Berechtigungen zum Anzeigen und Verwalten von Azure-Sparplänen

In diesem Artikel wird erläutert, wie Sparplanberechtigungen funktionieren und wie Benutzer*innen Azure-Sparpläne im Azure-Portal anzeigen und verwalten können.

Wer kann standardmäßig einen Sparplan verwalten?

Standardmäßig können die folgenden Benutzer*innen Sparpläne anzeigen und verwalten:

• Die Person, die einen Sparplan erwirbt, und die Kontoadministrator*innen des Abrechnungsabonnements, mit dem der Sparplan erworben wird, werden der Sparplanbestellung hinzugefügt.
• Abrechnungsadministratoren für Konzernvertrag (Enterprise Agreement, EA) und Microsoft-Kundenvereinbarung.
• Benutzer mit erhöhten Zugriffsrechten zum Verwalten aller Azure-Abonnements und Verwaltungsgruppen
• Sparplanadministratoren für Sparpläne in ihren Microsoft Entra-Mandanten (Verzeichnis)
• Sparplanleser mit schreibgeschütztem Zugriff auf Sparpläne in ihren Microsoft Entra-Mandanten (Verzeichnis)

Der Lebenszyklus von Sparplänen ist unabhängig von einem Azure-Abonnement. Daher handelt es sich bei einem Sparplan nicht um eine Ressource unter dem Azure-Abonnement. Stattdessen handelt es sich um eine Ressource auf Mandantenebene mit eigener Berechtigung für die rollenbasierte Zugriffssteuerung in Azure (RBAC), die von Abonnements getrennt ist. Sparpläne erben nach dem Kauf keine Berechtigungen von Abonnements.

Anzeigen und Verwalten von Sparplänen als Abrechnungsadministrator

Führen Sie als Abrechnungsadministrator*in die folgenden Schritte aus, um alle Sparpläne und Sparplantransaktionen im Azure-Portal anzuzeigen und zu verwalten:

1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zu Cost Management + Billing.
   • Wenn Sie EA-Administrator sind, wählen Sie im Menü auf der linken Seite die Option Abrechnungsbereiche und dann in der Liste der Abrechnungsbereiche einen Bereich aus.
   • Wenn Sie Besitzer eines Abrechnungsprofils für eine Microsoft-Kundenvereinbarung sind, wählen Sie im linken Menü Abrechnungsprofile aus. Wählen Sie in der Liste der Abrechnungsprofile ein Profil aus.
2. Wählen Sie im Menü auf der linken Seite Produkte und Dienste>Sparpläne aus. Die vollständige Liste der Sparpläne für Ihr EA-Registrierungs- oder -Abrechnungsprofil wird angezeigt.
3. Abrechnungsadministratoren können den Besitz eines Sparplans mit der Sparplanreihenfolge – Erhöhen der REST-API übernehmen, um sich Azure RBAC-Rollen zu geben.

Hinzufügen von Abrechnungsadministratoren

Fügen Sie als Abrechnungsadministrator*in im Azure-Portal Benutzer*innen zu einem Enterprise Agreement oder einer Microsoft-Kundenvereinbarung hinzu.

• Fügen Sie bei einem Enterprise Agreement Benutzer*innen mit der Rolle Unternehmensadministrator hinzu, um alle für diesen Vertrag geltenden Sparplanaufträge anzuzeigen und zu verwalten. Unternehmensadministrator*innen können Sparpläne in Kostenverwaltung + Abrechnung anzeigen und verwalten.
  • Benutzer*innen mit der Rolle Unternehmensadministrator (schreibgeschützt) können die Sparpläne in Kostenverwaltung + Abrechnung nur anzeigen.
  • Abteilungsadministrator*innen und Kontobesitzer*innen können Sparpläne nur anzeigen, wenn sie ihnen mithilfe der Zugriffssteuerung (Access Control, IAM) explizit hinzugefügt werden. Weitere Informationen finden Sie unter Verwalten von Azure Enterprise-Rollen.
• Bei einer Microsoft-Kundenvereinbarung können Benutzer*innen mit der Rolle „Besitzer des Abrechnungsprofils“ oder „Mitwirkender am Abrechnungsprofil“ alle mit dem Abrechnungsprofil getätigten Sparplankäufe verwalten.
  • Benutzer*innen mit Leseberechtigung für das Abrechnungsprofil und Rechnungs-Manager*innen können alle Sparpläne anzeigen, die für das Abrechnungsprofil bezahlt wurden. Sie können allerdings keine Änderungen an den Sparplänen vornehmen. Weitere Informationen finden Sie unter Rollen und Aufgaben für ein Abrechnungsprofil.

Anzeigen von Sparplänen mit Azure RBAC-Zugriff

Wenn Sie den Sparplan erworben haben oder ihm hinzugefügt wurden, können Sie mit den folgenden Schritte Sparpläne im Azure-Portal anzeigen und verwalten:

1. Melden Sie sich beim Azure-Portal an.
2. Wählen Sie Alle Dienste>Sparpläne aus, um die Sparpläne aufzulisten, auf die Sie Zugriff haben.

Verwalten von Abonnements und Verwaltungsgruppen mit erhöhten Zugriffsberechtigungen

Sie können die Zugriffsrechte eines Benutzers zum Verwalten aller Azure-Abonnements und Verwaltungsgruppen erhöhen.

Nach dem Erhöhen der Zugriffsberechtigungen:

1. Navigieren Sie zu Alle Dienste>Sparpläne, um alle Sparpläne anzuzeigen, die sich im Mandanten befinden.
2. Um Änderungen an einem Sparplan vorzunehmen, fügen Sie sich selbst mithilfe der Zugriffssteuerung (IAM) als Besitzer*in der Sparplanbestellung hinzu.

Gewähren des Zugriffs auf einzelne Sparpläne

Benutzer*innen mit Besitzerzugriff auf den Sparplan und Abrechnungsadministrator*innen können die Zugriffsverwaltung für einen einzelnen Sparplan im Azure-Portal delegieren.

Es stehen zwei Optionen zur Verfügung, um anderen Personen das Verwalten von Sparplänen zu erlauben:

• Delegieren Sie die Zugriffsverwaltung für eine einzelne Sparplanbestellung, indem Sie Benutzer*innen im Ressourcenbereich der Sparplanbestellung die Rolle „Besitzer“ zuweisen. Wenn Sie eingeschränkten Zugriff gewähren möchten, wählen Sie eine andere Rolle aus. Ausführliche Informationen finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.
• Hinzufügen eines Benutzers als Abrechnungsadministrator zu einem Konzernvertrag oder einer Microsoft-Kundenvereinbarung:

  • Fügen Sie bei einem Enterprise Agreement Benutzer*innen mit der Rolle Unternehmensadministrator hinzu, um alle für diesen Vertrag geltenden Sparplanaufträge anzuzeigen und zu verwalten. Benutzer*innen mit der Rolle Unternehmensadministrator (schreibgeschützt) können den Sparplan nur anzeigen. Abteilungsadministrator*innen und Kontobesitzer*innen können Sparpläne nur anzeigen, wenn sie ihnen mithilfe der Zugriffssteuerung (Access Control, IAM) explizit hinzugefügt werden. Weitere Informationen finden Sie unter Verwalten von Azure Enterprise-Rollen.

  • Bei einer Microsoft-Kundenvereinbarung können Benutzer*innen mit der Rolle „Besitzer des Abrechnungsprofils“ oder „Mitwirkender am Abrechnungsprofil“ alle mit dem Abrechnungsprofil getätigten Sparplankäufe verwalten. Benutzer*innen mit Leseberechtigung für das Abrechnungsprofil und Rechnungs-Manager*innen können alle Sparpläne anzeigen, die für das Abrechnungsprofil bezahlt wurden. Sie können allerdings keine Änderungen an den Sparplänen vornehmen. Weitere Informationen finden Sie unter Rollen und Aufgaben für ein Abrechnungsprofil.

    Unternehmensadministratoren können den Besitz eines Sparplanauftrags übernehmen und andere Benutzer mithilfe der Zugriffssteuerung (Identity & Access Management, IAM) zu einem Sparplan hinzufügen.

  • Bei einer Microsoft-Kundenvereinbarung können Benutzer*innen mit der Rolle „Besitzer des Abrechnungsprofils“ oder „Mitwirkender am Abrechnungsprofil“ alle mit dem Abrechnungsprofil getätigten Sparplankäufe verwalten. Benutzer*innen mit Leseberechtigung für das Abrechnungsprofil und Rechnungs-Manager*innen können alle Sparpläne anzeigen, die für das Abrechnungsprofil bezahlt wurden. Sie können allerdings keine Änderungen an den Sparplänen vornehmen. Weitere Informationen finden Sie unter Rollen und Aufgaben für ein Abrechnungsprofil.

Gewähren des Zugriffs mit PowerShell

Benutzer mit Besitzerzugriff für Sparplanaufträge, Benutzer mit erhöhten Zugriffsberechtigungen und Benutzerzugriffsadministratoren können die Zugriffsverwaltung für alle Sparplanaufträge delegieren, auf die sie Zugriff haben.

Zugriff, der mithilfe von PowerShell gewährt wurde, wird im Azure-Portal nicht angezeigt. Verwenden Sie stattdessen den Befehl get-AzRoleAssignment im folgenden Abschnitt, um zugewiesene Rollen anzuzeigen.

Zuweisen der Besitzerrolle für alle Sparpläne

Verwenden Sie das folgende Azure PowerShell-Skript, um Benutzern RBAC-Zugriff in Azure auf alle Sparplanaufträge in ihren Microsoft Entra-Mandanten (Verzeichnis) zu gewähren.

Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.BillingBenefits/savingsPlans?api-version=2022-11-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$savingsPlanObjects = $responseJSON.value

foreach ($savingsPlan in $savingsPlanObjects)
{
  $savingsPlanOrderId = $savingsPlan.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$savingsPlanOrderId
  New-AzRoleAssignment -Scope $savingsPlanOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

Wenn Sie das PowerShell-Skript zum Zuweisen der Besitzrolle verwenden, und dies erfolgreich ausgeführt wird, wird keine Erfolgsmeldung zurückgegeben.

Parameter

-ObjectId: Dies ist die Microsoft Entra-Objekt-ID von Benutzer*innen, der Gruppe oder des Dienstprinzipals.

• Typ: String
• Aliase: Id, PrincipalId
• Position: Benannt
• Standardwert: Keiner
• Pipelineeingabe akzeptieren: TRUE
• Platzhalterzeichen akzeptieren: FALSE

-TenantId Eindeutiger Bezeichner von Mandant*innen.

• Typ: String
• Position: 5
• Standardwert: Keiner
• Pipelineeingabe akzeptieren: FALSE
• Platzhalterzeichen akzeptieren: FALSE

Zugriff auf Mandantenebene

Benutzerzugriffs-Administratorrechte sind erforderlich, damit Sie Benutzern oder Gruppen die Rollen „Sparplanadministrator“ und „Sparplanleser“ auf Mandantenebene erteilen können. Um Administratorrechte für den Benutzerzugriff auf Mandantenebene zu erhalten, führen Sie die Schritte unter Erhöhen der Zugriffsrechte aus.

Hinzufügen der Rolle „Sparplanadministrator“ oder „Sparplanleser“ auf Mandantenebene

Sie können diese Rollen aus dem Azure-Portal zuweisen.

1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zu Sparplan.
2. Wählen Sie einen Sparplan aus, auf den Sie Zugriff haben.
3. Wählen Sie oben auf der Seite Rollenzuweisung aus.
4. Wählen Sie die Registerkarte Rollen aus.
5. Um Änderungen vorzunehmen, fügen Sie einen Benutzer als Sparplanadministrator oder Sparplanleser mithilfe der Zugriffssteuerung hinzu.

Hinzufügen der Rolle „ Sparplanadministrator“ auf Mandantenebene mithilfe eines Azure PowerShell-Skripts

Verwenden Sie das folgende Azure PowerShell-Skript, um die Rolle „Sparplanadministrator“ mit PowerShell auf Mandantenebene hinzuzufügen.

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Administrator"

Parameter

-ObjectId: Dies ist die Microsoft Entra-Objekt-ID von Benutzer*innen, der Gruppe oder des Dienstprinzipals.

• Typ: String
• Aliase: Id, PrincipalId
• Position: Benannt
• Standardwert: Keiner
• Pipelineeingabe akzeptieren: TRUE
• Platzhalterzeichen akzeptieren: FALSE

-TenantId Eindeutiger Bezeichner von Mandant*innen.

• Typ: String
• Position: 5
• Standardwert: Keiner
• Pipelineeingabe akzeptieren: FALSE
• Platzhalterzeichen akzeptieren: FALSE

Zuweisen der Rolle „Sparplanleser“ auf Mandantenebene mithilfe eines Azure PowerShell-Skripts

Verwenden Sie das folgende Azure PowerShell-Skript, um die Rolle „Sparplanleser“ mit PowerShell auf Mandantenebene zuzuweisen.

Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>

New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Reader"

Parameter

-ObjectId: Dies ist die Microsoft Entra-Objekt-ID von Benutzer*innen, der Gruppe oder des Dienstprinzipals.

• Typ: String
• Aliase: Id, PrincipalId
• Position: Benannt
• Standardwert: Keiner
• Pipelineeingabe akzeptieren: TRUE
• Platzhalterzeichen akzeptieren: FALSE

-TenantId Eindeutiger Bezeichner von Mandant*innen.

• Typ: String
• Position: 5
• Standardwert: Keiner
• Pipelineeingabe akzeptieren: FALSE
• Platzhalterzeichen akzeptieren: FALSE

Nächste Schritte

• Verwalten Sie die Azure-Sparpläne.