Memberikan akses untuk membuat langganan Azure Enterprise (warisan)

Sebagai pelanggan Azure dengan Perjanjian Enterprise (EA), Anda dapat memberikan izin kepada pengguna atau perwakilan layanan lain untuk membuat langganan yang ditagihkan ke akun Anda. Dalam artikel ini, Anda mempelajari cara menggunakan kontrol akses berbasis peran Azure (RBAC Azure) untuk berbagi kemampuan membuat langganan, dan cara mengaudit pembuatan langganan. Anda harus memiliki peran Pemilik pada akun yang ingin dibagikan.

Catatan

• API ini hanya berfungsi dengan API warisan untuk pembuatan langganan.
• Kecuali Anda memiliki kebutuhan khusus untuk menggunakan API lama, Anda harus menggunakan informasi untuk versi GA terbaru tentang versi API terbaru. Lihat Penugasan Peran Akun Pendaftaran - Diletakkan untuk memberikan izin untuk membuat langganan EA dengan API terbaru.
• Jika Anda bermigrasi untuk menggunakan API yang lebih baru, Anda harus memberikan izin pemilik lagi menggunakan 01-10-2019-preview. Konfigurasi Anda sebelumnya yang menggunakan API berikut tidak otomatis dikonversi untuk digunakan dengan API yang lebih baru.

Catatan

Sebaiknya Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Lihat Menginstal Azure PowerShell untuk memulai. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.

Memberikan akses

Untuk membuat langganan di akun pendaftaran, pengguna harus memiliki peran Pemilik RBAC Azure di akun tersebut. Anda dapat memberikan peran pemilik RBAC Azure kepada pengguna atau grup pengguna pada akun pendaftaran dengan mengikuti langkah-langkah berikut:

1. Mendapatkan ID objek dari akun pendaftaran yang ingin Anda beri akses

   Untuk memberi orang lain peran Pemilik RBAC Azure pada akun pendaftaran, Anda harus menjadi Pemilik Akun atau Pemilik RBAC Azure akun tersebut.

   REST

   Minta untuk mencantumkan semua akun pendaftaran yang dapat Anda akses:

   GET https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts?api-version=2018-03-01-preview
   

   Azure merespons dengan daftar semua akun pendaftaran yang dapat Anda akses:

   {
     "value": [
       {
         "id": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
         "name": "747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
         "type": "Microsoft.Billing/enrollmentAccounts",
         "properties": {
           "principalName": "SignUpEngineering@contoso.com"
         }
       },
       {
         "id": "/providers/Microsoft.Billing/enrollmentAccounts/4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
         "name": "4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
         "type": "Microsoft.Billing/enrollmentAccounts",
         "properties": {
           "principalName": "BillingPlatformTeam@contoso.com"
         }
       }
     ]
   }
   

   Gunakan properti principalName untuk mengidentifikasi akun yang ingin Anda beri akses ke Pemilik RBAC Azure. Salin name akun itu. Misalnya, jika Anda ingin memberikan akses Pemilik RBAC Azure ke akun pendaftaran SignUpEngineering@contoso.com, Anda harus menyalin 747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx. Ini adalah ID objek dari akun pendaftaran. Tempelkan nilai ini di suatu tempat sehingga Anda dapat menggunakannya di langkah berikutnya sebagai enrollmentAccountObjectId.

   PowerShell

   Gunakan cmdlet Get-AzEnrollmentAccount untuk mencantumkan semua akun pendaftaran yang dapat Anda akses. Pilih Coba untuk membuka Azure Cloud Shell. Untuk menempelkan kode, pilih dan tahan (atau klik kanan) jendela shell, dan pilih Tempel.

   Get-AzEnrollmentAccount
   

   Azure merespons dengan daftar akun pendaftaran yang dapat Anda akses:

   ObjectId                               | PrincipalName
   747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx   | SignUpEngineering@contoso.com
   4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx   | BillingPlatformTeam@contoso.com
   

   Gunakan properti principalName untuk mengidentifikasi akun yang ingin Anda beri akses ke Pemilik RBAC Azure. Salin ObjectId akun itu. Misalnya, jika Anda ingin memberikan akses Pemilik RBAC Azure ke akun pendaftaran SignUpEngineering@contoso.com, Anda harus menyalin 747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx. Tempelkan ID objek ini di suatu tempat sehingga Anda dapat menggunakannya di langkah berikutnya sebagai enrollmentAccountObjectId.

   Azure CLI

   Gunakan perintah daftar akun pendaftaran tagihan az untuk mencantumkan semua akun pendaftaran yang dapat Anda akses. Pilih Coba untuk membuka Azure Cloud Shell. Untuk menempelkan kode, pilih dan tahan (atau klik kanan) jendela shell, dan pilih Tempel.

   az billing enrollment-account list
   

   Azure merespons dengan daftar akun pendaftaran yang dapat Anda akses:

   [
     {
       "id": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
       "name": "747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
       "principalName": "SignUpEngineering@contoso.com",
       "type": "Microsoft.Billing/enrollmentAccounts",
     },
     {
       "id": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
       "name": "4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
       "principalName": "BillingPlatformTeam@contoso.com",
       "type": "Microsoft.Billing/enrollmentAccounts",
     }
   ]
   

   Gunakan properti principalName untuk mengidentifikasi akun yang ingin Anda beri akses ke Pemilik RBAC Azure. Salin name akun itu. Misalnya, jika Anda ingin memberikan akses Pemilik RBAC Azure ke akun pendaftaran SignUpEngineering@contoso.com, Anda harus menyalin 747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx. Ini adalah ID objek dari akun pendaftaran. Tempelkan nilai ini di suatu tempat sehingga Anda dapat menggunakannya di langkah berikutnya sebagai enrollmentAccountObjectId.

2. Dapatkan ID objek dari pengguna atau grup yang ingin Anda beri peran Pemilik RBAC Azure

   1. Di portal Azure, cari di ID Microsoft Entra.
   2. Jika Anda ingin memberikan akses kepada pengguna, pilih Pengguna di menu di sebelah kiri. Untuk memberikan akses ke grup, pilih Grup.
   3. Pilih Pengguna atau Grup yang ingin Anda beri peran Pemilik RBAC Azure.
   4. Jika memilih Pengguna, Anda akan menemukan ID objek di halaman Profil. Jika memilih Grup, ID objek akan berada di halaman Gambaran Umum. Salin ObjectID dengan memilih ikon di sebelah kanan kotak teks. Tempelkan di suatu tempat sehingga Anda dapat menggunakannya di langkah berikutnya sebagai userObjectId.

3. Memberikan peran Pemilik RBAC Azure kepada pengguna atau grup di akun pendaftaran

   Dengan menggunakan nilai yang Anda kumpulkan dalam dua langkah pertama, berikan peran Pemilik RBAC Azure kepada pengguna atau grup di akun pendaftaran.

   REST

   Jalankan perintah berikut, ganti <enrollmentAccountObjectId> dengan name yang Anda salin di langkah pertama (747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx). Ganti <userObjectId> dengan ID objek yang Anda salin dari langkah kedua.

   PUT  https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleAssignments/<roleAssignmentGuid>?api-version=2015-07-01
   
   {
     "properties": {
       "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
       "principalId": "<userObjectId>"
     }
   }
   

   Ketika peran Pemilik berhasil ditetapkan pada cakupan akun pendaftaran, Azure merespons dengan informasi penetapan peran:

   {
     "properties": {
       "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
       "principalId": "<userObjectId>",
       "scope": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
       "createdOn": "2018-03-05T08:36:26.4014813Z",
       "updatedOn": "2018-03-05T08:36:26.4014813Z",
       "createdBy": "<assignerObjectId>",
       "updatedBy": "<assignerObjectId>"
     },
     "id": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
     "type": "Microsoft.Authorization/roleAssignments",
     "name": "<roleAssignmentGuid>"
   }
   

   PowerShell

   Jalankan perintah New-AzRoleAssignment berikut, ganti <enrollmentAccountObjectId> dengan ObjectId yang dikumpulkan pada langkah pertama (747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx). Ganti <userObjectId> dengan ID objek yang dikumpulkan pada langkah kedua.

   New-AzRoleAssignment -RoleDefinitionName Owner -ObjectId <userObjectId> -Scope /providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>
   

   Azure CLI

   Jalankan perintah pembuatan penetapan peran az berikut, ganti <enrollmentAccountObjectId> dengan name yang Anda salin di langkah pertama (747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx). Ganti <userObjectId> dengan ID objek yang dikumpulkan pada langkah kedua.

   az role assignment create --role Owner --assignee-object-id <userObjectId> --scope /providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>
   

   Setelah pengguna menjadi Pemilik RBAC Azure untuk akun pendaftaran Anda, mereka dapat membuat langganan secara terprogram di bawahnya. Langganan yang dibuat oleh pengguna yang didelegasikan masih memiliki peran Pemilik Akun asli sebagai Admin Layanan, tetapi juga memiliki pengguna yang didelegasikan sebagai Pemilik RBAC Azure secara default.

Mengaudit orang yang membuat langganan menggunakan log aktivitas

Untuk melacak langganan yang dibuat melalui API ini, gunakan API Log Aktivitas Penyewa. Saat ini tidak mungkin menggunakan portal Azure, PowerShell, atau CLI untuk melacak pembuatan langganan.

1. Sebagai admin penyewa penyewa Microsoft Entra, tingkatkan akses lalu tetapkan peran Pembaca ke pengguna audit melalui cakupan /providers/microsoft.insights/eventtypes/management. Akses ini tersedia dalam peran Pembaca, peran Kontributor pemantauan, atau peran kustom.

2. Sebagai pengguna yang mengaudit, panggil API Log Aktivitas Penyewa untuk melihat aktivitas pembuatan langganan. Contoh:

   GET "/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '{greaterThanTimeStamp}' and eventTimestamp le '{lessThanTimestamp}' and eventChannels eq 'Operation' and resourceProvider eq 'Microsoft.Subscription'"
   

Untuk memanggil API ini dengan mudah dari baris perintah, coba ARMClient.

Langkah berikutnya

• Sekarang setelah pengguna atau perwakilan layanan memiliki izin untuk membuat langganan, Anda dapat menggunakan identitas tersebut untuk membuat langganan Azure Enterprise secara terprogram.
• Untuk contoh tentang membuat langganan menggunakan .NET, lihat sampel kode di GitHub.
• Untuk mempelajari selengkapnya tentang Azure Resource Manager dan API-nya, lihat Gambaran umum Azure Resource Manager.
• Untuk mempelajari selengkapnya tentang mengelola langganan dalam jumlah besar menggunakan grup manajemen, lihat Mengelola sumber daya Anda dengan grup manajemen Azure
• Untuk melihat panduan praktik terbaik yang komprehensif untuk organisasi besar tentang tata kelola langganan, lihat Perancah perusahaan Azure - tata kelola langganan preskriptif