Autorizzazioni per visualizzare e gestire le prenotazioni di Azure

Questo articolo illustra il funzionamento delle autorizzazioni per le prenotazioni e spiega in che modo gli utenti possono visualizzare e gestire le prenotazioni di Azure nel portale di Azure e con Azure PowerShell.

Nota

È consigliabile usare il modulo Azure Az PowerShell per interagire con Azure. Per iniziare, vedere Installare Azure PowerShell. Per informazioni su come eseguire la migrazione al modulo AZ PowerShell, vedere Eseguire la migrazione di Azure PowerShell da AzureRM ad Az.

Chi può gestire una prenotazione per impostazione predefinita

Per impostazione predefinita, le prenotazioni possono essere visualizzate e gestite dagli utenti seguenti:

• L'utente che acquista una prenotazione e l'amministratore account della sottoscrizione di fatturazione usata per acquistare la prenotazione vengono aggiunti all'ordine di prenotazione.
• Amministratori fatturazione con Contratto Enterprise e Contratto del cliente Microsoft.
• Utenti con privilegi di accesso elevati per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure
• Un amministratore della prenotazione per le prenotazioni nel tenant di Microsoft Entra (directory).
• Un lettore di prenotazioni ha accesso in sola lettura alle prenotazioni nel tenant Microsoft Entra (directory).

Dal momento che il ciclo di vita della prenotazione è indipendente da una sottoscrizione di Azure, la prenotazione non è una risorsa inclusa nella sottoscrizione di Azure. È invece una risorsa a livello di tenant con le proprie autorizzazioni di controllo degli accessi in base al ruolo di Azure separate dalle sottoscrizioni. Le prenotazioni non ereditano le autorizzazioni dalle sottoscrizioni dopo l'acquisto.

Visualizzare e gestire le prenotazioni

Se si è un amministratore fatturazione, seguire questa procedura per visualizzare e gestire tutte le prenotazioni e le transazioni delle prenotazioni nel portale di Azure.

1. Accedere al portale di Azure e passare a Gestione dei costi e fatturazione.
   • Se si è amministratore Enterprise Agreement (EA), nel menu a sinistra selezionare Ambiti di fatturazione e quindi selezionare un ambito di fatturazione dall'elenco.
   • Se si è un proprietario del profilo di fatturazione del Contratto del cliente Microsoft, nel menu a sinistra selezionare Profili di fatturazione. Nell'elenco dei profili di fatturazione, selezionarne uno.
2. Nel menu a sinistra selezionare Prodotti e servizi>Prenotazioni.
3. Viene visualizzato l'elenco completo delle prenotazioni per la registrazione EA o il profilo di fatturazione.
4. Gli amministratori fatturazione possono assumere la proprietà di una prenotazione selezionando una o più prenotazioni, scegliendo Concedi l'accesso e quindi Concedi l'accesso nella finestra visualizzata. Per un Contratto del cliente Microsoft, l'utente deve trovarsi nello stesso tenant (directory) di Microsoft Entra della prenotazione.

Aggiungere amministratori fatturazione

Aggiungere un utente come amministratore della fatturazione a un Contratto Enterprise o a un Contratto del cliente Microsoft nel portale di Azure.

• Per un Contratto Enterprise, aggiungere gli utenti con il ruolo di Amministratore dell'organizzazione per visualizzare e gestire tutti gli ordini di prenotazione applicabili al Contratto Enterprise. Gli amministratori dell'organizzazione possono visualizzare e gestire le prenotazioni in Gestione dei costi e fatturazione.
  • Gli utenti con il ruolo Amministratore dell'organizzazione (sola lettura) possono visualizzare la prenotazione solo da Gestione dei costi e fatturazione.
  • Gli amministratori del reparto e i proprietari dell'account non possono visualizzare le prenotazioni a meno che non vengano aggiunti ad esse in modo esplicito tramite Controllo di accesso (IAM). Per altre informazioni, vedere Gestione dei ruoli Enterprise di Azure.
• Per un Contratto del cliente Microsoft, gli utenti con il ruolo di proprietario del profilo di fatturazione o di collaboratore per il profilo di fatturazione possono gestire tutti gli acquisti di prenotazioni effettuati usando il profilo di fatturazione. Gli utenti con il ruolo di lettore profilo di fatturazione e responsabile fatturazione possono visualizzare tutte le prenotazioni pagate con il profilo di fatturazione. Non possono però apportare modifiche alle prenotazioni. Per altre informazioni, vedere Ruoli e attività del profilo di fatturazione.

Visualizzare le prenotazioni con l'accesso di tipo Controllo degli accessi in base al ruolo di Azure

Se la prenotazione è stata acquistata o si viene aggiunti a una prenotazione, seguire questa procedura per visualizzare e gestire le prenotazioni nel portale di Azure.

1. Accedere al portale di Azure.
2. Selezionare Tutti i servizi>Prenotazioni per visualizzare l'elenco delle prenotazioni a cui è possibile accedere.

Gestire sottoscrizioni e gruppi di gestione con accesso con privilegi elevati

È possibile elevare i privilegi di accesso di un utente per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure.

Dopo aver elevato i privilegi di accesso:

1. Passare a Tutti i servizi>Prenotazione per visualizzare tutte le prenotazioni presenti nel tenant.
2. Per apportare modifiche alla prenotazione, aggiungersi come proprietario dell'ordine della prenotazione usando il controllo di accesso (gestione delle identità e degli accessi).

Concedere l'accesso a singole prenotazioni

Gli utenti che hanno l'accesso come proprietario alle prenotazioni e gli amministratori fatturazione possono delegare la gestione degli accessi per un singolo ordine di prenotazione nel portale di Azure.

Per consentire ad altre persone di gestire le prenotazioni sono disponibili due opzioni:

• Delegare la gestione degli accessi per un singolo ordine di prenotazione assegnando il ruolo Proprietario a un utente nell'ambito della risorsa dell'ordine di prenotazione. Se si vuole concedere un accesso limitato, selezionare un ruolo diverso.
  Per la procedura dettagliata, vedere Assegnare ruoli di Azure usando il portale di Azure.

• Aggiungere un utente come amministratore della fatturazione a un Contratto Enterprise o a un Contratto del cliente Microsoft:

  • Per un Contratto Enterprise, aggiungere gli utenti con il ruolo di Amministratore dell'organizzazione per visualizzare e gestire tutti gli ordini di prenotazione applicabili al Contratto Enterprise. Gli utenti con il ruolo Amministratore dell'organizzazione (sola lettura) possono solo visualizzare la prenotazione. Gli amministratori del reparto e i proprietari dell'account non possono visualizzare le prenotazioni a meno che non vengano aggiunti ad esse in modo esplicito tramite Controllo di accesso (IAM). Per altre informazioni, vedere Gestione dei ruoli Enterprise di Azure.

    Gli amministratori dell'organizzazione possono assumere la proprietà di un ordine di prenotazione e aggiungere altri utenti a una prenotazione tramite Controllo di accesso (IAM).

  • Per un Contratto del cliente Microsoft, gli utenti con il ruolo di proprietario del profilo di fatturazione o di collaboratore per il profilo di fatturazione possono gestire tutti gli acquisti di prenotazioni effettuati usando il profilo di fatturazione. Gli utenti con il ruolo di lettore profilo di fatturazione e responsabile fatturazione possono visualizzare tutte le prenotazioni pagate con il profilo di fatturazione. Non possono però apportare modifiche alle prenotazioni. Per altre informazioni, vedere Ruoli e attività del profilo di fatturazione.

Concedere l'accesso con PowerShell

Gli utenti che hanno l'accesso come proprietario per gli ordini di prenotazione, gli utenti con accesso con privilegi elevati e gli Amministratori Accesso utenti possono delegare la gestione degli accessi per tutti gli ordini di prenotazione a cui hanno accesso.

L'accesso concesso tramite PowerShell non viene visualizzato nel portale di Azure. Per visualizzare i ruoli assegnati, si usa invece il comando get-AzRoleAssignment nella sezione seguente.

Assegnare il ruolo di proprietario per tutte le prenotazioni

Usare lo script seguente di Azure PowerShell per concedere a un utente l'accesso Controllo degli accessi in base al ruolo di Azure a tutti gli ordini di prenotazione nel tenant (directory) di Microsoft Entra.

Import-Module Az.Accounts
Import-Module Az.Resources
 
Connect-AzAccount -Tenant <TenantId>
 
$response = Invoke-AzRestMethod -Path /providers/Microsoft.Capacity/reservations?api-version=2020-06-01 -Method GET
 
$responseJSON = $response.Content | ConvertFrom-JSON
 
$reservationObjects = $responseJSON.value
 
foreach ($reservation in $reservationObjects)
{
  $reservationOrderId = $reservation.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$reservationOrderId
  New-AzRoleAssignment -Scope $reservationOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

Quando si usa lo script di PowerShell per assegnare il ruolo di proprietà e lo script viene eseguito correttamente, non viene restituito alcun messaggio di operazione riuscita.

Parametri

-ObjectId ID oggetto dell'utente, del gruppo o dell'entità servizio in Microsoft Entra.

• Tipo: Stringa
• Alias: Id, PrincipalId
• Posizione: denominata
• Valore predefinito: Nessuno
• Accettare input da pipeline?: True
• Accettare caratteri jolly?: False

-TenantId Identificatore univoco del tenant.

• Tipo: Stringa
• Posizione: 5
• Valore predefinito: Nessuno
• Accettare input da pipeline?: False
• Accettare caratteri jolly?: False

Accesso a livello di tenant

Prima di poter assegnare a utenti o gruppi i ruoli Amministratore prenotazioni e Ruolo con autorizzazioni di lettura per le prenotazioni a livello di tenant, sono richiesti i diritti di Amministratore Accesso utenti. Per ottenere i diritti di Amministratore Accesso utenti a livello di tenant, seguire la procedura Elevare i privilegi di accesso.

Aggiungere un ruolo Amministratore prenotazioni o un Ruolo con autorizzazioni di lettura per le prenotazioni a livello di tenant

È possibile assegnare questi ruoli dal portale di Azure.

1. Accedere al portale di Azure e passare a Prenotazioni.
2. Selezionare una prenotazione a si ha accesso.
3. Nella parte superiore della pagina selezionare Assegnazione ruolo.
4. Selezionare la scheda Ruoli.
5. Per apportare modifiche, aggiungere un utente con il ruolo Amministratore prenotazioni o Ruolo con autorizzazioni di lettura per le prenotazioni usando Controllo di accesso.

Aggiungere un ruolo Amministratore prenotazioni a livello di tenant usando uno script di Azure PowerShell

Usare lo script di Azure PowerShell seguente per aggiungere un ruolo Amministratore prenotazioni a livello di tenant con PowerShell.

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Administrator"

Parametri

-ObjectId ID oggetto dell'utente, del gruppo o dell'entità servizio in Microsoft Entra.

• Tipo: Stringa
• Alias: Id, PrincipalId
• Posizione: denominata
• Valore predefinito: Nessuno
• Accettare input da pipeline?: True
• Accettare caratteri jolly?: False

-TenantId Identificatore univoco del tenant.

• Tipo: Stringa
• Posizione: 5
• Valore predefinito: Nessuno
• Accettare input da pipeline?: False
• Accettare caratteri jolly?: False

Assegnare un Ruolo con autorizzazioni di lettura per le prenotazioni a livello di tenant usando uno script di Azure PowerShell

Usare lo script di Azure PowerShell seguente per assegnare il Ruolo con autorizzazioni di lettura per le prenotazioni a livello di tenant con PowerShell.

Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>

New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Reader"

Parametri

-ObjectId ID oggetto dell'utente, del gruppo o dell'entità servizio in Microsoft Entra.

• Tipo: Stringa
• Alias: Id, PrincipalId
• Posizione: denominata
• Valore predefinito: Nessuno
• Accettare input da pipeline?: True
• Accettare caratteri jolly?: False

-TenantId Identificatore univoco del tenant.

• Tipo: Stringa
• Posizione: 5
• Valore predefinito: Nessuno
• Accettare input da pipeline?: False
• Accettare caratteri jolly?: False

Passaggi successivi

• Gestire le prenotazioni di Azure.