Freigeben über


Berechtigungen zum Anzeigen und Verwalten von Azure-Reservierungen

In diesem Artikel wird erläutert, wie Reservierungsberechtigungen funktionieren und wie Benutzer*innen Azure-Reservierungen im Azure-Portal und mit Azure PowerShell anzeigen und verwalten können.

Hinweis

Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren von Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.

Wer kann eine Reservierung standardmäßig verwalten?

Die folgenden Benutzer können Reservierungen standardmäßig anzeigen und verwalten:

  • Die Person, die eine Reservierung erwirbt, und der Kontoadministrator des Abrechnungsabonnements, mit dem die Reservierung erworben wird, werden der Reservierungsreihenfolge hinzugefügt.
  • Abrechnungsadministratoren für Konzernvertrag (Enterprise Agreement, EA) und Microsoft-Kundenvereinbarung.
  • Benutzer mit erhöhten Zugriffsrechten zum Verwalten aller Azure-Abonnements und Verwaltungsgruppen
  • Reservierungsadministrator*innen für Reservierungen in Microsoft Entra-Mandanten (Verzeichnis)
  • Reservierungsleser*innen mit schreibgeschütztem Zugriff auf Reservierungen in ihren Microsoft Entra-Mandanten (Verzeichnis)

Der Reservierungslebenszyklus ist unabhängig von einem Azure-Abonnement. Daher handelt es sich bei der Reservierung nicht um eine Ressource unter dem Azure-Abonnement. Stattdessen ist es eine Ressource auf Mandantenebene mit eigener Azure RBAC-Berechtigung, die von Abonnements getrennt ist. Reservierungen erben nach dem Kauf keine Berechtigungen von Abonnements.

Anzeigen und Verwalten von Reservierungen

Führen Sie als Abrechnungsadministrator*in die folgenden Schritte aus, um alle Reservierungen und Reservierungstransaktionen im Azure-Portal anzuzeigen und zu verwalten.

  1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zu Cost Management + Billing.
    • Wenn Sie EA-Administrator sind, wählen Sie im Menü auf der linken Seite die Option Abrechnungsbereiche und dann in der Liste der Abrechnungsbereiche einen Bereich aus.
    • Wenn Sie Besitzer eines Abrechnungsprofils für eine Microsoft-Kundenvereinbarung sind, wählen Sie im linken Menü Abrechnungsprofile aus. Wählen Sie in der Liste der Abrechnungsprofile ein Profil aus.
  2. Wählen Sie im Menü auf der linken Seite Produkte und Dienste>Reservierungen aus.
  3. Die vollständige Liste der Reservierungen für Ihr EA-Registrierungsprofil oder -Abrechnungsprofil wird angezeigt.
  4. Abrechnungsadministratoren können den Besitz einer Reservierung übernehmen, indem sie mindestens eine Reservierung auswählen, Zugriff gewähren auswählen und dann im angezeigten Fenster die Option Zugriff gewähren auswählen. Bei einer Microsoft-Kundenvereinbarung sollte sich der Benutzer im gleichen Microsoft Entra-Mandanten (Verzeichnis) wie die Reservierung befinden.

Hinzufügen von Abrechnungsadministrator*innen

Fügen Sie als Abrechnungsadministrator*in im Azure-Portal Benutzer*innen zu einem Enterprise Agreement oder einer Microsoft-Kundenvereinbarung hinzu.

  • Fügen Sie bei einem Konzernvertrag Benutzer mit der Rolle Unternehmensadministrator hinzu, um alle für diesen Vertrag geltenden Reservierungsaufträge anzuzeigen und zu verwalten. Unternehmensadministratoren können Reservierungen in Cost Management + Billing anzeigen und verwalten.
    • Benutzer mit der Rolle Unternehmensadministrator (schreibgeschützt) können die Reservierung nur in Cost Management + Billing anzeigen.
    • Abteilungsadministratoren und Kontobesitzer können Reservierungen nicht anzeigen, außer wenn sie ihnen mithilfe der Zugriffssteuerung (Access Control, IAM) explizit hinzugefügt werden. Weitere Informationen finden Sie unter Verwalten von Azure Enterprise-Rollen.
  • Bei einer Microsoft-Kundenvereinbarung können Benutzer mit der Rolle „Besitzer des Abrechnungsprofils“ oder „Mitwirkender am Abrechnungsprofil“ alle mit dem Abrechnungsprofil getätigten Reservierungseinkäufe verwalten. Benutzer mit Leseberechtigung für das Abrechnungsprofil und Rechnungs-Manager können alle Reservierungen anzeigen, die für das Abrechnungsprofil bezahlt werden. Sie können allerdings keine Änderungen an den Reservierungen vornehmen. Weitere Informationen finden Sie unter Rollen und Aufgaben für ein Abrechnungsprofil.

Anzeigen von Reservierungen mit Azure RBAC-Zugriff

Wenn Sie die Reservierung erworben haben oder einer Reservierung hinzugefügt werden, führen Sie die folgenden Schritte aus, um Reservierungen im Azure-Portal anzuzeigen und zu verwalten.

  1. Melden Sie sich beim Azure-Portal an.
  2. Klicken Sie auf Alle Dienste>Reservierungen, um Reservierungen aufzulisten, auf die Sie Zugriff haben.

Verwalten von Abonnements und Verwaltungsgruppen mit erhöhten Zugriffsberechtigungen

Sie können die Zugriffsrechte eines Benutzers zum Verwalten aller Azure-Abonnements und Verwaltungsgruppen erhöhen.

Nach dem Erhöhen der Zugriffsberechtigungen:

  1. Navigieren Sie zu Alle Dienste>Reservierung, um alle Reservierungen im Mandanten anzuzeigen.
  2. Um Änderungen an der Reservierung vorzunehmen, fügen Sie sich selbst mithilfe der Zugriffssteuerung (IAM) als Besitzer des Reservierungsauftrags hinzu.

Gewähren des Zugriffs auf einzelne Reservierungen

Benutzer*innen mit Besitzerzugriff auf die Reservierungen und Abrechnungsadministrator*innen können die Zugriffsverwaltung für einen einzelnen Reservierungsauftrag im Azure-Portal delegieren.

Damit andere Personen Reservierungen verwalten können, haben Sie zwei Optionen:

  • Delegieren Sie die Zugriffsverwaltung für einen einzelnen Reservierungsauftrag, indem Sie einem Benutzer im Ressourcenbereich des Reservierungsauftrags die Rolle „Besitzer“ zuweisen. Wenn Sie eingeschränkten Zugriff gewähren möchten, wählen Sie eine andere Rolle aus.
    Ausführliche Informationen finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.

  • Hinzufügen eines Benutzers als Abrechnungsadministrator zu einem Konzernvertrag oder einer Microsoft-Kundenvereinbarung:

    • Fügen Sie bei einem Konzernvertrag Benutzer mit der Rolle Unternehmensadministrator hinzu, um alle für diesen Vertrag geltenden Reservierungsaufträge anzuzeigen und zu verwalten. Benutzer mit der Rolle Unternehmensadministrator (schreibgeschützt) können die Reservierung nur anzeigen. Abteilungsadministratoren und Kontobesitzer können Reservierungen nicht anzeigen, außer wenn sie ihnen mithilfe der Zugriffssteuerung (Access Control, IAM) explizit hinzugefügt werden. Weitere Informationen finden Sie unter Verwalten von Azure Enterprise-Rollen.

      Unternehmensadministratoren können den Besitz einer Reservierungsreihenfolge übernehmen und andere Benutzer mithilfe der Zugriffssteuerung (Identity & Access Management, IAM) zu einer Reservierung hinzufügen.

    • Bei einer Microsoft-Kundenvereinbarung können Benutzer mit der Rolle „Besitzer des Abrechnungsprofils“ oder „Mitwirkender am Abrechnungsprofil“ alle mit dem Abrechnungsprofil getätigten Reservierungseinkäufe verwalten. Benutzer mit Leseberechtigung für das Abrechnungsprofil und Rechnungs-Manager können alle Reservierungen anzeigen, die für das Abrechnungsprofil bezahlt werden. Sie können allerdings keine Änderungen an den Reservierungen vornehmen. Weitere Informationen finden Sie unter Rollen und Aufgaben für ein Abrechnungsprofil.

Gewähren des Zugriffs mit PowerShell

Benutzer*innen mit Besitzerzugriff für Reservierungsaufträge, Benutzer*innen mit erhöhtem Zugriff und Benutzerzugriffsadministrator*innen können die Zugriffsverwaltung für alle Reservierungsaufträge delegieren, auf die sie Zugriff haben.

Zugriff, der mithilfe von PowerShell gewährt wurde, wird im Azure-Portal nicht angezeigt. Verwenden Sie stattdessen den Befehl get-AzRoleAssignment im folgenden Abschnitt, um zugewiesene Rollen anzuzeigen.

Zuweisen der Rolle „Besitzer“ für alle Reservierungen

Verwenden Sie das folgende Azure PowerShell-Skript, um Benutzer*innen RBAC-Zugriff in Azure auf alle Reservierungsaufträge in ihren Microsoft Entra-Mandanten (Verzeichnis) zu gewähren.


Import-Module Az.Accounts
Import-Module Az.Resources
 
Connect-AzAccount -Tenant <TenantId>
 
$response = Invoke-AzRestMethod -Path /providers/Microsoft.Capacity/reservations?api-version=2020-06-01 -Method GET
 
$responseJSON = $response.Content | ConvertFrom-JSON
 
$reservationObjects = $responseJSON.value
 
foreach ($reservation in $reservationObjects)
{
  $reservationOrderId = $reservation.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$reservationOrderId
  New-AzRoleAssignment -Scope $reservationOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

Wenn Sie das PowerShell-Skript zum Zuweisen der Besitzrolle verwenden, und dies erfolgreich ausgeführt wird, wird keine Erfolgsmeldung zurückgegeben.

Parameter

-ObjectId: Dies ist die Microsoft Entra-Objekt-ID von Benutzer*innen, der Gruppe oder des Dienstprinzipals.

  • Typ: String
  • Aliase: Id, PrincipalId
  • Position: Benannt
  • Standardwert: keiner
  • Pipelineeingabe akzeptieren: TRUE
  • Platzhalterzeichen akzeptieren: FALSE

-TenantId Eindeutiger Bezeichner von Mandant*innen.

  • Typ: String
  • Position: 5
  • Standardwert: keiner
  • Pipelineeingabe akzeptieren: FALSE
  • Platzhalterzeichen akzeptieren: FALSE

Zugriff auf Mandantenebene

Benutzerzugriffsadministratorrechte sind erforderlich, bevor Sie Benutzern oder Gruppen die Rollen „Administrator für Reservierungen“ und „Leser für Reservierungen“ auf Mandantenebene erteilen können. Um Administratorrechte für den Benutzerzugriff auf Mandantenebene zu erhalten, führen Sie die Schritte unter Erhöhen der Zugriffsrechte aus.

Hinzufügen der Rolle „Administrator für Reservierungen“ oder „Leser für Reservierungen“ auf Mandantenebene

Nur globale Administratoren können diese Rollen über das Azure-Portal zuweisen.

  1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zu Reservierungen.
  2. Wählen Sie eine Reservierung aus, auf die Sie zugreifen müssen.
  3. Wählen Sie oben auf der Seite Rollenzuweisung aus.
  4. Wählen Sie die Registerkarte Rollen aus.
  5. Um Änderungen vorzunehmen, fügen Sie mithilfe der Zugriffssteuerung einen Benutzer als „Administrator für Reservierungen“ oder „Leser für Reservierungen“ hinzu.

Hinzufügen der Rolle „Reservierungsadministrator“ auf Mandantenebene mit einem Azure PowerShell-Skript

Verwenden Sie das folgende Azure PowerShell-Skript, um mit PowerShell die Rolle „Reservierungsadministrator*in“ auf Mandantenebene hinzuzufügen.

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Administrator"

Parameter

-ObjectId: Dies ist die Microsoft Entra-Objekt-ID von Benutzer*innen, der Gruppe oder des Dienstprinzipals.

  • Typ: String
  • Aliase: Id, PrincipalId
  • Position: Benannt
  • Standardwert: keiner
  • Pipelineeingabe akzeptieren: TRUE
  • Platzhalterzeichen akzeptieren: FALSE

-TenantId Eindeutiger Bezeichner von Mandant*innen.

  • Typ: String
  • Position: 5
  • Standardwert: keiner
  • Pipelineeingabe akzeptieren: FALSE
  • Platzhalterzeichen akzeptieren: FALSE

Hinzufügen der Rolle „Reservierungsleser“ auf Mandantenebene mit einem Azure PowerShell-Skript

Verwenden Sie das folgende Azure PowerShell-Skript, um mit PowerShell die Rolle „Reservierungsleser*in“ auf Mandantenebene zuzuweisen.


Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>

New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Reader"

Parameter

-ObjectId: Dies ist die Microsoft Entra-Objekt-ID von Benutzer*innen, der Gruppe oder des Dienstprinzipals.

  • Typ: String
  • Aliase: Id, PrincipalId
  • Position: Benannt
  • Standardwert: keiner
  • Pipelineeingabe akzeptieren: TRUE
  • Platzhalterzeichen akzeptieren: FALSE

-TenantId Eindeutiger Bezeichner von Mandant*innen.

  • Typ: String
  • Position: 5
  • Standardwert: keiner
  • Pipelineeingabe akzeptieren: FALSE
  • Platzhalterzeichen akzeptieren: FALSE

Nächste Schritte