Megosztás a következőn keresztül:

Hozzáférés biztosítása Azure Enterprise-előfizetések létrehozásához (örökölt)

  • Cikk

Egy Nagyvállalati Szerződés (EA) rendelkező Azure-ügyfélként engedélyt adhat egy másik felhasználónak vagy szolgáltatásnévnek a fiókjához számlázott előfizetések létrehozásához. Ez a cikk bemutatja, hogyan oszthatja meg az előfizetések létrehozásának képességét az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) segítségével, illetve hogyan naplózhatja az előfizetések létrehozását. Fiók megosztásához tulajdonosi szerepkörrel kell rendelkeznie az adott fiókra vonatkozóan.

Feljegyzés

  • Ez az API csak az előfizetés létrehozásához használt régi API-kkal működik.
  • Hacsak nincs konkrét szüksége az örökölt API-k használatára, használja a legújabb GA-verzióra vonatkozó információkat a legújabb API-verzióról. Lásd: Regisztrációs fiók szerepkör-hozzárendelései – Az EA-előfizetések a legújabb API-val való létrehozásához szükséges engedély megadására.
  • Ha az újabb API-k használatára kíván átállni, akkor a 2019-10-01-preview verzió használatával újra meg kell adnia a tulajdonosi engedélyeket. A következő API-kat használó korábbi konfiguráció nem lesz automatikusan konvertálva az újabb API-kkal való használatra.

Feljegyzés

Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Első lépésként tekintse meg az Azure PowerShell telepítését ismertető témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Hozzáférés biztosítása

Ha előfizetéseket szeretnének létrehozni egy regisztrációs fiókhoz, a felhasználóknak Azure RBAC-alapú Tulajdonos szerepkörrel kell rendelkezniük az adott fiók esetében. A következő lépésekkel biztosíthatja az Azure RBAC-alapú Tulajdonos szerepkört egy regisztrációs fiók esetében, egy felhasználó vagy felhasználócsoport számára:

  1. Kérje le annak a regisztrációs fióknak az objektumazonosítóját, amelyhez hozzáférést szeretne adni.

    Ha Azure RBAC-alapú Tulajdonos szerepkört szeretne biztosítani mások számára egy regisztrációs fiók esetében, akkor a fiók tulajdonosának vagy Azure RBAC-tulajdonosának kell lennie.

    Kérelem azon fiókok felsorolására, amelyekhez hozzáféréssel rendelkezik:

    GET https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts?api-version=2018-03-01-preview

    Az Azure megadja az összes olyan regisztrációs fiók listáját, amelyhez hozzáféréssel rendelkezik:

    {
  "value": [
    {
      "id": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
      "name": "747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
      "type": "Microsoft.Billing/enrollmentAccounts",
      "properties": {
        "principalName": "SignUpEngineering@contoso.com"
      }
    },
    {
      "id": "/providers/Microsoft.Billing/enrollmentAccounts/4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
      "name": "4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
      "type": "Microsoft.Billing/enrollmentAccounts",
      "properties": {
        "principalName": "BillingPlatformTeam@contoso.com"
      }
    }
  ]
}

    Használja a principalName tulajdonságot a fiók azonosításához, amelyhez Azure RBAC-tulajdonosi hozzáférést kíván biztosítani. Másolja ki a fiók name elemét. Ha például Azure RBAC-tulajdonosi hozzáférést szeretne biztosítani a SignUpEngineering@contoso.com regisztrációs fiókhoz, a következőt kell másolnia: 747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx. Ez a regisztrációs fiók objektumazonosítója. Illessze be valahova ezt az értéket, hogy a következő lépésben használni tudja mint enrollmentAccountObjectId.

    Használja a principalName tulajdonságot a fiók azonosításához, amelyhez Azure RBAC-tulajdonosi hozzáférést kíván biztosítani. Másolja ki a fiók name elemét. Ha például Azure RBAC-tulajdonosi hozzáférést szeretne biztosítani a SignUpEngineering@contoso.com regisztrációs fiókhoz, a következőt kell másolnia: 747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx. Ez a regisztrációs fiók objektumazonosítója. Illessze be valahova ezt az értéket, hogy a következő lépésben használni tudja mint enrollmentAccountObjectId.

  2. Kérje le annak a felhasználónak vagy csoportnak az objektumazonosítóját, amelynek Azure RBAC-alapú Tulajdonos szerepkört szeretne adni

    1. Az Azure Portalon keressen a Microsoft Entra-azonosítóra.
    2. Ha felhasználói hozzáférést szeretne biztosítani, a bal oldali menüben válassza a Felhasználók lehetőséget. Ha egy csoportnak kíván hozzáférést biztosítani, válassza a Csoportok lehetőséget.
    3. Válassza ki azt a felhasználót vagy csoportot, amelynek Azure RBAC-alapú Tulajdonos szerepkört szeretne adni.
    4. Ha egy felhasználót választott, az objektumazonosító a Profil oldalon található. Ha egy csoportot választott, az objektumazonosító az Áttekintés oldalon található. Másolja az Objektumazonosítót a szövegmező jobb oldalán található ikon kiválasztásával. Illessze be valahova, hogy a következő lépésben használni tudja mint userObjectId.

  3. Azure RBAC-alapú Tulajdonos szerepkör biztosítása egy felhasználó vagy csoport számára a regisztrációs fiók esetében

    Az első két lépésben összegyűjtött értékek használatával adja meg a felhasználó vagy csoport számára az Azure RBAC-alapú Tulajdonos szerepkört a regisztrációs fiókra vonatkozóan.

    Futtassa a következő parancsot, amelyben cserélje le az <enrollmentAccountObjectId> értéket a name első lépésben kimásolt értékére (747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx). Cserélje le a <userObjectId> értéket a második lépésben kimásolt objektumazonosítóra.

    PUT  https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleAssignments/<roleAssignmentGuid>?api-version=2015-07-01

{
  "properties": {
    "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
    "principalId": "<userObjectId>"
  }
}

    Ha a tulajdonosi szerepkör sikeresen hozzá lett rendelve a regisztrációs fiók hatókörében, az Azure megadja a szerepkör-hozzárendelés információit:

    {
  "properties": {
    "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
    "principalId": "<userObjectId>",
    "scope": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
    "createdOn": "2018-03-05T08:36:26.4014813Z",
    "updatedOn": "2018-03-05T08:36:26.4014813Z",
    "createdBy": "<assignerObjectId>",
    "updatedBy": "<assignerObjectId>"
  },
  "id": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
  "type": "Microsoft.Authorization/roleAssignments",
  "name": "<roleAssignmentGuid>"
}

Az előfizetések létrehozóinak naplózása tevékenységnaplókkal

Ha ezzel az API-val szeretné nyomon követni a létrehozott előfizetéseket, használja a Tenant Activity Log API-t. Az előfizetések létrehozásának nyomon követéséhez jelenleg nem használható a PowerShell, a parancssori felület vagy az Azure Portal.

  1. A Microsoft Entra-bérlő bérlői rendszergazdájaként emelje ki a hozzáférést, majd rendeljen hozzá olvasói szerepkört a naplózási felhasználóhoz a hatókörön /providers/microsoft.insights/eventtypes/managementkeresztül. Ez a hozzáférés a Olvasó szerepkör, a figyelési közreműködő szerepkör vagy egy egyéni szerepkör számára érhető el.

  2. Naplózási felhasználóként meghívhatja a Tenant Activity Log API-t az előfizetés-létrehozási tevékenységek megtekintésére. Példa:

    GET "/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '{greaterThanTimeStamp}' and eventTimestamp le '{lessThanTimestamp}' and eventChannels eq 'Operation' and resourceProvider eq 'Microsoft.Subscription'"

Az API-t kényelmesen meghívhatja a parancssorból az ARMClient segítségével.

Kapcsolódó tartalom