Nagyvállalati Szerződés szerepkörök hozzárendelése szolgáltatásnevekhez
A Nagyvállalati Szerződés (EA) regisztrációját az Azure Portalon kezelheti. Különböző szerepköröket hozhat létre a szervezet kezeléséhez, a költségek megtekintéséhez és az előfizetések létrehozásához. Ez a cikk az Azure PowerShell és REST API-k Microsoft Entra ID szolgáltatásnévvel történő használatával segít automatizálni néhány feladatot.
Feljegyzés
Ha több EA számlázási fiókkal rendelkezik a szervezetében, az EA-szerepköröket egyenként kell megadnia a Microsoft Entra ID szolgáltatásneveknek az egyes EA számlázási fiókokban.
Mielőtt hozzákezdene, győződjön meg arról, hogy ismeri a következő cikkeket:
- Nagyvállalati szerződés szerepkörei
- Bejelentkezés az Azure PowerShell-lel
- REST API-k meghívása a Postmanrel
A szolgáltatásnév létrehozása és hitelesítése
Az EA-műveletek szolgáltatásnévvel történő automatizálásához létre kell hoznia egy Microsoft Entra-alkalmazásdentitást, amely ezután automatikusan hitelesíthető.
Kövesse az alábbi cikkek lépéseit a szolgáltatásnév használatával történő létrehozáshoz és hitelesítéshez.
Íme egy példa az alkalmazásregisztrációs lapra.
A szolgáltatásnév és a bérlőazonosítók megkeresése
Szüksége van a szolgáltatásnév objektumazonosítójára és a bérlőazonosítóra. A cikk későbbi részében szüksége lesz ezekre az információkra az engedély-hozzárendelési műveletekhez. Minden alkalmazás regisztrálva van a Microsoft Entra-azonosítóban a bérlőben. Az alkalmazásregisztráció befejezésekor kétféle objektum jön létre:
- Alkalmazásobjektum – Az alkalmazásazonosító a Vállalati alkalmazások területen látható. Az azonosító nem használható EA-szerepkörök megadására.
- Szolgáltatásnév objektum – A Szolgáltatásnév objektum a Microsoft Entra ID Nagyvállalati regisztráció ablakában látható. Az objektumazonosítóval EA-szerepköröket adhat a szolgáltatásnévnek.
Nyissa meg a Microsoft Entra ID azonosítót, majd válassza a Nagyvállalati alkalmazások lehetőséget.
Keresse meg az alkalmazást a listában.
Válassza ki az alkalmazást az alkalmazásazonosító és az objektumazonosító megkereséséhez:
A bérlőazonosító megkereséséhez nyissa meg a Microsoft Entra ID áttekintési oldalát.
Feljegyzés
A Microsoft Entra-bérlőazonosító értéke a következő formátumú GUID-nak tűnik: 11111111-1111-1111-1111-111111111111
.
A szolgáltatásnévhez rendelhető engedélyek
A cikk későbbi részében engedélyt ad a Microsoft Entra alkalmazásnak, hogy EA-szerepkörrel járjon el. Csak a következő szerepköröket rendelheti hozzá a szolgáltatásnévhez, és pontosan az ábrán látható módon szüksége van a szerepkördefiníció azonosítóra.
Szerepkör | Engedélyezett műveletek | Szerepkördefiníció azonosítója |
---|---|---|
EnrollmentReader | A regisztrációs olvasók megtekinthetik az adatokat a regisztráció, a részleg és a fiók hatókörében. Az adatok a hatókörök alá tartozó összes előfizetés díjait tartalmazzák, beleértve a bérlőket is. Megtekintheti a regisztrációhoz társított Azure-előrefizetési (korábban pénzügyi keret) egyenleget. | 24f8edb6-1668-4659-b5e2-40bb5f3a7d7e |
EA-beszerző | Vásároljon foglalási rendeléseket, és tekintse meg a foglalási tranzakciókat. Rendelkezik az EnrollmentReader összes engedélyével, amely viszont a DepartmentReader összes engedélyével rendelkezik. Megtekintheti a használatot és a díjakat az összes fiókban és előfizetésben. Megtekintheti a regisztrációhoz társított Azure-előrefizetési (korábban pénzügyi keret) egyenleget. | da6647fb-7651-49ee-be91-c43c4877f0c4 |
DepartmentReader | Töltse le az általuk felügyelt részleg használati adatait. Megtekintheti a részlegével társított használatot és díjakat. | db609904-a47f-4794-9be8-9bd86fbffd8a |
SubscriptionCreator | Hozzon létre új előfizetéseket a fiók adott hatókörében. | a0bcee42-bf30-4d1b-926a-48d21664ef71 |
- A EnrollmentReader szerepkört csak olyan felhasználó rendelheti hozzá egy szolgáltatásnévhez, aki regisztrációs írói szerepkörrel rendelkezik. A szolgáltatásnévhez rendelt EnrollmentReader szerepkör nem jelenik meg az Azure Portalon. Programozott eszközökkel jön létre, és csak programozott használatra készült.
- A DepartmentReader szerepkört csak olyan felhasználó rendelheti hozzá egy szolgáltatásnévhez, aki regisztrációs írói vagy részlegírói szerepkörrel rendelkezik.
- A SubscriptionCreator szerepkört csak olyan felhasználó rendelheti hozzá egy szolgáltatásnévhez, aki a regisztrációs fiók tulajdonosa (EA-rendszergazda). A szerepkör nem jelenik meg az Azure Portalon. Programozott eszközökkel jön létre, és csak programozott használatra készült.
- Az EA vásárlói szerepkör nem jelenik meg az Azure Portalon. Programozott eszközökkel jön létre, és csak programozott használatra készült.
Ha ea-szerepkört ad egy szolgáltatásnévnek, a billingRoleAssignmentName
szükséges tulajdonságot kell használnia. A paraméter egy egyedi GUID, amelyet meg kell adnia. A Guid azonosítót a New-Guid PowerShell paranccsal hozhatja létre. Az online GUID/UUID Generator webhely használatával is létrehozhat egyedi GUID-t.
A szolgáltatásnév csak egy szerepkörrel rendelkezhet.
Regisztrációs fiók szerepkör-engedélyének hozzárendelése a szolgáltatásnévhez
Olvassa el a Szerepkör-hozzárendelések – REST API-cikk elolvasása. A cikk elolvasása közben válassza a Kipróbálás lehetőséget a szolgáltatásnév használatának megkezdéséhez.
A fiók hitelesítő adataival jelentkezzen be a bérlőbe a hozzárendelni kívánt regisztrációs hozzáféréssel.
Adja meg a következő paramétereket az API-kérés részeként.
billingAccountName
: Ez a paraméter a számlázási fiók azonosítója. Az Azure Portalon a Cost Management + Billing áttekintési oldalon találja.billingRoleAssignmentName
: Ez a paraméter egy egyedi GUID, amelyet meg kell adnia. A Guid azonosítót a New-Guid PowerShell paranccsal hozhatja létre. Az online GUID/UUID Generator webhely használatával is létrehozhat egyedi GUID-t.api-version
: Használja a 2019-10-01-preview verziót . Használja a mintakérés törzsét a Szerepkör-hozzárendelések – Put – Példák című témakörben.A kérelem törzse három paraméterrel rendelkező JSON-kóddal rendelkezik, amelyeket használnia kell.
Paraméter Hol találja meg? properties.principalId
Ez az objektumazonosító értéke. Lásd: Szolgáltatásnév és bérlőazonosítók keresése. properties.principalTenantId
Lásd: Szolgáltatásnév és bérlőazonosítók keresése. properties.roleDefinitionId
/providers/Microsoft.Billing/billingAccounts/{BillingAccountName}/billingRoleDefinitions/24f8edb6-1668-4659-b5e2-40bb5f3a7d7e
A számlázási fiók neve ugyanaz a paraméter, amelyet az API-paraméterekben használt. Ez az Azure Portalon látható regisztrációs azonosító.
Figyelje meg, hogy
24f8edb6-1668-4659-b5e2-40bb5f3a7d7e
egy EnrollmentReader számlázási szerepkördefiníciós azonosítója.
A parancs elindításához válassza a Futtatás lehetőséget.
A
200 OK
válasz azt mutatja, hogy a szolgáltatásnév hozzáadása sikeresen megtörtént.
Mostantól a szolgáltatásnévvel automatikusan hozzáférhet az EA API-khoz. A szolgáltatásnév a EnrollmentReader szerepkört tölti be.
EA-beszerzői szerepkör engedélyének hozzárendelése a szolgáltatásnévhez
Az EA-beszerzői szerepkör esetében ugyanazokat a lépéseket kell követnie a regisztrációs olvasóhoz. Adja meg a roleDefinitionId
következő példát:
"/providers/Microsoft.Billing/billingAccounts/1111111/billingRoleDefinitions/ da6647fb-7651-49ee-be91-c43c4877f0c4"
A részlegolvasó szerepkör hozzárendelése a szolgáltatásnévhez
Olvassa el a regisztrációs részleg szerepkör-hozzárendeléseit – REST API-ra vonatkozó cikket. A cikk elolvasása közben válassza a Kipróbálás lehetőséget.
A fiók hitelesítő adataival jelentkezzen be a bérlőbe a hozzárendelni kívánt regisztrációs hozzáféréssel.
Adja meg a következő paramétereket az API-kérés részeként.
billingAccountName
: Ez a paraméter a számlázási fiók azonosítója. Az Azure Portalon a Cost Management + Billing áttekintési oldalon találja.billingRoleAssignmentName
: Ez a paraméter egy egyedi GUID, amelyet meg kell adnia. A Guid azonosítót a New-Guid PowerShell paranccsal hozhatja létre. Az online GUID/UUID Generator webhely használatával is létrehozhat egyedi GUID-t.departmentName
: Ez a paraméter a részleg azonosítója. A részlegazonosítókat az Azure Portalon, a Cost Management + Számlázási>részlegek lapon tekintheti meg.Ebben a példában az ACE-részleget használtuk. A példa azonosítója:
84819
.api-version
: Használja a 2019-10-01-preview verziót . Használja a mintát a regisztrációs részleg szerepkör-hozzárendeléseinél – Put.A kérelem törzse három paraméterrel rendelkező JSON-kóddal rendelkezik, amelyeket használnia kell.
Paraméter Hol találja meg? properties.principalId
Ez az objektumazonosító értéke. Lásd: Szolgáltatásnév és bérlőazonosítók keresése. properties.principalTenantId
Lásd: Szolgáltatásnév és bérlőazonosítók keresése. properties.roleDefinitionId
/providers/Microsoft.Billing/billingAccounts/{BillingAccountName}/billingRoleDefinitions/db609904-a47f-4794-9be8-9bd86fbffd8a
A számlázási fiók neve ugyanaz a paraméter, amelyet az API-paraméterekben használt. Ez az Azure Portalon látható regisztrációs azonosító.
A számlázási szerepkör definíciójának
db609904-a47f-4794-9be8-9bd86fbffd8a
azonosítója egy részlegolvasóhoz tartozik.
A parancs elindításához válassza a Futtatás lehetőséget.
A
200 OK
válasz azt mutatja, hogy a szolgáltatásnév hozzáadása sikeresen megtörtént.
Mostantól a szolgáltatásnévvel automatikusan hozzáférhet az EA API-khoz. A szolgáltatásnév DepartmentReader szerepkört kap.
Az előfizetés létrehozói szerepkörének hozzárendelése a szolgáltatásnévhez
Olvassa el a regisztrációs fiók szerepkör-hozzárendeléseit ismertető cikket. Olvasás közben válassza a Kipróbálás lehetőséget az előfizetés létrehozói szerepkörének a szolgáltatásnévhez való hozzárendeléséhez.
A fiók hitelesítő adataival jelentkezzen be a bérlőbe a hozzárendelni kívánt regisztrációs hozzáféréssel.
Adja meg a következő paramétereket az API-kérés részeként. Olvassa el a cikket a Regisztrációs fiók szerepkör-hozzárendelései – Put – URI paraméterek című témakörben.
billingAccountName
: Ez a paraméter a számlázási fiók azonosítója. Az Azure Portalon a Cost Management + Billing áttekintési oldalon találja.billingRoleAssignmentName
: Ez a paraméter egy egyedi GUID, amelyet meg kell adnia. A Guid azonosítót a New-Guid PowerShell paranccsal hozhatja létre. Az Online GUID/UUID Generator webhely használatával egyedi GUID-t is létrehozhat.enrollmentAccountName
: Ez a paraméter a fiók azonosítója. Keresse meg a fiók nevének fiókazonosítóját az Azure Portalon a Cost Management + Billing oldalon.Ebben a példában a GTM tesztfiókot használtuk. Az azonosító az
196987
.api-version
: Használja a 2019-10-01-preview verziót . Használja a mintát a Regisztrációs részleg szerepkör-hozzárendelései – Put – Példák című témakörben.A kérelem törzse három paraméterrel rendelkező JSON-kóddal rendelkezik, amelyeket használnia kell.
Paraméter Hol találja meg? properties.principalId
Ez az objektumazonosító értéke. Lásd: Szolgáltatásnév és bérlőazonosítók keresése. properties.principalTenantId
Lásd: Szolgáltatásnév és bérlőazonosítók keresése. properties.roleDefinitionId
/providers/Microsoft.Billing/billingAccounts/{BillingAccountID}/enrollmentAccounts/{enrollmentAccountID}/billingRoleDefinitions/a0bcee42-bf30-4d1b-926a-48d21664ef71
A számlázási fiók neve ugyanaz a paraméter, amelyet az API-paraméterekben használt. Ez az Azure Portalon látható regisztrációs azonosító.
A számlázási szerepkör definíciójának
a0bcee42-bf30-4d1b-926a-48d21664ef71
azonosítója az előfizetés létrehozói szerepköréhez tartozik.
A parancs elindításához válassza a Futtatás lehetőséget.
A
200 OK
válasz azt mutatja, hogy a szolgáltatásnév hozzáadása sikeresen megtörtént.
Mostantól a szolgáltatásnévvel automatikusan hozzáférhet az EA API-khoz. A szolgáltatásnév subscriptionCreator szerepkört kap.
Szolgáltatásnév szerepkör-hozzárendeléseinek ellenőrzése
A szolgáltatásnév szerepkör-hozzárendelései nem láthatók az Azure Portalon. Megtekintheti a regisztrációs fiók szerepkör-hozzárendeléseit, beleértve az előfizetés létrehozói szerepkörét is, a számlázási szerepkör-hozzárendelések – Listázási fiók – REST API (Azure Billing) API használatával. Az API használatával ellenőrizze, hogy a szerepkör-hozzárendelés sikeres volt-e.
Hibaelhárítás
Azonosítania kell és használnia kell a nagyvállalati alkalmazás objektumazonosítóját, ahol megadta az EA-szerepkört. Ha más alkalmazás objektumazonosítóját használja, az API-hívások sikertelenek lesznek. Ellenőrizze, hogy a megfelelő vállalati alkalmazásobjektum-azonosítót használja-e.
Ha az API-hívás során a következő hibaüzenet jelenik meg, akkor előfordulhat, hogy helytelenül használja az alkalmazásregisztrációkban található szolgáltatásnév objektumazonosítóját. A hiba megoldásához győződjön meg arról, hogy a vállalati alkalmazások szolgáltatásnév objektumazonosítóját használja, nem pedig az alkalmazásregisztrációkat.
The provided principal Tenant Id = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx and principal Object Id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx are not valid