Nagyvállalati Szerződés szerepkörök hozzárendelése szolgáltatásnevekhez

  • Cikk

A Nagyvállalati Szerződés (EA) regisztrációját az Azure Portalon kezelheti. Különböző szerepköröket hozhat létre a szervezet kezeléséhez, a költségek megtekintéséhez és az előfizetések létrehozásához. Ez a cikk az Azure PowerShell és REST API-k Microsoft Entra ID szolgáltatásnévvel történő használatával segít automatizálni néhány feladatot.

Feljegyzés

Ha több EA számlázási fiókkal rendelkezik a szervezetében, az EA-szerepköröket egyenként kell megadnia a Microsoft Entra ID szolgáltatásneveknek az egyes EA számlázási fiókokban.

Mielőtt hozzákezdene, győződjön meg arról, hogy ismeri a következő cikkeket:

A szolgáltatásnév létrehozása és hitelesítése

Az EA-műveletek szolgáltatásnévvel történő automatizálásához létre kell hoznia egy Microsoft Entra-alkalmazásdentitást, amely ezután automatikusan hitelesíthető.

Kövesse az alábbi cikkek lépéseit a szolgáltatásnév használatával történő létrehozáshoz és hitelesítéshez.

Íme egy példa az alkalmazásregisztrációs lapra.

Az alkalmazás regisztrálását bemutató képernyőkép.

A szolgáltatásnév és a bérlőazonosítók megkeresése

Szüksége van a szolgáltatásnév objektumazonosítójára és a bérlőazonosítóra. A cikk későbbi részében szüksége lesz ezekre az információkra az engedély-hozzárendelési műveletekhez. Minden alkalmazás regisztrálva van a Microsoft Entra-azonosítóban a bérlőben. Az alkalmazásregisztráció befejezésekor kétféle objektum jön létre:

  • Alkalmazásobjektum – Az alkalmazásazonosító a Vállalati alkalmazások területen látható. Az azonosító nem használható EA-szerepkörök megadására.
  • Szolgáltatásnév objektum – A Szolgáltatásnév objektum a Microsoft Entra ID Nagyvállalati regisztráció ablakában látható. Az objektumazonosítóval EA-szerepköröket adhat a szolgáltatásnévnek.

  1. Nyissa meg a Microsoft Entra ID azonosítót, majd válassza a Nagyvállalati alkalmazások lehetőséget.

  2. Keresse meg az alkalmazást a listában.

    Képernyőkép egy vállalati példaalkalmazásról.

  3. Válassza ki az alkalmazást az alkalmazásazonosító és az objektumazonosító megkereséséhez:

    Egy vállalati alkalmazás alkalmazásazonosítóját és objektumazonosítóját bemutató képernyőkép.

  4. A bérlőazonosító megkereséséhez nyissa meg a Microsoft Entra ID áttekintési oldalát.

    Képernyőkép a bérlőazonosítóról.

Feljegyzés

A Microsoft Entra-bérlőazonosító értéke a következő formátumú GUID-nak tűnik: 11111111-1111-1111-1111-111111111111.

A szolgáltatásnévhez rendelhető engedélyek

A cikk későbbi részében engedélyt ad a Microsoft Entra alkalmazásnak, hogy EA-szerepkörrel járjon el. Csak a következő szerepköröket rendelheti hozzá a szolgáltatásnévhez, és pontosan az ábrán látható módon szüksége van a szerepkördefiníció azonosítóra.

Szerepkör Engedélyezett műveletek Szerepkördefiníció azonosítója
EnrollmentReader A regisztrációs olvasók megtekinthetik az adatokat a regisztráció, a részleg és a fiók hatókörében. Az adatok a hatókörök alá tartozó összes előfizetés díjait tartalmazzák, beleértve a bérlőket is. Megtekintheti a regisztrációhoz társított Azure-előrefizetési (korábban pénzügyi keret) egyenleget. 24f8edb6-1668-4659-b5e2-40bb5f3a7d7e
EA-beszerző Vásároljon foglalási rendeléseket, és tekintse meg a foglalási tranzakciókat. Rendelkezik az EnrollmentReader összes engedélyével, amely viszont a DepartmentReader összes engedélyével rendelkezik. Megtekintheti a használatot és a díjakat az összes fiókban és előfizetésben. Megtekintheti a regisztrációhoz társított Azure-előrefizetési (korábban pénzügyi keret) egyenleget. da6647fb-7651-49ee-be91-c43c4877f0c4
DepartmentReader Töltse le az általuk felügyelt részleg használati adatait. Megtekintheti a részlegével társított használatot és díjakat. db609904-a47f-4794-9be8-9bd86fbffd8a
SubscriptionCreator Hozzon létre új előfizetéseket a fiók adott hatókörében. a0bcee42-bf30-4d1b-926a-48d21664ef71
  • A EnrollmentReader szerepkört csak olyan felhasználó rendelheti hozzá egy szolgáltatásnévhez, aki regisztrációs írói szerepkörrel rendelkezik. A szolgáltatásnévhez rendelt EnrollmentReader szerepkör nem jelenik meg az Azure Portalon. Programozott eszközökkel jön létre, és csak programozott használatra készült.
  • A DepartmentReader szerepkört csak olyan felhasználó rendelheti hozzá egy szolgáltatásnévhez, aki regisztrációs írói vagy részlegírói szerepkörrel rendelkezik.
  • A SubscriptionCreator szerepkört csak olyan felhasználó rendelheti hozzá egy szolgáltatásnévhez, aki a regisztrációs fiók tulajdonosa (EA-rendszergazda). A szerepkör nem jelenik meg az Azure Portalon. Programozott eszközökkel jön létre, és csak programozott használatra készült.
  • Az EA vásárlói szerepkör nem jelenik meg az Azure Portalon. Programozott eszközökkel jön létre, és csak programozott használatra készült.

Ha ea-szerepkört ad egy szolgáltatásnévnek, a billingRoleAssignmentName szükséges tulajdonságot kell használnia. A paraméter egy egyedi GUID, amelyet meg kell adnia. A Guid azonosítót a New-Guid PowerShell paranccsal hozhatja létre. Az online GUID/UUID Generator webhely használatával is létrehozhat egyedi GUID-t.

A szolgáltatásnév csak egy szerepkörrel rendelkezhet.

Regisztrációs fiók szerepkör-engedélyének hozzárendelése a szolgáltatásnévhez

  1. Olvassa el a Szerepkör-hozzárendelések – REST API-cikk elolvasása. A cikk elolvasása közben válassza a Kipróbálás lehetőséget a szolgáltatásnév használatának megkezdéséhez.

    Képernyőkép a Kipróbálás lehetőségről a Put cikkben.

  2. A fiók hitelesítő adataival jelentkezzen be a bérlőbe a hozzárendelni kívánt regisztrációs hozzáféréssel.

  3. Adja meg a következő paramétereket az API-kérés részeként.

    • billingAccountName: Ez a paraméter a számlázási fiók azonosítója. Az Azure Portalon a Cost Management + Billing áttekintési oldalon találja.

      Képernyőkép a számlázási fiók azonosítójával.

    • billingRoleAssignmentName: Ez a paraméter egy egyedi GUID, amelyet meg kell adnia. A Guid azonosítót a New-Guid PowerShell paranccsal hozhatja létre. Az online GUID/UUID Generator webhely használatával is létrehozhat egyedi GUID-t.

    • api-version: Használja a 2019-10-01-preview verziót . Használja a mintakérés törzsét a Szerepkör-hozzárendelések – Put – Példák című témakörben.

      A kérelem törzse három paraméterrel rendelkező JSON-kóddal rendelkezik, amelyeket használnia kell.

      Paraméter Hol találja meg?
      properties.principalId Ez az objektumazonosító értéke. Lásd: Szolgáltatásnév és bérlőazonosítók keresése.
      properties.principalTenantId Lásd: Szolgáltatásnév és bérlőazonosítók keresése.
      properties.roleDefinitionId /providers/Microsoft.Billing/billingAccounts/{BillingAccountName}/billingRoleDefinitions/24f8edb6-1668-4659-b5e2-40bb5f3a7d7e

      A számlázási fiók neve ugyanaz a paraméter, amelyet az API-paraméterekben használt. Ez az Azure Portalon látható regisztrációs azonosító.

      Figyelje meg, hogy 24f8edb6-1668-4659-b5e2-40bb5f3a7d7e egy EnrollmentReader számlázási szerepkördefiníciós azonosítója.

  4. A parancs elindításához válassza a Futtatás lehetőséget.

    Képernyőkép egy példaszerepkör-hozzárendelésről, amelyen futtatásra kész példainformációk láthatók.

    A 200 OK válasz azt mutatja, hogy a szolgáltatásnév hozzáadása sikeresen megtörtént.

Mostantól a szolgáltatásnévvel automatikusan hozzáférhet az EA API-khoz. A szolgáltatásnév a EnrollmentReader szerepkört tölti be.

EA-beszerzői szerepkör engedélyének hozzárendelése a szolgáltatásnévhez

Az EA-beszerzői szerepkör esetében ugyanazokat a lépéseket kell követnie a regisztrációs olvasóhoz. Adja meg a roleDefinitionIdkövetkező példát:

"/providers/Microsoft.Billing/billingAccounts/1111111/billingRoleDefinitions/ da6647fb-7651-49ee-be91-c43c4877f0c4"

A részlegolvasó szerepkör hozzárendelése a szolgáltatásnévhez

  1. Olvassa el a regisztrációs részleg szerepkör-hozzárendeléseit – REST API-ra vonatkozó cikket. A cikk elolvasása közben válassza a Kipróbálás lehetőséget.

    Képernyőkép a Beléptetési részleg szerepkör-hozzárendelések put című cikkben található Kipróbálás lehetőségről.

  2. A fiók hitelesítő adataival jelentkezzen be a bérlőbe a hozzárendelni kívánt regisztrációs hozzáféréssel.

  3. Adja meg a következő paramétereket az API-kérés részeként.

    • billingAccountName: Ez a paraméter a számlázási fiók azonosítója. Az Azure Portalon a Cost Management + Billing áttekintési oldalon találja.

      Képernyőkép a számlázási fiók azonosítójával.

    • billingRoleAssignmentName: Ez a paraméter egy egyedi GUID, amelyet meg kell adnia. A Guid azonosítót a New-Guid PowerShell paranccsal hozhatja létre. Az online GUID/UUID Generator webhely használatával is létrehozhat egyedi GUID-t.

    • departmentName: Ez a paraméter a részleg azonosítója. A részlegazonosítókat az Azure Portalon, a Cost Management + Számlázási>részlegek lapon tekintheti meg.

      Ebben a példában az ACE-részleget használtuk. A példa azonosítója: 84819.

      Képernyőkép egy példa részlegazonosítóról.

    • api-version: Használja a 2019-10-01-preview verziót . Használja a mintát a regisztrációs részleg szerepkör-hozzárendeléseinél – Put.

      A kérelem törzse három paraméterrel rendelkező JSON-kóddal rendelkezik, amelyeket használnia kell.

      Paraméter Hol találja meg?
      properties.principalId Ez az objektumazonosító értéke. Lásd: Szolgáltatásnév és bérlőazonosítók keresése.
      properties.principalTenantId Lásd: Szolgáltatásnév és bérlőazonosítók keresése.
      properties.roleDefinitionId /providers/Microsoft.Billing/billingAccounts/{BillingAccountName}/billingRoleDefinitions/db609904-a47f-4794-9be8-9bd86fbffd8a

      A számlázási fiók neve ugyanaz a paraméter, amelyet az API-paraméterekben használt. Ez az Azure Portalon látható regisztrációs azonosító.

      A számlázási szerepkör definíciójának db609904-a47f-4794-9be8-9bd86fbffd8a azonosítója egy részlegolvasóhoz tartozik.

  4. A parancs elindításához válassza a Futtatás lehetőséget.

    Képernyőkép a regisztrációs részleg szerepkör-hozzárendeléseinek példáiról – A REST kipróbálása a futtatásra kész példainformációkkal.

    A 200 OK válasz azt mutatja, hogy a szolgáltatásnév hozzáadása sikeresen megtörtént.

Mostantól a szolgáltatásnévvel automatikusan hozzáférhet az EA API-khoz. A szolgáltatásnév DepartmentReader szerepkört kap.

Az előfizetés létrehozói szerepkörének hozzárendelése a szolgáltatásnévhez

  1. Olvassa el a regisztrációs fiók szerepkör-hozzárendeléseit ismertető cikket. Olvasás közben válassza a Kipróbálás lehetőséget az előfizetés létrehozói szerepkörének a szolgáltatásnévhez való hozzárendeléséhez.

    Képernyőkép a Regisztrációs fiók szerepkör-hozzárendelések put című cikkben található Kipróbálás lehetőségről.

  2. A fiók hitelesítő adataival jelentkezzen be a bérlőbe a hozzárendelni kívánt regisztrációs hozzáféréssel.

  3. Adja meg a következő paramétereket az API-kérés részeként. Olvassa el a cikket a Regisztrációs fiók szerepkör-hozzárendelései – Put – URI paraméterek című témakörben.

    • billingAccountName: Ez a paraméter a számlázási fiók azonosítója. Az Azure Portalon a Cost Management + Billing áttekintési oldalon találja.

      Képernyőkép a számlázási fiók azonosítóról.

    • billingRoleAssignmentName: Ez a paraméter egy egyedi GUID, amelyet meg kell adnia. A Guid azonosítót a New-Guid PowerShell paranccsal hozhatja létre. Az Online GUID/UUID Generator webhely használatával egyedi GUID-t is létrehozhat.

    • enrollmentAccountName: Ez a paraméter a fiók azonosítója. Keresse meg a fiók nevének fiókazonosítóját az Azure Portalon a Cost Management + Billing oldalon.

      Ebben a példában a GTM tesztfiókot használtuk. Az azonosító az 196987.

      Képernyőkép a fiókazonosítóról.

    • api-version: Használja a 2019-10-01-preview verziót . Használja a mintát a Regisztrációs részleg szerepkör-hozzárendelései – Put – Példák című témakörben.

      A kérelem törzse három paraméterrel rendelkező JSON-kóddal rendelkezik, amelyeket használnia kell.

      Paraméter Hol találja meg?
      properties.principalId Ez az objektumazonosító értéke. Lásd: Szolgáltatásnév és bérlőazonosítók keresése.
      properties.principalTenantId Lásd: Szolgáltatásnév és bérlőazonosítók keresése.
      properties.roleDefinitionId /providers/Microsoft.Billing/billingAccounts/{BillingAccountID}/enrollmentAccounts/{enrollmentAccountID}/billingRoleDefinitions/a0bcee42-bf30-4d1b-926a-48d21664ef71

      A számlázási fiók neve ugyanaz a paraméter, amelyet az API-paraméterekben használt. Ez az Azure Portalon látható regisztrációs azonosító.

      A számlázási szerepkör definíciójának a0bcee42-bf30-4d1b-926a-48d21664ef71 azonosítója az előfizetés létrehozói szerepköréhez tartozik.

  4. A parancs elindításához válassza a Futtatás lehetőséget.

    Képernyőkép a Kipróbálás lehetőségről a Regisztrációs fiók szerepkör-hozzárendelései – Put cikkben.

    A 200 OK válasz azt mutatja, hogy a szolgáltatásnév hozzáadása sikeresen megtörtént.

Mostantól a szolgáltatásnévvel automatikusan hozzáférhet az EA API-khoz. A szolgáltatásnév subscriptionCreator szerepkört kap.

Szolgáltatásnév szerepkör-hozzárendeléseinek ellenőrzése

A szolgáltatásnév szerepkör-hozzárendelései nem láthatók az Azure Portalon. Megtekintheti a regisztrációs fiók szerepkör-hozzárendeléseit, beleértve az előfizetés létrehozói szerepkörét is, a számlázási szerepkör-hozzárendelések – Listázási fiók – REST API (Azure Billing) API használatával. Az API használatával ellenőrizze, hogy a szerepkör-hozzárendelés sikeres volt-e.

Hibaelhárítás

Azonosítania kell és használnia kell a nagyvállalati alkalmazás objektumazonosítóját, ahol megadta az EA-szerepkört. Ha más alkalmazás objektumazonosítóját használja, az API-hívások sikertelenek lesznek. Ellenőrizze, hogy a megfelelő vállalati alkalmazásobjektum-azonosítót használja-e.

Ha az API-hívás során a következő hibaüzenet jelenik meg, akkor előfordulhat, hogy helytelenül használja az alkalmazásregisztrációkban található szolgáltatásnév objektumazonosítóját. A hiba megoldásához győződjön meg arról, hogy a vállalati alkalmazások szolgáltatásnév objektumazonosítóját használja, nem pedig az alkalmazásregisztrációkat.

The provided principal Tenant Id = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx and principal Object Id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx are not valid

Következő lépések

Ismerkedés a Nagyvállalati Szerződés számlázási fiókjával.