8a

      Der Name des Abrechnungskontos ist der Parameter, den Sie in den API-Parametern verwendet haben. Dabei handelt es sich um die Registrierungs-ID, die im EA-Portal und Azure-Portal angezeigt wird.

      Die Definitions-ID db609904-a47f-4794-9be8-9bd86fbffd8a der Abrechnungsrolle gilt für „DepartmentReader“.

  4. Klicken Sie auf Ausführen, um den Befehl zu starten.

    Screenshot: Beispiel für die Rollenzuweisung mit „PUT“ nach Klicken auf „Jetzt testen“ im Artikel zum Zuweisen von Registrierungsrollen für Abteilungen mit Beispielinformationen zum Ausführen des Befehls

    Die Antwort 200 OK bedeutet, dass der SPN erfolgreich hinzugefügt wurde.

Jetzt können Sie den SPN verwenden, um automatisch auf EA-APIs zuzugreifen. Der SPN verfügt über die Rolle „DepartmentReader“.

Zuweisen der Rolle „SubscriptionCreator“ zum SPN

  1. Lesen Sie den Artikel Zuweisen von Registrierungsrollenzuweisungen für Konten – PUT. Klicken Sie im Artikel auf Jetzt ausprobieren, um dem SPN die Rolle „SubscriptionCreator“ zuzuweisen.

    Screenshot: Die Option „Jetzt testen“ im Artikel „Zuweisen von Registrierungsrollen für Konten – PUT“

  2. Melden Sie sich mit Ihren Kontoanmeldeinformationen beim Mandanten mit dem Registrierungszugriff an, den Sie zuweisen möchten.

  3. Geben Sie in der API-Anforderung die folgenden Parameter an. Lesen Sie den Artikel Zuweisen von Registrierungsrollen für Konten – PUT – URI-Parameter.

    • billingAccountName: Dieser Parameter ist die Abrechnungskonto-ID. Sie finden ihn im Azure-Portal auf der Übersichtsseite Kostenverwaltung + Abrechnung.

      Screenshot: Abrechnungskonto-ID

    • billingRoleAssignmentName: Dieser Parameter ist eine eindeutige GUID, die Sie angeben müssen. Eine GUID kann mit dem PowerShell-Befehl New-Guid erstellt werden. Sie können eine eindeutige GUID auch über die Website Online-Generator für GUIDs/UUIDs generieren.

    • enrollmentAccountName: Dieser Parameter ist die Konto-ID. Suchen Sie im Azure-Portal auf der Seite Kostenverwaltung + Abrechnung die Konto-ID für den Kontonamen.

      In diesem Beispiel wurde ein Konto mit dem Namen „GTM Test Account“ verwendet. Die ID lautet 196987.

      Screenshot der Konto-ID

    • api-version: Verwenden Sie die Version 2019-10-01-preview. Verwenden Sie das Beispiel in Zuweisen von Registrierungsrollen für Abteilungen – PUT – Beispiele.

      Der Anforderungstext enthält JSON-Code mit drei Parametern, die Sie verwenden müssen.

      Parameter Ort
      properties.principalId Dies ist der Wert der Objekt-ID. Siehe Suchen des SPN und der Mandanten-ID.
      properties.principalTenantId Siehe Suchen des SPN und der Mandanten-ID.
      properties.roleDefinitionId /providers/Microsoft.Billing/billingAccounts/{BillingAccountID}/enrollmentAccounts/196987/billingRoleDefinitions/a0bcee42-bf30-4d1b-926a-48d21664ef71

      Der Name des Abrechnungskontos ist der Parameter, den Sie in den API-Parametern verwendet haben. Dabei handelt es sich um die Registrierungs-ID, die im EA-Portal und Azure-Portal angezeigt wird.

      Die Definitions-ID a0bcee42-bf30-4d1b-926a-48d21664ef71 der Abrechnungsrolle gilt für die Rolle „SubscriptionCreator“.

  4. Klicken Sie auf Ausführen, um den Befehl zu starten.

    Screenshot: Die Option „Jetzt testen“ im Artikel „Zuweisen von Registrierungsrollen für Konten – PUT“

    Die Antwort 200 OK bedeutet, dass der SPN erfolgreich hinzugefügt wurde.

Jetzt können Sie den SPN verwenden, um automatisch auf EA-APIs zuzugreifen. Der SPN verfügt über die Rolle „SubscriptionCreator“.

Problembehandlung

Sie müssen die Objekt-ID der Unternehmensanwendung identifizieren und verwenden, in der Sie die EA-Rolle vergeben haben. Wenn Sie die Objekt-ID einer anderen Anwendung verwenden, werden API-Aufrufe fehlschlagen. Vergewissern Sie sich, dass Sie die richtige Objekt-ID der Enterprise-Anwendung verwenden.

Wenn Sie beim Ausführen Ihres API-Aufrufs den folgenden Fehler erhalten, verwenden Sie möglicherweise den SPN-Objekt-ID-Wert, der sich in App-Registrierungen befindet. Um diesen Fehler zu beheben, stellen Sie sicher, dass Sie die SPN-Objekt-ID aus Enterprise Anwendungen verwenden, nicht App-Registrierungen.

The provided principal Tenant Id = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx and principal Object Id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx are not valid

Nächste Schritte

Erfahren Sie mehr über die Verwaltung im Azure EA-Portal.